Pull to refresh

Comments 99

один из старейших инвесторов в доменные имена

Я бы этот род деятельности назвал несколько иначе, менее благозвучно.
Киберсквоттер, спекулянт?
Наверное все-таки спекулянт, киберсквоттинг это нечто гораздо хуже.
Занятно, как на постсоветском пространстве бизнес и инвестиции приобретают «менее благозвучный» вид всего лишь из-за разницы в менталитете. Ну хоть не «фарцовщик доменов», и на том спасибо.
Сложно назвать скупку доменов «инвестицией»

В самом деле, оказывается, в этом мире полно вещей, которые ещё можно запретить.

Инвестиция, это когда вы вкладываете деньги в развитие предприятия, а оно потом, пустив ваши деньги в оборот, приносит прибыль, делясь ей с вами. Тут связь прямая.
С доменами же всё несколько иначе — рост современного интернета и, как следствие, рост цен на доменные имена не связаны с тем, что кто-то 20 лет назад купил пару доменных имён за копейки — от слова никак.
UFO just landed and posted this here
А причем здесь биткоин? Это вовсе не необходимое и не обязательное для всех средство оплаты. Вот доменные имена — необходимы. К тому же грань между спекуляцией доменными именами и киберсквоттингом (а вот это последнее часто слишком смахивает на мошенничество, может быть подсудным) слишком тонка.

С вашей «нестранной» логикой можно пойти дальше и оправдать финансовые пирамиды, их создателей и тех, кто успел на пирамиде заработать, привлекая новых участников. Ведь они тоже вложили деньги в рисковый актив, потратились на меркетинг, да еще за решетку рискуют угодить.

Если вы считаете, что все тогда было понятно — у меня вопрос — сколько вы биткоинов по доллару купили?

0, а к чему это вообще?
А причем здесь биткоин? Это вовсе не необходимое и не обязательное для всех средство оплаты. Вот доменные имена — необходимы.

А если завтра биткоин станет (ха-ха) единой мировой валютой он тоже будет ненеобходимой вещью?
В 1994году необходимость доменных имен была очень неоднозначна, могла так и остаться внутренней кухней ведомств которые разрабатывали интернет и кучки техногиков
UFO just landed and posted this here
Интернет магазинов тоже не было

А в каком же году Пол Грэм свои миллионы заработал на конструкторе интернет-магазинов на Лиспе? :)

Странная логика.
Вот человек, который в битки вложился на заре у вас как определяется?

Доменные имена — публичный ресурс. Причем — уникальный. Который ему удалось захватить.
Точно так же можно захватить все удобные скамейки в парке, потому что первым успел добежать когда парк открыли.
Понятно, когда человек платит конкурентно за важный ресурс, скажем козырное место для магазина на проходе, — аукционная система. И тогда подобные бы "инвесторы" отпали. А так просто "захватчики". И стоило это — гроши, кажется пару баксов. Все годное разобрали едва ли не мгновенно, несколько минут IMHO — скрипты писали генерирующие и регистрирующие.


Биткойн, как и любое тиражируемое, тем более где цена определяется рынком — не уникальный ресурс. Как и 100 баксов не уникальный ресурс несмотря на номер на банкноте.

скажем козырное место для магазина на проходе,

Вот отличный пример. Купил пустырь, потом вокруг отгрохали микрорайон и стал козырным местом на проходе.
В отличии от биткойнов, доменные имена это крайне ограниченный, невозобновляемый, и, самое главное, безальтернативный ресурс. Причем это было очевидно даже в 1994 году: сеть, объединяющая большую часть мира, просто не может не стать популярной, и появление денег в ней — вопрос очень небольшого отрезка времени. И уже где-то с 1995 года начался бум доткомов. Неудивительно, что нашлось так много ушлых людей, скупавших домены буквально по английскому словарю, и никаким риском там даже не пахло. Называть скупщика доменов «человеком, который инвестирует в высокорисковые активы», все равно что называть так какого-нибудь нефтяника — ведь теоретически, риск в этой отрасли тоже присутствует: вдруг сегодня ты в разработку нового месторождения вложился, а завтра все вдруг разом на электромобили пересели?
UFO just landed and posted this here

А нельзя было использовать какой-нибудь example.com, рекомендованный icann, а не Corp.com, и проблемы бы не было. Майки как обычно сами себе проблемы создают.

