Comments 99
один из старейших инвесторов в доменные имена
Я бы этот род деятельности назвал несколько иначе, менее благозвучно.
С доменами же всё несколько иначе — рост современного интернета и, как следствие, рост цен на доменные имена не связаны с тем, что кто-то 20 лет назад купил пару доменных имён за копейки — от слова никак.
С вашей «нестранной» логикой можно пойти дальше и оправдать финансовые пирамиды, их создателей и тех, кто успел на пирамиде заработать, привлекая новых участников. Ведь они тоже вложили деньги в рисковый актив, потратились на меркетинг, да еще за решетку рискуют угодить.
Если вы считаете, что все тогда было понятно — у меня вопрос — сколько вы биткоинов по доллару купили?
0, а к чему это вообще?
А причем здесь биткоин? Это вовсе не необходимое и не обязательное для всех средство оплаты. Вот доменные имена — необходимы.
А если завтра биткоин станет (ха-ха) единой мировой валютой он тоже будет ненеобходимой вещью?
В 1994году необходимость доменных имен была очень неоднозначна, могла так и остаться внутренней кухней ведомств которые разрабатывали интернет и кучки техногиков
Странная логика.
Вот человек, который в битки вложился на заре у вас как определяется?
Доменные имена — публичный ресурс. Причем — уникальный. Который ему удалось захватить.
Точно так же можно захватить все удобные скамейки в парке, потому что первым успел добежать когда парк открыли.
Понятно, когда человек платит конкурентно за важный ресурс, скажем козырное место для магазина на проходе, — аукционная система. И тогда подобные бы "инвесторы" отпали. А так просто "захватчики". И стоило это — гроши, кажется пару баксов. Все годное разобрали едва ли не мгновенно, несколько минут IMHO — скрипты писали генерирующие и регистрирующие.
Биткойн, как и любое тиражируемое, тем более где цена определяется рынком — не уникальный ресурс. Как и 100 баксов не уникальный ресурс несмотря на номер на банкноте.
А нельзя было использовать какой-нибудь example.com, рекомендованный icann, а не Corp.com, и проблемы бы не было. Майки как обычно сами себе проблемы создают.
… в том числе Microsoft, как упомянуто в статье.
Да всем насрать, на самом деле. Ну худшее, что может произойти — домен уплывет и информация об этой схеме как-то дойдет до аудиторов. Аудиторы же начнут жучить корпорации на предмет ActiveDirectory. По репутации винды это не особо ударит, были сотни более крупных факапов, а винда майкрософт всех живых.
Да-да, конечно. Например, представьте, что я разработчик какого-нибудь популярного софта, и я выпустил дефолтный конфиг с вашим email для примера. Вы начинаете получать кучу писем от непонятных людей, пишете мне просьбу исправить дефолтный конфиг, а я говорю, что это не моя проблема, а кривые юзеры которые не могут поправить конфиг по-умолчанию.
Домен example com специально создан, и рекомендован для указания в дефолтный конфигах, т. к. он зарезервирован для этих целей, и его никто не может зарегистрировать на свое имя.
Кстати, запись 127.0.0.1 corp.com в файле hosts.txt разве не должна решить проблему?
Дождь из конфиденциальных данных — звучит как реклама.
Ладно домен. Самое интересное в статье:
Хорошо известный тестировщик, который консультировал JAS по этому вопросу, отметил, что эксперимент был похож на «дождь из конфиденциальной информации», и что он никогда не видел ничего подобного
Судя по тому что написано в статье, из запросов Active Directory можно вытащить много интересного.
Никогда не интересовался, что в этом трафике… надо почитать.
Атаки с поддельными WiFi AP в открытых сетях.
Это же просто, обрабатывать DNS запросы с определенными именами хостов, отправляя их к "себе" и выступать как роутер для всего остального, что бы "клиент" ничего не заподозрил.
Какая интересная тема. Почему то не слышал про такие атаки (Active Directory) раньше.
