Get best of the week

Die Domain corp.com steht zum Verkauf. Es ist gefährlich für Hunderttausende von Unternehmenscomputern, auf denen Windows ausgeführt wird


Schema des Datenverlusts durch Web Proxy Auto-Discovery (WPAD) im Falle einer Namenskollision (in diesem Fall die Kollision der internen Domäne mit dem Namen einer der neuen gTLDs, aber das Wesentliche ist dasselbe). Quelle: Studie der University of Michigan , 2016.

Mike O'Connor, einer der ältesten Domain-Namen-Investoren, stellt das gefährlichste und umstrittenste Los in seiner Sammlung auf: die corp.com- Domainfür 1,7 Millionen US-Dollar. 1994 kaufte O'Connor viele einfache. Domainnamen wie grill.com, place.com, pub.com und andere. Unter ihnen war corp.com, das Mike 26 Jahre lang aufbewahrte. Der Investor ist bereits 70 Jahre alt und hat beschlossen, seine langjährigen Investitionen zu monetarisieren.

Das ganze Problem ist, dass corp.com für mindestens 375.000 Unternehmenscomputer aufgrund der unachtsamen Konfiguration von Active Directory während der Erstellung von Unternehmensintranets in den frühen 2000er Jahren auf der Basis von Windows Server 2000, als das interne Stammverzeichnis einfach als "corp" angegeben wurde, potenziell gefährlich ist. Bis Anfang der 2010er Jahre war dies kein Problem, aber mit der zunehmenden Anzahl von Laptops im Geschäftsumfeld begannen immer mehr Mitarbeiter, ihre Arbeitscomputer außerhalb des Unternehmensnetzwerks zu bewegen. Die Funktionen der Active Directory-Implementierung führen dazu, dass auch ohne direkte Benutzeranforderung an // corp eine Reihe von Anwendungen (z. B. E-Mail) selbst an eine vertraute Adresse klopfen. Bei einer externen Netzwerkverbindung in einem bedingten Café um die Ecke führt dies jedoch dazu, dass der Daten- und Anforderungsfluss an corp.com fließt .

Jetzt hofft O'Connor wirklich, dass Microsoft selbst die Domain kauft und sie nach den besten Traditionen von Google an einem dunklen und für Außenstehende unzugänglichen Ort verrottet. Das Problem mit einer solch grundlegenden Verwundbarkeit von Windows-Netzwerken wird gelöst sein.

Active Directory- und Namenskollision


In Unternehmensnetzwerken verwendet Windows den Active Directory-Verzeichnisdienst. Administratoren können Gruppenrichtlinien verwenden, um eine einheitliche Anpassung der Benutzerarbeitsumgebung sicherzustellen, Software über Gruppenrichtlinien auf mehreren Computern bereitzustellen, Autorisierungen durchzuführen usw.

Active Directory ist in DNS integriert und wird über TCP / IP ausgeführt. Um nach Knoten im Netzwerk zu suchen, verwendet das Protokoll das WAPD-Protokoll (Web Proxy Auto-Discovery) und die Funktion zur Übertragung von DNS-Namen (im Windows-DNS-Client integriert). Diese Funktion erleichtert das Auffinden anderer Computer oder Server, ohne dass ein vollständig qualifizierter Domänenname angegeben werden muss.

Zum Beispiel, wenn ein Unternehmen ein internes Netzwerk mit dem Namen verwaltetinternalnetwork.example.comWenn der Mitarbeiter unter dem Namen auf das freigegebene Laufwerk zugreifen möchte, drive1muss er nicht drive1.internalnetwork.example.comin den Explorer eingegeben werden. Geben Sie einfach \\ Laufwerk1 \ ein. Der Windows-DNS-Client selbst fügt den Namen hinzu.

In früheren Versionen von Active Directory - beispielsweise in Windows 2000 Server - wurde standardmäßig die zweite Ebene der Unternehmensdomäne angegeben corp. Und viele Unternehmen haben den Standardwert für ihre interne Domain beibehalten. Schlimmer noch, viele haben begonnen, auf dieser fehlerhaften Einrichtung riesige Netzwerke aufzubauen.

In den Tagen von Desktop-Computern stellte dies kein besonderes Sicherheitsproblem dar, da niemand diese Computer aus dem Unternehmensnetzwerk herauszog. Aber was passiert, wenn ein Mitarbeiter in einem Unternehmen mit einem Netzwerkpfad arbeitet?corpin Active Directory nimmt ein Firmen-Laptop - und geht zu den lokalen Starbucks? Anschließend werden das WPAD-Proxy-Protokoll (Web Proxy Auto-Discovery) und die Funktion zur Übertragung von DNS-Namen wirksam.



Es ist wahrscheinlich, dass einige Dienste auf dem Laptop weiterhin auf die interne Domäne klopfen corp, diese jedoch nicht finden. Stattdessen werden Anforderungen aus dem offenen Internet an die Domäne corp.com aufgelöst.

In der Praxis bedeutet dies, dass der Eigentümer von corp.com private Anforderungen von Hunderttausenden von Computern, die versehentlich über die Unternehmensumgebung hinausgehen, passiv abfangen kann, indem er die Bezeichnung corpfür seine Domäne in Active Directory verwendet.