Это не проблема Майкрософт на самом деле. Скинуться на выкуп домена должны те у кого AD настроен через одно место

… в том числе Microsoft, как упомянуто в статье.

UFO just landed and posted this here

Да всем насрать, на самом деле. Ну худшее, что может произойти — домен уплывет и информация об этой схеме как-то дойдет до аудиторов. Аудиторы же начнут жучить корпорации на предмет ActiveDirectory. По репутации винды это не особо ударит, были сотни более крупных факапов, а винда майкрософт всех живых.

UFO just landed and posted this here
Ну у Майкрософт это могли бы быть какие-то тестовые сети, учебные и тп

Да-да, конечно. Например, представьте, что я разработчик какого-нибудь популярного софта, и я выпустил дефолтный конфиг с вашим email для примера. Вы начинаете получать кучу писем от непонятных людей, пишете мне просьбу исправить дефолтный конфиг, а я говорю, что это не моя проблема, а кривые юзеры которые не могут поправить конфиг по-умолчанию.
Домен example com специально создан, и рекомендован для указания в дефолтный конфигах, т. к. он зарезервирован для этих целей, и его никто не может зарегистрировать на свое имя.

Кстати, запись 127.0.0.1 corp.com в файле hosts.txt разве не должна решить проблему?

Нет, там в поддоменах проблема. B в записях SRV, которые через hosts не "проходят".

Дождь из конфиденциальных данных — звучит как реклама.

Естественно, иначе домен за 1.7млн$ не продашь, дадут 20k$ и всё.
Реклама или нет, каждый админ АД может сам проверить насколько важна описываемая уязвимость, создав стенд с некоторым количеством клиентов и злополучной зоной.

Ладно домен. Самое интересное в статье:


Хорошо известный тестировщик, который консультировал JAS по этому вопросу, отметил, что эксперимент был похож на «дождь из конфиденциальной информации», и что он никогда не видел ничего подобного

Судя по тому что написано в статье, из запросов Active Directory можно вытащить много интересного.
Никогда не интересовался, что в этом трафике… надо почитать.


Атаки с поддельными WiFi AP в открытых сетях.
Это же просто, обрабатывать DNS запросы с определенными именами хостов, отправляя их к "себе" и выступать как роутер для всего остального, что бы "клиент" ничего не заподозрил.


Какая интересная тема. Почему то не слышал про такие атаки (Active Directory) раньше.
Открытые сети или даже закрытые сети но с известными пароля — это похоже такая дыра в безопасности.


Сотрудник захвативший корпоративный ноут на обед в кафешку с бесплатным WiFi — это же так типично.

Сотрудник захвативший корпоративный ноут на обед в кафешку с бесплатным WiFi — это же так типично.

Reductio ad absurdum?

Корпоративный ноут в зале ожидания аэропорта или даже просто дома уже не так необычно выглядит?
Корпоративный ноут в зале ожидания аэропорта или даже просто дома уже не так необычно выглядит?

Атака на конкретную организацию путем размещения поддельных WiFi AP в ближайших едальнях — это более практично чем в аэропорту и у кого то дома.
Добычу проще на водопое отстреливать.

В статье речь не об атаке на конкретную организацию.

Мой комментарий был на то, что в статье прозвучало:


  • об уязвимости, связанной с попытками Active Directory ломится на определенные доменные адреса.
  • о том, что из таких попыток можно извлечь конфиденциальную информацию.

Для эксплуатации этой уязвимости не обязательно владеть доменом. Достаточно подделать DNS сервис (что делается элементарно, если не используется DNS+TLS).


По моему, это самое интересное. А то что кто то зажал домены и пытается их продать… не первый и не последний раз.


Дешевый ESP32 запитанный от "батарейки" или от сети в режиме WIFI_MODE_APSTA и с подпаченной lwip библиотекой (что бы как роутер работал) + доработанным dhcps. И вот лежит себе в уголке кафешки маленькая железка, притворяющаяся AP бесплатной сети, собирающая информацию на SD карту и/или отдающая ее в on-line или по запросу.


В статье речь не об атаке на конкретную организацию.