Открытые сети или даже закрытые сети но с известными пароля — это похоже такая дыра в безопасности.
Сотрудник захвативший корпоративный ноут на обед в кафешку с бесплатным WiFi — это же так типично.
Сотрудник захвативший корпоративный ноут на обед в кафешку с бесплатным WiFi — это же так типично.
Reductio ad absurdum?
Корпоративный ноут в зале ожидания аэропорта или даже просто дома уже не так необычно выглядит?
Корпоративный ноут в зале ожидания аэропорта или даже просто дома уже не так необычно выглядит?
Атака на конкретную организацию путем размещения поддельных WiFi AP в ближайших едальнях — это более практично чем в аэропорту и у кого то дома.
Добычу проще на водопое отстреливать.
Мой комментарий был на то, что в статье прозвучало:
- об уязвимости, связанной с попытками Active Directory ломится на определенные доменные адреса.
- о том, что из таких попыток можно извлечь конфиденциальную информацию.
Для эксплуатации этой уязвимости не обязательно владеть доменом. Достаточно подделать DNS сервис (что делается элементарно, если не используется DNS+TLS).
По моему, это самое интересное. А то что кто то зажал домены и пытается их продать… не первый и не последний раз.
Дешевый ESP32 запитанный от "батарейки" или от сети в режиме WIFI_MODE_APSTA и с подпаченной lwip библиотекой (что бы как роутер работал) + доработанным dhcps. И вот лежит себе в уголке кафешки маленькая железка, притворяющаяся AP бесплатной сети, собирающая информацию на SD карту и/или отдающая ее в on-line или по запросу.
В статье речь не об атаке на конкретную организацию.
Разрешите писать не только о том, что явно написано в статье, но и о том, что можно сделать на основе информации в статье… Можно?
Домен необязательно покупать чтоб скормить его через вайфай :)
Ноут может быть рабочим, но необязательно корпоративным.
В моей практике часто бывало, когда личный мой ноут на работе получал доступ ко всем службам компании не зависимо входит ли пользователь хоть в одну "группу" или нет, и этот же ноут использовался для просмотра "видео с котиками".
Так что да, мне вполне можно работать из кафешки по бесплатному WiFi. Весь трафик идет в корпоративную сеть через VPN.
1)IP нужно выставить руками.
2)выход в интернет через прокси, а VPN через прокси работать не хочет(ну или требуется руками указать прокси, но сделать это нет прав) уж не помню как точно было.
За специальный vpn клиент работающий только под mac и Windows особое спасибо настройщика и закупщикам и чтоб им жизнь мёдом не казалась, тем кто принимал решение :)
И да ноут не корпоративный ;)
Хорошо известный тестировщик, который консультировал JAS по этому вопросу, отметил, что эксперимент был похож на «дождь из конфиденциальной информации», и что он никогда не видел ничего подобногоЯ не понял, а что, до сих пор куча «корпораций» работает с е-мейлом без TLS? То есть, не проверяется сертификат домена при подключении? Ведь почтовый клиент, я так понимаю, настроен на некий super-puper.corp, а DNS client лезет резолвить super-puper.corp.com, так ведь? Почему нет проверки сертификата?
Как уже выше написали, в случае перехвата на corp.com вообще, чаще всего, автоматические alert-ы шлются с оборудования, 10-20 лет назад настроенного (что не мешает этим alert-ам содержать security sensitive информацию. Как какой-нибудь контроллер двери будет проверять актуальность почтового сертификата сервера? Кто ему будет периодически обновлять список корневых сертификатов?
Я не говорю, что это всё хорошие практики: и WPAD можно отключить, и DNS-записи «своего» домена можно принудительно только со своих серверов получать и SMTP-alert-ы настроить безопасно. Но в условиях, когда десятилетиями не было никакой безопасности во многих сферах, найти и вычистить все такие ляпы, оставленные 10-20 лет назад, можно только при полной замене инфраструктуры, а это, зачастую, огромные деньги. Тот же домен переименовать можно только в test lab, в реальной корпоративной системе можно только параллельно создавать ещё одну инфраструктуру и на неё мигрировать годами, если не десятилетиями, и все эти годы процесс миграции будет вызывать проблему у всех: пользователей, администраторов, разработчиков, партнёров.
