Domena corp.com wystawiona na sprzedaż. To zapowiedź kłopotów dla firm

Domena corp.com wystawiona na sprzedaż. To zapowiedź kłopotów dla firm10.02.2020 21:20
Domena corp.com wystawiona na sprzedaż (fot. Pixabay)

Jak informuje Brian Krebs na swoim portalu Krebs on Security, właściciel domeny corp.com planuje wystawić ją na sprzedaż. Ten pozornie niewinny akt i prosta transakcja biznesowa może mieć dalekosiężne konsekwencje dla szeregu firm i instytucji z całego świata, ponieważ "generyczność" domeny CORP czyni ją celem ruchu z wielu źle skonfigurowanych sieci. Problem jest zabawny i technicznie łatwy do uniknięcia, ale jak się okazuje – jego skala jest wstrząsająca.

Cała sprawa polega na tym, że nazwa "corp.com" jest bardzo często stosowanym dopełnieniem nazw domenowych w firmowych wdrożeniach Active Directory, gdzie DNS nie jest całkowicie autorytatywny, czyli jego domena nadrzędna nie jest częścią światowego drzewa DNS, a jedynie niejako "lokalną" domeną w drzewie/lesie AD. Co to znaczy?

Active Directory a DNS

Domena Active Directory nie może być wdrożona bez serwera DNS. Bardzo często rolę głównego, autorytatywnego serwera DNS w sieci pełni kontroler domeny Windows Server. Nie jest on zależny do serwerów wyższego rzędu, jest referencją sam dla siebie i dzięki temu można mu bezkarnie "wymyślić" nazwę domenową, rozwiązującą się wyłącznie lokalnie. System NetBIOS wymusza nazwę domeny, np. NTDOMAIN, i członkowie domeny uwierzytelniają się przed kontrolerem NTDOMAIN. Hierarchia DNS wymusza jednak, żeby nazwa domeny były w pełni kwalifikowaną nazwą domenową (FQDN). W takim przypadku nazwa "NTDOMAIN" to za mało.

Posiadacze pilnowanych domen delegują ze swojego DNS subdomenę dedykowaną domenie Active Directory i zapominają o sprawie. Osoby wdrażające domenę niezależną od zewnętrznego serwera nazw... popadają w kreatywność. Czasami w dobrą stronę, stosując np. FQDN "ntdomain.worknet.prv" lub "firma.worknet.internal". Niektórym jednak kreatywności brakuje i stosują nazwy domeny typu DOMENA oraz FQDN "domena.corp.com". Bo przecież są w korporacji, więc "corp". No i "com" musi być, żeby było światowo. Problem w tym, że "corp.com" jest adresem, który da się rozwiązać DNS-em nadrzędnym, z sieci WAN.

Pierwszy przykład z dokumentacji Active Directory. Jak się nazywa domena...?
Pierwszy przykład z dokumentacji Active Directory. Jak się nazywa domena...?

System Windows, gdy jest członkiem domeny, zakłada że każda nazwa skrócona oznacza nazwę możliwą do rozwiązania w domenie. Komputer "KRKPC-KAMILD01" staje się "\NTDOMAIN\KRKPC-KAMILD01" oraz, DNS-owo, "krkpc-kamild01.ntdomain.corp.com". Podobnie będzie ze wszystkimi zasobami udostępnionymi mu w sieci. Serwer pocztowy realizujący skrzynkę lista-plac@mail będzie rozwiązywany do mail.corp.com.

Routing przez Księżyc

Jeżeli nastąpi jakakolwiek sytuacja, która sprawi że zamiast kontrolera domeny, serwerem DNS stanie się niezależny serwer nadrzędny, a takich sytuacji może być sporo, to wewnętrzna poczta poleci do właściciela domeny "corp.com". I tak w istocie się dzieje.

[quote="aaa"]To było przerażające. Zakończylismy eksperyment po piętnastu minutach i zniszczyliśmy dane. (...) Zostaliśmy dosłownie zalani hasłami i pierwszy raz w życiu widzieliśmy coś podobnego.[/quote]Właściciel internetowej domeny corp.com, Mike O'Connor, podpiął do niej komputer i postawił na nim serwer pocztowy. Natychmiast zaczął otrzymywać tony niejawnej poczty pełnej wrażliwych danych. Badanie, które z kolei przeprowadził Jeff Schmidt, polegało na ustanowieniu na corp.com respondera na żądań logowania Active Directory i udostępniania plików Windows. Bardzo prędko okazało się, że firmowe konfiguracje DNS ciekną na masową skalę i sporo wewnętrznego ruchu, przynajmniej w kwestii rozwiązywania nazw, przechodzi przez WAN.

Dziś Microsoft stosuje inne nazwy. Tworzy to inne problemy
Dziś Microsoft stosuje inne nazwy. Tworzy to inne problemy

Nieodpowiedzialność administratorów

Trudno tutaj w całości obwiniać Microsoft i toksyczne zachowania jego produktów, doprawione przymusową zgodnością z nieinternetowym NetBIOS. Winni są przede wszystkim nieświadomi administratorzy sieci, którzy błędnie/leniwie/nieodpowiedzialnie konfigurują swoje serwery nazw. Microsoft ma tego świadomość. Nie tylko wydał mnóstwo podręczników dobrych praktyk wdrażania AD, ale także został właścicielem domeny contoso.com, która jest przykładową nazwą domeny stosowaną w próbkach kodu i ćwiczeniach z Active Directory i ASP.Net. Uczyniono tak zapewne z obawy przed tym, co mogą narobić ludzie żywcem przeklejający przykłady z internetu na produkcję.

"DNS a sprawa polska"

Sytuacja podobnej natury miała miejsce... w Polsce, jakieś 10-15 lat temu. Europejski Fundusz Społeczny sfinansował szkolne pracownie komputerowe oparte o domenę Windows Small Business Server 2003 (i potem 2008 Essential). Rozpinały one domenę sbsmenis.edu.pl (lub sbsmen). Nie przemyślano jednak pewnej kwestii: u nas bardzo często nikt za nic nie odpowiada.

Dzien dobry, czy jest tu jakiś cwaniak?
Dzien dobry, czy jest tu jakiś cwaniak?

Nie dość, że konfiguracja DNS nie leżała w gestii wdrożeniowców pracowni, a realizacja wytycznych zależała od nauczycieli informatyki, to jeszcze domena "edu.pl" wcale nie jest domeną państwową! Subdomenę można sobie po prostu kupić. I tak też postąpił ktoś przedsiębiorczy. Dostając wskutek tego pokażnej objętości ruch sieciowy z cieknących sieci.

Przejęcie corp.com nie jest zapewne tak samo medialne jak całe zamieszanie z operatorem TLD ".org", ale może się okazać nie mniej doniosłe w skutkach.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na