Leck von WPAD-Anfragen im amerikanischen Verkehr. Aus einer Studie der University of Michigan im Jahr 2016, Quelle

Warum Domain noch nicht verkauft ist


Im Jahr 2014 veröffentlichten ICANN-Experten eine umfangreiche Studie zu DNS-Namenskollisionen. Die Studie wurde teilweise vom US-amerikanischen Heimatschutzministerium finanziert, da Lecks aus internen Netzwerken nicht nur Handelsunternehmen, sondern auch Regierungsorganisationen wie Geheimdienste, Geheimdienste und Armeeeinheiten bedrohen.

Mike wollte letztes Jahr corp.com verkaufen, aber der Forscher Jeff Schmidt überzeugte ihn, den Verkauf auf der Grundlage des obigen Berichts zu verschieben. Die Studie ergab außerdem, dass täglich 375.000 Computer versuchen, corp.com ohne Wissen der Eigentümer zu kontaktieren. Die Anforderungen enthielten Versuche, Unternehmens-Intranets zu betreten und Zugriff auf Netzwerke oder Dateiressourcen zu erhalten.

Im Rahmen seines eigenen Experiments ahmte Schmidt zusammen mit JAS Global auf corp.com eine Methode zur Verarbeitung von Dateien und Anforderungen nach, die ein lokales Windows-Netzwerk verwendet. Damit öffneten sie tatsächlich ein Portal zur Hölle für jeden Informationssicherheitsspezialisten:

. 15 [ ] . , JAS , , « », .

[ corp.com] 12 , . , , [ ] .

Schmidt glaubt, dass Administratoren auf der ganzen Welt seit Jahrzehnten das gefährlichste Botnetz der Geschichte vorbereiten. Hunderttausende voll funktionsfähiger Computer auf der ganzen Welt sind bereit, nicht nur Teil des Botnetzes zu werden, sondern auch vertrauliche Daten über ihre Eigentümer und Unternehmen bereitzustellen. Sie müssen es lediglich verwenden, um corp.com zu steuern. In diesem Fall wird jeder Computer, der einmal mit dem Unternehmensnetzwerk verbunden war und dessen Active Directory über // corp konfiguriert wurde, Teil des Botnetzes.

Microsoft hat das Problem vor 25 Jahren "bewertet"


Wenn Sie der Meinung sind, dass MS die anhaltenden Bacchanalien um corp.com nicht zu kennen scheint, irren Sie sich ernsthaft. Mike trollte Microsoft und Bill Gates bereits 1997 persönlich mit einer solchen Seite, auf die Benutzer von FrontPage Beta '97 kamen, auf der corp.com als Standard-URL angegeben wurde: Als Mike es satt hatte, begann corp.com, Benutzer umzuleiten auf die Sexshop Seite. Als Antwort erhielt er Tausende von verärgerten Briefen von Benutzern, die er über eine Kopie an Bill Gates weiterleitete. Übrigens hat Mike selbst aus Neugier den Mailserver abgeholt und vertrauliche Briefe auf corp.com erhalten. Er versuchte, diese Probleme durch Kontaktaufnahme mit Unternehmen zu lösen, aber sie wussten einfach nicht, wie sie die Situation beheben sollten:







, , . , , . , , [ ].

Von Seiten der MS wurden keine aktiven Maßnahmen ergriffen, und das Unternehmen weigert sich, sich zu der Situation zu äußern. Ja, Microsoft hat im Laufe der Jahre mehrere Active Directory-Updates veröffentlicht, die das Problem der Kollisionen von Domänennamen teilweise lösen, aber es gibt eine Reihe von Problemen. Das Unternehmen gab außerdem Empfehlungen zum Einrichten interner Domain-Namen, Empfehlungen zum Besitz einer Domain der zweiten Ebene zur Vermeidung von Konflikten und andere Tutorials heraus, die normalerweise nicht gelesen werden.

Das Wichtigste sind jedoch die Updates. Erstens: Um sie anzuwenden, müssen Sie das Intranet des Unternehmens vollständig einrichten. Zweitens: Einige Anwendungen arbeiten nach solchen Updates möglicherweise langsamer, falsch oder funktionieren überhaupt nicht mehr. Es ist klar, dass die meisten Unternehmen mit einem gut etablierten Unternehmensnetzwerk solche Risiken nicht eingehen werden. Darüber hinaus erkennen viele von ihnen nicht einmal das volle Ausmaß der Bedrohung, die mit einer Umleitung von allem und jedem auf corp.com verbunden ist, wenn sie einen Computer außerhalb des internen Netzwerks bewegen.

Das Maximum an Ironie wird erreicht, wenn Sie sich Schmidts Bericht über die Untersuchung von Domainnamenkonflikten ansehen . Nach seinen Angaben stammen einige Anfragen an corp.com aus dem Intranet von Microsoft.



Und was wird als nächstes passieren?


Es scheint, dass die Lösung für diese Situation an der Oberfläche liegt und am Anfang des Artikels beschrieben wurde: Lassen Sie Microsoft seine Domain von Mike kaufen und ihn für immer irgendwo im hinteren Teil des Schranks verbieten.

Aber nicht so einfach. Microsoft bot O'Connor vor einigen Jahren an, seine toxische Domain für Unternehmen auf der ganzen Welt zu kaufen. Ich habe dem Riesen gerade angeboten, ein solches Loch in seinen eigenen Netzwerken von nur 20.000 US-Dollar zu schließen .

Jetzt werden der Domain 1,7 Millionen US-Dollar in Rechnung gestellt. Und selbst wenn Microsoft im letzten Moment beschließt, sie zu kaufen, wird es rechtzeitig sein?


More articles:


All Articles