Потому что должен быть потерпевший, который подаст на них в суд. А потерпевшие ни сном, ни духом, спят спокойно.
Так у нас прокуратура тоже может "по факту" возбудить дело. Но для этого что в Штатах, что у нас, нужен специалист, как минимум, который сможет объяснить прокурору суть проблемы так, чтобы тот осознал и проникся. А в данном случае админы тучи контор, которые получают немалые деньги за свою работу, не понимают и не осознают опасности в тех настройках, которые они делают. И это типа "профильные специалисты". Что уж говорить о людях с юридическим образованием.
Ничего они не совершили.
Все данные им были предоставлены владельцами добровольно.
Осталось только умысел доказать.
Вы начитались детективов.
Никто ничего не перехватывал. Все данные были отправлены добровольно.
Конечно, если мы говорим о странах с работающим законом, но это и так понятно.
Там тоже добровольно данные запрашивали.
Пост снесен по просьбе автора (поскольку после поста доказывать умысел было не нужно, чел сам признался) но сохранился в архиве
https://web.archive.org/web/20190228223334/https://pikabu.ru/story/kak_piterskiy_interenetprovayder_trebuet_ot_svoego_abonenta_2_s_polovinoy_milliona_za_nakhozhdenie_uyazvimosti_6539807
И кому я писал последнее предложение.
Впрочем, и у самого бывает, что мозг за руками не успевает...
Никто ничего не перехватывал. Все данные были отправлены добровольно.
Не добровольно, а по ошибке. Если я вам сейчас в личку по ошибке вместо фотографии котика отправлю фото своей банковской карты с 6 сторон, или при личной встречи кину в вас пачкой денег — это совершенно не дает вам право этой информацией/деньгами распоряжаться.
Конечно, если мы говорим о странах с работающим законом, но это и так понятно.
И вышеприведенный пример будет работать даже в тех странах, которые вы подразумеваете. А с работающим законом особенно. Потому что в подавляющем количестве законодательств именно умысел является основопологающим признаком преступления
Не по ошибке, а добровольно.
Сознательно внеся изменения в конфигурацию своего ПО.
Умысла в "посмотреть что это за письмо мне тут в почтовый ящик вкинули" никакого нет.
Живите в реальном мире.
Если я внесу изменения в конфигурацию своего по введя rm -rf только не в нужной директории, а в корне — это добровольно, и я действительно ставил целью снести весь прод чтобы повеселить SRE, или это все таки ошибка того что я работаю под рутом?
Я не до конца понял, как решается проблема со стороны настройки Active Directory. Чтобы Windows не лезла куда не попадя, необходимо было указать полный настоящий домен (FQDN) по умолчанию (и это будет просто контролируемая компанией заглушка)? А что если (вдруг) у компании нет такого публичного домена?
Microsoft в десятке своих рекомендаций пишет огромными английскими буквами по белому, что для ADS необходимо использовать реальный FQDN. Прислушиваться к рекомендациям производителя, или плевать на них — личное дело каждого, да. Но если не прислушался, то виновата почему-то Microsoft.
И почему-то для win2k server нарушили свои же рекомендации для дефолтных настроек. Это не потому ли, что эти рекомендации появились гораздо позже выпуска win2k в прод?