Разрешите писать не только о том, что явно написано в статье, но и о том, что можно сделать на основе информации в статье… Можно?

Что мешает тогда выдавать ДНС, отвечающий на corp.com?
Домен необязательно покупать чтоб скормить его через вайфай :)

Но масштаб все же не тот будет. Зато более прицельно, можно специально на сотрудников определенной организации так охотиться. Можно даже специально их уговорить в такую кафешку придти на самом деле.

Ноут может быть рабочим, но необязательно корпоративным.
В моей практике часто бывало, когда личный мой ноут на работе получал доступ ко всем службам компании не зависимо входит ли пользователь хоть в одну "группу" или нет, и этот же ноут использовался для просмотра "видео с котиками".

Нормально настроенный корпоративный Windows ноут из всего интернета пускает только на страницу логина корпоративного VPNа, да и то — только из специально настроенного VPN клиента. Без наличия прав администратора — особо ничего изнутри не похакаешь. А учитывая возможное присутствие всяких присматривающих за тобой хорошо замаскированных утилит от безопасников, попытаться вылезти в интернет в обход VPNa может только ССЗБ.

Так что да, мне вполне можно работать из кафешки по бесплатному WiFi. Весь трафик идет в корпоративную сеть через VPN.
Есть куча нюансов, в любом случае. Можете получить звонок в 3 часа ночи от VIP, который прилетел на важную встречу, поселился в гостинице, ему срочно нужно что-то сделать до утренней встречи, а в гостинице в интернет нужно сначала войти, открыв в браузере http://www.[hotelname].com и вписав свой номер комнаты.
Ещё 2 кейса, в которых данная система может не работать.
1)IP нужно выставить руками.
2)выход в интернет через прокси, а VPN через прокси работать не хочет(ну или требуется руками указать прокси, но сделать это нет прав) уж не помню как точно было.

За специальный vpn клиент работающий только под mac и Windows особое спасибо настройщика и закупщикам и чтоб им жизнь мёдом не казалась, тем кто принимал решение :)
И да ноут не корпоративный ;)

Хорошо известный тестировщик, который консультировал JAS по этому вопросу, отметил, что эксперимент был похож на «дождь из конфиденциальной информации», и что он никогда не видел ничего подобного
Я не понял, а что, до сих пор куча «корпораций» работает с е-мейлом без TLS? То есть, не проверяется сертификат домена при подключении? Ведь почтовый клиент, я так понимаю, настроен на некий super-puper.corp, а DNS client лезет резолвить super-puper.corp.com, так ведь? Почему нет проверки сертификата?
А кто запретит создать сертификат на *.corp.com если это твой домен?
Так нет, почтовый клиент ведь ничего не знает про corp.com, он коннектится к super-puper.corp, значит и сертификат должен быть соответствующий.
Как вы себе это представляете? Даже на ip адреса tls сертификаты выдаются со страшным скрипом, даже если вы владете AS с этим ip. А получить на несуществующий tld сертификат невозможно. Chrome же смотрит теперь CT. (https://data.iana.org/TLD/tlds-alpha-by-domain.txt — нет там .corp.
Так я об этом и говорю! Надо заниматься безопасностью на всех уровнях. И в первую очередь шифровать трафик. И без сертификата на правильный домен шифрования не будет.
подозреваю, что там тупой SMTP-клиент, который доверяет серверу corp, считая, что тот находится в доверенной сети, и подключается к нему по 25 порту (а не 425)
Ну вот с этого и надо начинать в первую очередь, разве не так? Иначе все пересылаемые письма будут лететь по сетям в открытом виде, и не важно какой домен настроен :)
Потому что SMTP изначально не доверенный протокол, шифрование опционально. В мире гигантское количество почтовых серверов. У многих сертификат просрочен, self-signed или не покрывает все обрабатываемые домены. Opportunistic шифрование вообще решает только задачу защиты от пассивного наблюдения, против MitM-атак оно в любом случае бессильно, потому не имеет смысла в общем случае прерывать соединение, если сертификат есть, но неправильный. Принудительное шифрование SMTP появилось пару лет назад, требует усложнения инфраструктуры (DNSSEC или дополнительный HTTPS сервер) и поддержки всеми партнёрами. В реальной жизни на почтовых серверах такой зоопарк, что не то, что новые стандарты невозможно принудительно выставить, а приходится поддерживать все возможные конфигурации 10-20-летней давности, иначе будут теряться письма от контрагентов. TLS1.0 никак выключить не могут, несмотря на требования регуляторов, потому что старые сервера контрагентов входят в STARTTLS, не могут согласовать шифрование и отключаются, нет у них механизма отката на нешифрованное соединение.

