Domena corp.com wystawiona na sprzedaż. To zapowiedź kłopotów dla firm Strona główna Aktualności10.02.2020 21:20 Domena corp.com wystawiona na sprzedaż (fot. Pixabay) Udostępnij: O autorze Kamil J. Dudek @wielkipiec Jak informuje Brian Krebs na swoim portalu Krebs on Security, właściciel domeny corp.com planuje wystawić ją na sprzedaż. Ten pozornie niewinny akt i prosta transakcja biznesowa może mieć dalekosiężne konsekwencje dla szeregu firm i instytucji z całego świata, ponieważ "generyczność" domeny CORP czyni ją celem ruchu z wielu źle skonfigurowanych sieci. Problem jest zabawny i technicznie łatwy do uniknięcia, ale jak się okazuje – jego skala jest wstrząsająca. Cała sprawa polega na tym, że nazwa "corp.com" jest bardzo często stosowanym dopełnieniem nazw domenowych w firmowych wdrożeniach Active Directory, gdzie DNS nie jest całkowicie autorytatywny, czyli jego domena nadrzędna nie jest częścią światowego drzewa DNS, a jedynie niejako "lokalną" domeną w drzewie/lesie AD. Co to znaczy? Dangerous domain https://t.co/pXnIcDKyO5 goes up for sale. It's dangerous because years of testing shows whoever wields it would have access to an unending stream of passwords,email/proprietary data from hundreds of 1,000s of systemsat big companies https://t.co/eUwt9FdyYe pic.twitter.com/qJBQn7P3ls— briankrebs (@briankrebs) February 8, 2020 Active Directory a DNS Domena Active Directory nie może być wdrożona bez serwera DNS. Bardzo często rolę głównego, autorytatywnego serwera DNS w sieci pełni kontroler domeny Windows Server. Nie jest on zależny do serwerów wyższego rzędu, jest referencją sam dla siebie i dzięki temu można mu bezkarnie "wymyślić" nazwę domenową, rozwiązującą się wyłącznie lokalnie. System NetBIOS wymusza nazwę domeny, np. NTDOMAIN, i członkowie domeny uwierzytelniają się przed kontrolerem NTDOMAIN. Hierarchia DNS wymusza jednak, żeby nazwa domeny były w pełni kwalifikowaną nazwą domenową (FQDN). W takim przypadku nazwa "NTDOMAIN" to za mało. Posiadacze pilnowanych domen delegują ze swojego DNS subdomenę dedykowaną domenie Active Directory i zapominają o sprawie. Osoby wdrażające domenę niezależną od zewnętrznego serwera nazw... popadają w kreatywność. Czasami w dobrą stronę, stosując np. FQDN "ntdomain.worknet.prv" lub "firma.worknet.internal". Niektórym jednak kreatywności brakuje i stosują nazwy domeny typu DOMENA oraz FQDN "domena.corp.com". Bo przecież są w korporacji, więc "corp". No i "com" musi być, żeby było światowo. Problem w tym, że "corp.com" jest adresem, który da się rozwiązać DNS-em nadrzędnym, z sieci WAN. Pierwszy przykład z dokumentacji Active Directory. Jak się nazywa domena...? System Windows, gdy jest członkiem domeny, zakłada że każda nazwa skrócona oznacza nazwę możliwą do rozwiązania w domenie. Komputer "KRKPC-KAMILD01" staje się "\\NTDOMAIN\KRKPC-KAMILD01" oraz, DNS-owo, "krkpc-kamild01.ntdomain.corp.com". Podobnie będzie ze wszystkimi zasobami udostępnionymi mu w sieci. Serwer pocztowy realizujący skrzynkę lista-plac@mail będzie rozwiązywany do mail.corp.com. Routing przez Księżyc Jeżeli nastąpi jakakolwiek sytuacja, która sprawi że zamiast kontrolera domeny, serwerem DNS stanie się niezależny serwer nadrzędny, a takich sytuacji może być sporo, to wewnętrzna poczta poleci do właściciela domeny "corp.com". I tak w istocie się dzieje. To było przerażające. Zakończylismy eksperyment po piętnastu minutach i zniszczyliśmy dane. (...) Zostaliśmy dosłownie zalani hasłami i pierwszy raz w życiu widzieliśmy coś podobnego. Właściciel internetowej domeny corp.com, Mike O'Connor, podpiął do niej komputer i postawił na nim serwer pocztowy. Natychmiast zaczął otrzymywać tony niejawnej poczty pełnej wrażliwych danych. Badanie, które z kolei przeprowadził Jeff Schmidt, polegało na ustanowieniu na corp.com respondera na żądań logowania Active Directory i udostępniania plików Windows. Bardzo prędko okazało się, że firmowe konfiguracje DNS ciekną na masową skalę i sporo wewnętrznego