Изначально, много лет использовались NetBIOS-домены из одного слова. Вся документация, все практики, всё ПО было рассчитано именно на это. Потом появился «модный» Internet с его доменными именами и для заново создаваемых инфраструктур (читай, фирм-стартапов) MS сделал возможность использовать «красивые» доменные имена, поначалу только в процессе настройки AD, потому что всё ПО всё равно работало строго с короткими именами, то есть «для красоты» домен мог называться «contosoint.contoso.com», но реально во всём ПО прописывался CONTOSOINT, так что многие вообще поверхностно относились к этой практически бессмысленной на тот момент настройке, не понимали, зачем она нужна, а поскольку в поле ввода при создании домена была подсказка вроде «example.com», то просто добавляли .com (отсюда и появился пресловутый «corp.com»), раз уж MS просит что-то ввести в это поле. Можно было вообще ничего не добавлять, а так и остаться на contosoint — с однословными доменами MS начала бороться лет через 5-10 после появления возможности делать «многословные», изначально это было два равнозначных варианта. Во всей литературе, в том числе от MS, в то время были рекомендации строго разделять внешнюю и внутреннюю доменные структуры, то есть в Интернет — contoso.com, а в AD домене — contoso.local, чтоб случайно ничего не перепутать.
Спустя годы MS стала двигаться в сторону перевода всех на DNS, и тут все эти .local, .corp и прочее стало вылазить боком. Тут-то они прозрели и переделали все рекомендации. Помню, в основной статье на эту тему даже дату изменения оставили старую, чтобы выглядело, будто «Океания всегда воевала с Остазией», но в archive.org оставалась старая статья со старыми рекомендациями. И оказалось, что всегда нужно было использовать что-то типа newyork.contoso.com, причём contoso.com должен вашей компании принадлежать (я бы посмотрел, как бы они сливали две фирмы с AD доменами newyork.contoso.com и newyork.fabricam.com!).
Что самое «смешное», MS сама не в состоянии следовать своим рекомендациям: один из их флагманских продуктов — SQL Server так и не научился с fully qualified доменами работать.
И ещё раз повторюсь, я не говорю, что всё это (особенно «corp.com») — хорошие практики, нет. Но те, кто такое наворотил 20 лет назад, могут быть уже давно на пенсии, а их «наследникам» разгребать и разгребать, вплоть до замены всей инфраструктуры. А расходы на поддержку работающей инфраструктуры и на её замену в масштабах enterprise могут различаться на огромные суммы, а на выходе — никакого видимого результата для бизнеса.
А MS — огромное «спасибо» за то, что подчёркнуто внутреннюю технологию они пристроили к внешней, практически без какого-либо положительного эффекта, но с огромным отрицательным для всего корпоративного мира.
Продавая злодеям Вы получаете ворованные деньги. Если компания бездействует, это будет не Ваша вина, а вина компании. Но в противном случае это будет именно Ваша вина.
Хотя можно попытаться поюзать страховку… Но даже в этом случае должны быть закреплены законодательные положения на этот счёт, чтобы не вышло такого, что часть компаний работает со страховкой, а часть без и предлагает свои продукты без страховки дешевле, из-за чего первые компании банкротятся, и на рынке снова остаются только компании, которые никак не компенсируют убытки.
А без страховок ввести ответственность нереально, т. к. компании будут слишком часто банкротиться, что негативно скажется на рынке. Конечно в части случаев они могут быть сами виноваты, но не во всех.
PS. Почему я говорю о полной компенсации — потому что именно про неё Вы сейчас сказали, потому что стоимость уязвимости на чёрном рынке будет сопоставима с количеством средств, которые будут украдены.
Нанесённый урон и полученная прибыль не равные суммы.
Для примера:
Поймал шифратор, заплатил вымогателю 1000 баксов.
Прибыль вымогателя 1000 баксов — расходы на атаку.
Убыль взломанного 1000 баксов+ время простоя + еботня с налоговой.
Как видите суммы получаются не равные.
Я думаю, я знаю, как можно объяснить свою точку зрения. 100% честно будет тогда, когда поиск уязвимостей будет подчиняться законам рынка. Чем больше людей готовы репортить серьёзные уязвимости, чем дешевле они должны быть, т. к. если не зарепортит один, то зарепортит другой, а значит труд этого одного не должен оцениваться слишком дорого. Цена в итоге должна стать такой, чтобы конкуренция среди исследователей была достаточно высокой, но при этом, естественно, цена не должна превышать стоимость уязвимости на чёрном рынке.