Как уже выше написали, в случае перехвата на corp.com вообще, чаще всего, автоматические alert-ы шлются с оборудования, 10-20 лет назад настроенного (что не мешает этим alert-ам содержать security sensitive информацию. Как какой-нибудь контроллер двери будет проверять актуальность почтового сертификата сервера? Кто ему будет периодически обновлять список корневых сертификатов?

Я не говорю, что это всё хорошие практики: и WPAD можно отключить, и DNS-записи «своего» домена можно принудительно только со своих серверов получать и SMTP-alert-ы настроить безопасно. Но в условиях, когда десятилетиями не было никакой безопасности во многих сферах, найти и вычистить все такие ляпы, оставленные 10-20 лет назад, можно только при полной замене инфраструктуры, а это, зачастую, огромные деньги. Тот же домен переименовать можно только в test lab, в реальной корпоративной системе можно только параллельно создавать ещё одну инфраструктуру и на неё мигрировать годами, если не десятилетиями, и все эти годы процесс миграции будет вызывать проблему у всех: пользователей, администраторов, разработчиков, партнёров.
Либо «шоковая терапия»: корпоративная почта просто отключается, и юзеры временно используют бесплатную почту от того же Гугла, а в пределах офиса таскают информацию на флешках. Если письмо не проходит — подняли трубку и позвонили. За пару дней бизнес-процессы со скрипом пойдут как раньше, а там, глядишь, и новую инфраструктуру админы сделают.
Как правило речь о сетях, в которых настраивали домен либо очень давно, либо уборщицы. Одно тянет другое. Дефолтный corp.com и почта без TLS. Верю.
Де-факто владелец домена и тестировщики совершили криминальное правонарушение (перехват чужой конфиденциальной информации). Не понимаю почему им это сошло с рук.

Потому что должен быть потерпевший, который подаст на них в суд. А потерпевшие ни сном, ни духом, спят спокойно.

В США с ними может судиться штат. Вполне.

Так у нас прокуратура тоже может "по факту" возбудить дело. Но для этого что в Штатах, что у нас, нужен специалист, как минимум, который сможет объяснить прокурору суть проблемы так, чтобы тот осознал и проникся. А в данном случае админы тучи контор, которые получают немалые деньги за свою работу, не понимают и не осознают опасности в тех настройках, которые они делают. И это типа "профильные специалисты". Что уж говорить о людях с юридическим образованием.

В Штатах — может быть, а у нас: как сказали судье — так и будет судить. А специалисты на хрен пошлют! Что неоднократно доказано роскомпозором.

Ничего они не совершили.
Все данные им были предоставлены владельцами добровольно.

Они знали что будут перехватывать чужие данные? Знали.
Осталось только умысел доказать.

Вы начитались детективов.
Никто ничего не перехватывал. Все данные были отправлены добровольно.


Конечно, если мы говорим о странах с работающим законом, но это и так понятно.

вспоминается история с WPAD и питерским скайнетом
Там тоже добровольно данные запрашивали.
Пост снесен по просьбе автора (поскольку после поста доказывать умысел было не нужно, чел сам признался) но сохранился в архиве
https://web.archive.org/web/20190228223334/https://pikabu.ru/story/kak_piterskiy_interenetprovayder_trebuet_ot_svoego_abonenta_2_s_polovinoy_milliona_za_nakhozhdenie_uyazvimosti_6539807

И кому я писал последнее предложение.
Впрочем, и у самого бывает, что мозг за руками не успевает...

Никто ничего не перехватывал. Все данные были отправлены добровольно.

Не добровольно, а по ошибке. Если я вам сейчас в личку по ошибке вместо фотографии котика отправлю фото своей банковской карты с 6 сторон, или при личной встречи кину в вас пачкой денег — это совершенно не дает вам право этой информацией/деньгами распоряжаться.
Конечно, если мы говорим о странах с работающим законом, но это и так понятно.

