Get best of the week

Domain corp.com dijual. Ini berbahaya bagi ratusan ribu komputer perusahaan yang menjalankan Windows


Skema kebocoran data melalui Web Proxy Auto-Discovery (WPAD) dalam kasus tabrakan nama (dalam hal ini, tabrakan domain internal dengan nama salah satu gTLD baru, tetapi esensinya sama). Sumber: Penelitian University of Michigan , 2016.

Mike O'Connor, salah satu investor nama domain tertua, memasang lot paling berbahaya dan kontroversial dalam koleksinya: domain corp.com sebesar $ 1,7 juta. Pada tahun 1994, O'Connor membeli banyak yang sederhana. nama domain seperti grill.com, place.com, pub.com, dan lainnya. Di antara mereka adalah corp.com, yang disimpan Mike selama 26 tahun. Investor sudah berusia 70 tahun dan dia memutuskan untuk memonetisasi investasi jangka panjangnya.

Seluruh masalah adalah bahwa corp.com berpotensi berbahaya bagi setidaknya 375.000 komputer perusahaan karena konfigurasi Active Directory yang ceroboh selama pembangunan intranet perusahaan pada awal 2000-an berdasarkan Windows Server 2000, ketika root internal hanya diindikasikan sebagai "corp". Sampai awal 2010-an, ini bukan masalah, tetapi dengan meningkatnya jumlah laptop di lingkungan bisnis, semakin banyak karyawan mulai memindahkan komputer kerja mereka di luar jaringan perusahaan. Fitur-fitur implementasi Active Directory mengarah pada fakta bahwa bahkan tanpa permintaan pengguna langsung ke // corp, sejumlah aplikasi (misalnya, surat) mengetuk alamat yang dikenalnya sendiri. Tetapi dalam kasus koneksi jaringan eksternal di sebuah kafe bersyarat di sudut, ini mengarah pada fakta bahwa aliran data dan permintaan mengalir ke corp.com .

Sekarang O'Connor benar-benar berharap bahwa Microsoft akan membeli domain itu sendiri dan, dalam tradisi terbaik Google, akan membusuknya di suatu tempat di tempat yang gelap dan tidak dapat diakses oleh orang luar, masalah dengan kerentanan mendasar seperti jaringan Windows akan diselesaikan.

Direktori aktif dan benturan nama


Pada jaringan perusahaan, Windows menggunakan layanan direktori Direktori Aktif. Ini memungkinkan administrator untuk menggunakan kebijakan grup untuk memastikan kustomisasi yang seragam dari lingkungan kerja pengguna, menggunakan perangkat lunak pada banyak komputer melalui kebijakan grup, melakukan otorisasi, dll.

Active Directory terintegrasi dengan DNS dan berjalan di atas TCP / IP. Untuk mencari node dalam jaringan, protokol menggunakan protokol Web Proxy Auto-Discovery (WAPD) dan fungsi devolusi nama DNS (dibangun ke dalam Klien DNS Windows). Fitur ini memudahkan untuk menemukan komputer atau server lain tanpa harus menentukan nama domain yang sepenuhnya memenuhi syarat.

Misalnya, jika perusahaan mengelola jaringan internal bernamainternalnetwork.example.com, dan karyawan ingin mengakses drive bersama di bawah nama drive1, tidak perlu masuk drive1.internalnetwork.example.comdi Explorer, cukup ketik \\ drive1 \ - dan klien Windows DNS itu sendiri akan menambahkan nama.

Dalam versi Active Directory sebelumnya - misalnya, di Windows 2000 Server - tingkat kedua domain perusahaan ditentukan secara default corp. Dan banyak perusahaan telah menyimpan nilai default untuk domain internal mereka. Lebih buruk lagi, banyak yang mulai membangun jaringan besar di atas pengaturan yang salah ini.

Pada zaman komputer desktop, ini tidak menghadirkan masalah keamanan tertentu, karena tidak ada yang menarik komputer ini dari jaringan perusahaan. Namun apa yang terjadi ketika seorang karyawan bekerja di perusahaan dengan jalur jaringancorpdi Active Directory mengambil laptop perusahaan - dan pergi ke Starbucks lokal? Kemudian protokol proksi penemuan otomatis proksi Web (WPAD) dan fungsi devolusi nama DNS mulai berlaku.



Kemungkinan beberapa layanan di laptop akan terus mengetuk domain internal corp, tetapi tidak akan menemukannya, dan sebagai gantinya, permintaan akan menyelesaikan ke domain corp.com dari Internet terbuka.

Dalam praktiknya, ini berarti bahwa pemilik corp.com dapat secara pasif mencegat permintaan pribadi dari ratusan ribu komputer yang secara tidak sengaja melampaui lingkungan perusahaan yang menggunakan penunjukan corpuntuk domain mereka di Active Directory.