В случаях, когда мы сразу выкатываем уязвимость на рынок, этот принцип нарушается. Дело в том, что на поиск нужно какое-то время. Если бы эту уязвимость не нашёл один, то через какое-то время бы нашёл другой. Но выкатывая уязвимость прямо здесь и сейчас мы не даём компании этого времени, и таким образом просто шантажируем компанию: «либо вы платите неоправданно много денег, либо я сливаю эту уязвимость злоумышленникам».
И вот такой подход я не одобряю. Не всегда уязвимость должна стоить столько же, сколько за неё заплатили бы злоумышленники, т. к. это просто шантаж и нарушение принципов рынка, ведь если бы её не нашёл я, то нашёл бы кто-то другой.
Впрочем, если уязвимость давняя (больше года), то ничего супер-плохого тут нет, т. к. получается компания поставила за уязвимости слишком маленькую стоимость, и если бы не я, её бы скорее всего больше бы никто не нашёл длительное время. Получается у меня нет конкуренции, и я могу запросить максимально возможную сумму (равную цене на чёрном рынке).
Хотя даже в этом случае мне немного жалко компанию: как программист, я понимаю, что ошибки неизбежны, и компания не в состоянии избежать их полностью. С другой стороны большинство компаний очень халатно относятся к этому, поэтому их не жалко.
Зря он просто его продаёт. Этот раритет впору на Сотби'с выставлять. И зазвать на торги АНБ, ЦРУ, ФСБ, СВР, МИ-5, БНД, МОССАД и прочих особо страждущих. Жаль Штази уже нет. Они бы точно купили.
Ждём, не купит ли домен Linux Foundation.
А домен contoso мсовцы купили до или после этих игрищ?
А что если покупка Microsoft этого домена будет фактически признанием вины за недоработку? А так админы сами виноваты, неправильно настроили сеть. Тем более, если вдруг на этот домен начнут посылаться данные-можно будет засудить Microsoft за то, что они подслушивают. Может потому и не покупают?
Особенности реализации Active Directory приводят к тому, что даже без прямого запроса пользователя к //corp, ряд приложений (например, почта), стучатся по знакомому адресу самостоятельно. Но в случае внешнего подключения к сети в условной кафешке за углом это приводит к тому, что поток данных и запросов льется на corp.com.
Если честно не вполне понимаю, как в описании проблемы трафик для домена corp попадает к corp.com, если только ПК не входит в домен который называется corp.com. Если почтовый клиент подключается к почтовому серверу по имени corp, каким образом оно может отрезолвиться так, чтобы получился ip из записей домена corp.com?
выполните команды ping mypc.mydomain.ru
и ping mypc
Так же как mypc отрезолвится, так-же и corp
ping mypc.mydomain.ru
Резолв имени происходит через DNS. Если не отрезолвится — резолвер может попытаться дописать настроенные суффиксы
ping mypc
Резолв имени идёт через wins либо резолвер дописывает настроенные суффиксы
Теперь вопрос в студию: откуда у меня (владельца внутреннего домена с WINS именем CORP) на хосте в настроенных суффиксах должен свзяться ".com" !?
А почему это лучше, если домен выкупит Microsoft? Не думаю, что все компании, в которых криво настроен AD, доверяют Microsoft. Она ведь тоже может воспользоваться этими конфиденциальными данными.
krebsonsecurity.com/2020/04/microsoft-buys-corp-com-so-bad-guys-cant
Отключение этой службы входит в стандартный чек-лист по настройке (hardening) Windows сервера так же как и отключение SMB1 например.
Домен corp.com выставлен на продажу. Он опасен для сотен тысяч корпоративных компьютеров под управлением Windows