И вышеприведенный пример будет работать даже в тех странах, которые вы подразумеваете. А с работающим законом особенно. Потому что в подавляющем количестве законодательств именно умысел является основопологающим признаком преступления

Не по ошибке, а добровольно.
Сознательно внеся изменения в конфигурацию своего ПО.


Умысла в "посмотреть что это за письмо мне тут в почтовый ящик вкинули" никакого нет.


Живите в реальном мире.

Чисто риторический вопрос.
Если я внесу изменения в конфигурацию своего по введя rm -rf только не в нужной директории, а в корне — это добровольно, и я действительно ставил целью снести весь прод чтобы повеселить SRE, или это все таки ошибка того что я работаю под рутом?

Если это аудитор, тестирующий работу например бэкапов — нет, не ошибка. Так что самого по себе одного лишь факта — мало для суждения.

Интересно, чем там случай с впад и скайнетом закончился?

Я не до конца понял, как решается проблема со стороны настройки Active Directory. Чтобы Windows не лезла куда не попадя, необходимо было указать полный настоящий домен (FQDN) по умолчанию (и это будет просто контролируемая компанией заглушка)? А что если (вдруг) у компании нет такого публичного домена?

Microsoft в десятке своих рекомендаций пишет огромными английскими буквами по белому, что для ADS необходимо использовать реальный FQDN. Прислушиваться к рекомендациям производителя, или плевать на них — личное дело каждого, да. Но если не прислушался, то виновата почему-то Microsoft.

И почему-то для win2k server нарушили свои же рекомендации для дефолтных настроек. Это не потому ли, что эти рекомендации появились гораздо позже выпуска win2k в прод?

Это ничего, что с тех пор 20 лет прошло и мир слегка изменился? Хочешь хотя бы стоять — быстро беги вперед, и никак иначе.

В том то и дело, что Microsoft свои рекомендации развернула на 180° за эти годы.

Изначально, много лет использовались NetBIOS-домены из одного слова. Вся документация, все практики, всё ПО было рассчитано именно на это. Потом появился «модный» Internet с его доменными именами и для заново создаваемых инфраструктур (читай, фирм-стартапов) MS сделал возможность использовать «красивые» доменные имена, поначалу только в процессе настройки AD, потому что всё ПО всё равно работало строго с короткими именами, то есть «для красоты» домен мог называться «contosoint.contoso.com», но реально во всём ПО прописывался CONTOSOINT, так что многие вообще поверхностно относились к этой практически бессмысленной на тот момент настройке, не понимали, зачем она нужна, а поскольку в поле ввода при создании домена была подсказка вроде «example.com», то просто добавляли .com (отсюда и появился пресловутый «corp.com»), раз уж MS просит что-то ввести в это поле. Можно было вообще ничего не добавлять, а так и остаться на contosoint — с однословными доменами MS начала бороться лет через 5-10 после появления возможности делать «многословные», изначально это было два равнозначных варианта. Во всей литературе, в том числе от MS, в то время были рекомендации строго разделять внешнюю и внутреннюю доменные структуры, то есть в Интернет — contoso.com, а в AD домене — contoso.local, чтоб случайно ничего не перепутать.

Спустя годы MS стала двигаться в сторону перевода всех на DNS, и тут все эти .local, .corp и прочее стало вылазить боком. Тут-то они прозрели и переделали все рекомендации. Помню, в основной статье на эту тему даже дату изменения оставили старую, чтобы выглядело, будто «Океания всегда воевала с Остазией», но в archive.org оставалась старая статья со старыми рекомендациями. И оказалось, что всегда нужно было использовать что-то типа newyork.contoso.com, причём contoso.com должен вашей компании принадлежать (я бы посмотрел, как бы они сливали две фирмы с AD доменами newyork.contoso.com и newyork.fabricam.com!).

Что самое «смешное», MS сама не в состоянии следовать своим рекомендациям: один из их флагманских продуктов — SQL Server так и не научился с fully qualified доменами работать.

И ещё раз повторюсь, я не говорю, что всё это (особенно «corp.com») — хорошие практики, нет. Но те, кто такое наворотил 20 лет назад, могут быть уже давно на пенсии, а их «наследникам» разгребать и разгребать, вплоть до замены всей инфраструктуры. А расходы на поддержку работающей инфраструктуры и на её замену в масштабах enterprise могут различаться на огромные суммы, а на выходе — никакого видимого результата для бизнеса.

А MS — огромное «спасибо» за то, что подчёркнуто внутреннюю технологию они пристроили к внешней, практически без какого-либо положительного эффекта, но с огромным отрицательным для всего корпоративного мира.
Правильно ли я понимаю, что если у меня Active Directory управляет доменом mycompany.local, и Петров взял свой рабочий ноутбук в командировку, то владелец wifi-сети, к которой Петров подключился, может поднять фишинговый контроллер домена mycompany.local и получить какие-то конфиденциальные данные Петрова? Какие именно? А как же kerberos?

Если все-все-все программы для работы в домене используют именно kerberos — то всё в порядке. Но многие почему-то считают, что получить открытые логин с паролем и проверить их по LDAP — вполне надёжная защита...

IMHO Странный вопросник… Добавили-бы хотя бы «Продать любому покупателю готовому заплатить запрошенную суму» — я бы проголосовал. Если купит злодей то все равно рано или поздно его поймают и домен отберут — всех делов.
UFO just landed and posted this here
Это не очень хорошо. Если Microsoft готова выкупить, почему бы и нет. Да, злодеи могут заплатить больше — это само собой разумеющееся. Но так можно и уязвимости тоже продавать злодеям: даже если компания готова выкупить, злодеи почти всегда могут предложить больше.

Продавая злодеям Вы получаете ворованные деньги. Если компания бездействует, это будет не Ваша вина, а вина компании. Но в противном случае это будет именно Ваша вина.
UFO just landed and posted this here
В чём-то Вы правы, но я точно не уверен, что полностью взять ответственность за все уязвимости (и полностью компенсировать убытки от них) реально в современном мире.

Хотя можно попытаться поюзать страховку… Но даже в этом случае должны быть закреплены законодательные положения на этот счёт, чтобы не вышло такого, что часть компаний работает со страховкой, а часть без и предлагает свои продукты без страховки дешевле, из-за чего первые компании банкротятся, и на рынке снова остаются только компании, которые никак не компенсируют убытки.

А без страховок ввести ответственность нереально, т. к. компании будут слишком часто банкротиться, что негативно скажется на рынке. Конечно в части случаев они могут быть сами виноваты, но не во всех.

PS. Почему я говорю о полной компенсации — потому что именно про неё Вы сейчас сказали, потому что стоимость уязвимости на чёрном рынке будет сопоставима с количеством средств, которые будут украдены.
У вас логическая ошибка.
Нанесённый урон и полученная прибыль не равные суммы.
Для примера:
Поймал шифратор, заплатил вымогателю 1000 баксов.
Прибыль вымогателя 1000 баксов — расходы на атаку.
Убыль взломанного 1000 баксов+ время простоя + еботня с налоговой.
Как видите суммы получаются не равные.
Потенциально урон может доходить до уровня прибыли, например, при воровстве с карты. В таких случаях компании придётся заплатить за уязвимость почти полный возможный ущерб. Но в большинстве случаев да, придётся заплатить меньше.

Я думаю, я знаю, как можно объяснить свою точку зрения. 100% честно будет тогда, когда поиск уязвимостей будет подчиняться законам рынка. Чем больше людей готовы репортить серьёзные уязвимости, чем дешевле они должны быть, т. к. если не зарепортит один, то зарепортит другой, а значит труд этого одного не должен оцениваться слишком дорого. Цена в итоге должна стать такой, чтобы конкуренция среди исследователей была достаточно высокой, но при этом, естественно, цена не должна превышать стоимость уязвимости на чёрном рынке.

В случаях, когда мы сразу выкатываем уязвимость на рынок, этот принцип нарушается. Дело в том, что на поиск нужно какое-то время. Если бы эту уязвимость не нашёл один, то через какое-то время бы нашёл другой. Но выкатывая уязвимость прямо здесь и сейчас мы не даём компании этого времени, и таким образом просто шантажируем компанию: «либо вы платите неоправданно много денег, либо я сливаю эту уязвимость злоумышленникам».