ruchu, przynajmniej w kwestii rozwiązywania nazw, przechodzi przez WAN. Dziś Microsoft stosuje inne nazwy. Tworzy to inne problemy Nieodpowiedzialność administratorów Trudno tutaj w całości obwiniać Microsoft i toksyczne zachowania jego produktów, doprawione przymusową zgodnością z nieinternetowym NetBIOS. Winni są przede wszystkim nieświadomi administratorzy sieci, którzy błędnie/leniwie/nieodpowiedzialnie konfigurują swoje serwery nazw. Microsoft ma tego świadomość. Nie tylko wydał mnóstwo podręczników dobrych praktyk wdrażania AD, ale także został właścicielem domeny contoso.com, która jest przykładową nazwą domeny stosowaną w próbkach kodu i ćwiczeniach z Active Directory i ASP.Net. Uczyniono tak zapewne z obawy przed tym, co mogą narobić ludzie żywcem przeklejający przykłady z internetu na produkcję. "DNS a sprawa polska" Sytuacja podobnej natury miała miejsce... w Polsce, jakieś 10-15 lat temu. Europejski Fundusz Społeczny sfinansował szkolne pracownie komputerowe oparte o domenę Windows Small Business Server 2003 (i potem 2008 Essential). Rozpinały one domenę sbsmenis.edu.pl (lub sbsmen). Nie przemyślano jednak pewnej kwestii: u nas bardzo często nikt za nic nie odpowiada. Dzien dobry, czy jest tu jakiś cwaniak? Nie dość, że konfiguracja DNS nie leżała w gestii wdrożeniowców pracowni, a realizacja wytycznych zależała od nauczycieli informatyki, to jeszcze domena "edu.pl" wcale nie jest domeną państwową! Subdomenę można sobie po prostu kupić. I tak też postąpił ktoś przedsiębiorczy. Dostając wskutek tego pokażnej objętości ruch sieciowy z cieknących sieci. Przejęcie corp.com nie jest zapewne tak samo medialne jak całe zamieszanie z operatorem TLD ".org", ale może się okazać nie mniej doniosłe w skutkach. Internet Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Microsoft wykupił groźną domenę. Dla naszego dobra 8 kwi 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 114 Nadmiar wygody szkodzi prywatności: wyciek danych wyszukiwania w głównych przeglądarkach 16 cze 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 74 Windows 10 otrzymuje klienta DNS-over-HTTPS. Na razie tylko w Insider Preview 13 maj 2020 Kamil J. Dudek Internet IT.Pro 42 Coś bardzo dziwnego stało się z kluczami podpisującymi DNSSEC. Czy są powody do obaw? 14 lut 2020 Kamil J. Dudek Internet Bezpieczeństwo IT.Pro 29
Udostępnij: O autorze Kamil J. Dudek @wielkipiec Jak informuje Brian Krebs na swoim portalu Krebs on Security, właściciel domeny corp.com planuje wystawić ją na sprzedaż. Ten pozornie niewinny akt i prosta transakcja biznesowa może mieć dalekosiężne konsekwencje dla szeregu firm i instytucji z całego świata, ponieważ "generyczność" domeny CORP czyni ją celem ruchu z wielu źle skonfigurowanych sieci. Problem jest zabawny i technicznie łatwy do uniknięcia, ale jak się okazuje – jego skala jest wstrząsająca. Cała sprawa polega na tym, że nazwa "corp.com" jest bardzo często stosowanym dopełnieniem nazw domenowych w firmowych wdrożeniach Active Directory, gdzie DNS nie jest całkowicie autorytatywny, czyli jego domena nadrzędna nie jest częścią światowego drzewa DNS, a jedynie niejako "lokalną" domeną w drzewie/lesie AD. Co to znaczy? Dangerous domain https://t.co/pXnIcDKyO5 goes up for sale. It's dangerous because years of testing shows whoever wields it would have access to an unending stream of passwords,email/proprietary data from hundreds of 1,000s of systemsat big companies https://t.co/eUwt9FdyYe pic.twitter.com/qJBQn7P3ls— briankrebs (@briankrebs) February 8, 2020 Active Directory a DNS Domena Active Directory nie może być wdrożona bez serwera DNS. Bardzo często rolę głównego, autorytatywnego serwera DNS w sieci pełni kontroler domeny Windows Server. Nie jest on zależny do serwerów wyższego rzędu, jest referencją sam dla siebie i dzięki temu można mu bezkarnie "wymyślić" nazwę domenową, rozwiązującą się wyłącznie lokalnie. System NetBIOS wymusza nazwę domeny, np. NTDOMAIN, i członkowie domeny uwierzytelniają