Kebocoran permintaan WPAD dalam lalu lintas Amerika. Dari sebuah studi oleh University of Michigan pada tahun 2016, sumber

Mengapa domain belum dijual


Pada tahun 2014, para ahli ICANN menerbitkan sebuah studi besar tentang tabrakan nama DNS. Studi ini sebagian didanai oleh Departemen Keamanan Dalam Negeri AS karena kebocoran dari jaringan internal tidak hanya mengancam perusahaan komersial, tetapi juga organisasi pemerintah, termasuk dinas rahasia, agen intelijen, dan unit tentara.

Mike ingin menjual corp.com tahun lalu, tetapi peneliti Jeff Schmidt meyakinkan dia untuk menunda penjualan hanya berdasarkan laporan di atas. Studi ini juga menemukan bahwa 375.000 komputer setiap hari berusaha menghubungi corp.com tanpa sepengetahuan pemiliknya. Permintaan berisi upaya untuk memasuki intranet perusahaan dan mendapatkan akses ke jaringan atau sumber daya file.

Sebagai bagian dari eksperimennya sendiri, Schmidt, bersama-sama dengan JAS Global, meniru di corp.com metode pemrosesan file dan permintaan yang menggunakan jaringan Windows lokal. Dengan ini, mereka, pada kenyataannya, membuka portal ke neraka untuk setiap spesialis keamanan informasi:

. 15 [ ] . , JAS , , ยซ ยป, .

[ corp.com] 12 , . , , [ ] .

Schmidt percaya bahwa selama beberapa dekade, administrator di seluruh dunia telah mempersiapkan botnet paling berbahaya dalam sejarah. Ratusan ribu komputer yang bekerja penuh di seluruh dunia siap tidak hanya untuk menjadi bagian dari botnet, tetapi juga untuk memberikan data rahasia tentang pemilik dan perusahaan mereka. Yang perlu Anda gunakan adalah mengontrol corp.com. Dalam hal ini, mesin apa pun yang pernah terhubung ke jaringan perusahaan, yang Direktori Aktifnya dikonfigurasikan melalui // corp, menjadi bagian dari botnet.

Microsoft "mencetak" masalah 25 tahun lalu


Jika Anda berpikir bahwa MS tampaknya tidak mengetahui bacchanalia yang sedang berlangsung di sekitar corp.com, maka Anda salah besar. Mike mengendalikan Microsoft dan secara pribadi Bill Gates pada tahun 1997 dengan halaman seperti itu, yang membuat pengguna versi beta front-end '97, di mana corp.com diindikasikan sebagai URL default: Ketika Mike benar-benar bosan, corp.com mulai mengarahkan pengguna ke situs toko seks. Sebagai tanggapan, dia menerima ribuan surat kemarahan dari pengguna, yang dia arahkan melalui salinan ke Bill Gates. Ngomong-ngomong, Mike sendiri, karena penasaran, mengambil server surat dan menerima surat rahasia di corp.com. Dia mencoba menyelesaikan masalah ini dengan menghubungi perusahaan, tetapi mereka tidak tahu bagaimana cara memperbaiki situasi:







, , . , , . , , [ ].

Dari sisi MS, tindakan aktif tidak diambil, dan perusahaan menolak mengomentari situasi tersebut. Ya, Microsoft selama bertahun-tahun telah merilis beberapa pembaruan Active Directory yang sebagian menyelesaikan masalah tabrakan nama domain, tetapi mereka memiliki sejumlah masalah. Perusahaan juga mengeluarkan rekomendasi tentang pengaturan nama domain internal, rekomendasi untuk memiliki domain tingkat kedua untuk menghindari konflik, dan tutorial lain yang biasanya tidak mereka baca.

Namun yang paling penting adalah pembaruan. Pertama: untuk menerapkannya, Anda harus sepenuhnya memasukkan intranet perusahaan. Kedua: beberapa aplikasi setelah pembaruan semacam itu mungkin mulai bekerja lebih lambat, salah, atau berhenti bekerja sama sekali. Jelas bahwa sebagian besar perusahaan dengan jaringan perusahaan yang mapan tidak akan mengambil risiko seperti itu. Selain itu, banyak dari mereka bahkan tidak menyadari sepenuhnya ancaman, yang penuh dengan pengalihan segala sesuatu dan segala sesuatu di corp.com ketika memindahkan mesin di luar jaringan internal.

Maksimal ironi dicapai ketika Anda melihat laporan Schmidt tentang penyelidikan konflik nama domain . Jadi, menurut datanya, beberapa permintaan ke corp.com berasal dari intranet Microsoft sendiri.



Dan apa yang akan terjadi selanjutnya?


Tampaknya solusi untuk situasi ini terletak di permukaan dan dijelaskan di awal artikel: biarkan Microsoft membeli domainnya dari Mike dan melarangnya di suatu tempat di belakang lemari selamanya.

Tapi tidak sesederhana itu. Microsoft menawarkan O'Connor untuk membeli domain beracunnya bagi perusahaan di seluruh dunia beberapa tahun yang lalu. Hanya menawarkan raksasa untuk menutup lubang seperti itu di jaringan mereka sendiri hanya $ 20 ribu .

Sekarang domain ditagih sebesar $ 1,7 juta dan bahkan jika Microsoft memutuskan untuk membelinya pada saat terakhir, apakah akan tepat waktu?


More articles:


All Articles