И вот такой подход я не одобряю. Не всегда уязвимость должна стоить столько же, сколько за неё заплатили бы злоумышленники, т. к. это просто шантаж и нарушение принципов рынка, ведь если бы её не нашёл я, то нашёл бы кто-то другой.

Впрочем, если уязвимость давняя (больше года), то ничего супер-плохого тут нет, т. к. получается компания поставила за уязвимости слишком маленькую стоимость, и если бы не я, её бы скорее всего больше бы никто не нашёл длительное время. Получается у меня нет конкуренции, и я могу запросить максимально возможную сумму (равную цене на чёрном рынке).

Хотя даже в этом случае мне немного жалко компанию: как программист, я понимаю, что ошибки неизбежны, и компания не в состоянии избежать их полностью. С другой стороны большинство компаний очень халатно относятся к этому, поэтому их не жалко.

Зря он просто его продаёт. Этот раритет впору на Сотби'с выставлять. И зазвать на торги АНБ, ЦРУ, ФСБ, СВР, МИ-5, БНД, МОССАД и прочих особо страждущих. Жаль Штази уже нет. Они бы точно купили.

А домен contoso мсовцы купили до или после этих игрищ?

Я так понимаю, частично обезопаситься можно, если поднять зону corp.com на DNS серверах своей локальной сети (при условии, что все Windows-устройства их используют).
Нет, речь об устройствах которые «временно» вышли из корп.сетки и работают снаружи
А, ну тогда конечно, этим не помочь.

Интересно было бы услышать ответ представителя MS, но что-то подсказывает, что реакции не будет.

А что если покупка Microsoft этого домена будет фактически признанием вины за недоработку? А так админы сами виноваты, неправильно настроили сеть. Тем более, если вдруг на этот домен начнут посылаться данные-можно будет засудить Microsoft за то, что они подслушивают. Может потому и не покупают?

Особенности реализации Active Directory приводят к тому, что даже без прямого запроса пользователя к //corp, ряд приложений (например, почта), стучатся по знакомому адресу самостоятельно. Но в случае внешнего подключения к сети в условной кафешке за углом это приводит к тому, что поток данных и запросов льется на corp.com.

Если честно не вполне понимаю, как в описании проблемы трафик для домена corp попадает к corp.com, если только ПК не входит в домен который называется corp.com. Если почтовый клиент подключается к почтовому серверу по имени corp, каким образом оно может отрезолвиться так, чтобы получился ip из записей домена corp.com?
у вас есть ПК mypc.mydomain.ru
выполните команды ping mypc.mydomain.ru
и ping mypc
Так же как mypc отрезолвится, так-же и corp
я насколько понял пример, я с пк mypc.corp пингую mypc.corp, а попадаю на mypc.corp.com
С какого перепугу?
ping mypc.mydomain.ru

Резолв имени происходит через DNS. Если не отрезолвится — резолвер может попытаться дописать настроенные суффиксы
ping mypc

Резолв имени идёт через wins либо резолвер дописывает настроенные суффиксы

Теперь вопрос в студию: откуда у меня (владельца внутреннего домена с WINS именем CORP) на хосте в настроенных суффиксах должен свзяться ".com" !?

А почему это лучше, если домен выкупит Microsoft? Не думаю, что все компании, в которых криво настроен AD, доверяют Microsoft. Она ведь тоже может воспользоваться этими конфиденциальными данными.

Потому что если Microsoft было бы надо — прилетело бы обновление к Windows Server которое отправляет копию данных в Microsoft. Разумеется для безопасности пользователей и сбора информации об использовании.
Когда ты ставишь Винду, ты итак доверяешь Microsoft.
Судя по последним новостям из Швейцарии, большой брат за этой дырой давно и пристально приглядывает.
Это старая и известная уязвимость блокируется отключением службы WinHTTP Web Proxy Auto-Discovery Service (WinHttpAutoProxySvc). Её просто нужно сделать Disabled.
Отключение этой службы входит в стандартный чек-лист по настройке (hardening) Windows сервера так же как и отключение SMB1 например.
Sign up to leave a comment.