się przed kontrolerem NTDOMAIN. Hierarchia DNS wymusza jednak, żeby nazwa domeny były w pełni kwalifikowaną nazwą domenową (FQDN). W takim przypadku nazwa "NTDOMAIN" to za mało. Posiadacze pilnowanych domen delegują ze swojego DNS subdomenę dedykowaną domenie Active Directory i zapominają o sprawie. Osoby wdrażające domenę niezależną od zewnętrznego serwera nazw... popadają w kreatywność. Czasami w dobrą stronę, stosując np. FQDN "ntdomain.worknet.prv" lub "firma.worknet.internal". Niektórym jednak kreatywności brakuje i stosują nazwy domeny typu DOMENA oraz FQDN "domena.corp.com". Bo przecież są w korporacji, więc "corp". No i "com" musi być, żeby było światowo. Problem w tym, że "corp.com" jest adresem, który da się rozwiązać DNS-em nadrzędnym, z sieci WAN. Pierwszy przykład z dokumentacji Active Directory. Jak się nazywa domena...? System Windows, gdy jest członkiem domeny, zakłada że każda nazwa skrócona oznacza nazwę możliwą do rozwiązania w domenie. Komputer "KRKPC-KAMILD01" staje się "\\NTDOMAIN\KRKPC-KAMILD01" oraz, DNS-owo, "krkpc-kamild01.ntdomain.corp.com". Podobnie będzie ze wszystkimi zasobami udostępnionymi mu w sieci. Serwer pocztowy realizujący skrzynkę lista-plac@mail będzie rozwiązywany do mail.corp.com. Routing przez Księżyc Jeżeli nastąpi jakakolwiek sytuacja, która sprawi że zamiast kontrolera domeny, serwerem DNS stanie się niezależny serwer nadrzędny, a takich sytuacji może być sporo, to wewnętrzna poczta poleci do właściciela domeny "corp.com". I tak w istocie się dzieje. To było przerażające. Zakończylismy eksperyment po piętnastu minutach i zniszczyliśmy dane. (...) Zostaliśmy dosłownie zalani hasłami i pierwszy raz w życiu widzieliśmy coś podobnego. Właściciel internetowej domeny corp.com, Mike O'Connor, podpiął do niej komputer i postawił na nim serwer pocztowy. Natychmiast zaczął otrzymywać tony niejawnej poczty pełnej wrażliwych danych. Badanie, które z kolei przeprowadził Jeff Schmidt, polegało na ustanowieniu na corp.com respondera na żądań logowania Active Directory i udostępniania plików Windows. Bardzo prędko okazało się, że firmowe konfiguracje DNS ciekną na masową skalę i sporo wewnętrznego ruchu, przynajmniej w kwestii rozwiązywania nazw, przechodzi przez WAN. Dziś Microsoft stosuje inne nazwy. Tworzy to inne problemy Nieodpowiedzialność administratorów Trudno tutaj w całości obwiniać Microsoft i toksyczne zachowania jego produktów, doprawione przymusową zgodnością z nieinternetowym NetBIOS. Winni są przede wszystkim nieświadomi administratorzy sieci, którzy błędnie/leniwie/nieodpowiedzialnie konfigurują swoje serwery nazw. Microsoft ma tego świadomość. Nie tylko wydał mnóstwo podręczników dobrych praktyk wdrażania AD, ale także został właścicielem domeny contoso.com, która jest przykładową nazwą domeny stosowaną w próbkach kodu i ćwiczeniach z Active Directory i ASP.Net. Uczyniono tak zapewne z obawy przed tym, co mogą narobić ludzie żywcem przeklejający przykłady z internetu na produkcję. "DNS a sprawa polska" Sytuacja podobnej natury miała miejsce... w Polsce, jakieś 10-15 lat temu. Europejski Fundusz Społeczny sfinansował szkolne pracownie komputerowe oparte o domenę Windows Small Business Server 2003 (i potem 2008 Essential). Rozpinały one domenę sbsmenis.edu.pl (lub sbsmen). Nie przemyślano jednak pewnej kwestii: u nas bardzo często nikt za nic nie odpowiada. Dzien dobry, czy jest tu jakiś cwaniak? Nie dość, że konfiguracja DNS nie leżała w gestii wdrożeniowców pracowni, a realizacja wytycznych zależała od nauczycieli informatyki, to jeszcze domena "edu.pl" wcale nie jest domeną państwową! Subdomenę można sobie po prostu kupić. I tak też postąpił ktoś przedsiębiorczy. Dostając wskutek tego pokażnej objętości ruch sieciowy z cieknących sieci. Przejęcie corp.com nie jest zapewne tak samo medialne jak całe zamieszanie z operatorem TLD ".org", ale może się okazać nie mniej doniosłe w skutkach. Internet Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji