Cała sprawa polega na tym, że nazwa "corp.com" jest bardzo często stosowanym dopełnieniem nazw domenowych w firmowych wdrożeniach Active Directory, gdzie DNS nie jest całkowicie autorytatywny, czyli jego domena nadrzędna nie jest częścią światowego drzewa DNS, a jedynie niejako "lokalną" domeną w drzewie/lesie AD. Co to znaczy?
Active Directory a DNS
Domena Active Directory nie może być wdrożona bez serwera DNS. Bardzo często rolę głównego, autorytatywnego serwera DNS w sieci pełni kontroler domeny Windows Server. Nie jest on zależny do serwerów wyższego rzędu, jest referencją sam dla siebie i dzięki temu można mu bezkarnie "wymyślić" nazwę domenową, rozwiązującą się wyłącznie lokalnie. System NetBIOS wymusza nazwę domeny, np. NTDOMAIN, i członkowie domeny uwierzytelniają się przed kontrolerem NTDOMAIN. Hierarchia DNS wymusza jednak, żeby nazwa domeny były w pełni kwalifikowaną nazwą domenową (FQDN). W takim przypadku nazwa "NTDOMAIN" to za mało.
Posiadacze pilnowanych domen delegują ze swojego DNS subdomenę dedykowaną domenie Active Directory i zapominają o sprawie. Osoby wdrażające domenę niezależną od zewnętrznego serwera nazw... popadają w kreatywność. Czasami w dobrą stronę, stosując np. FQDN "ntdomain.worknet.prv" lub "firma.worknet.internal". Niektórym jednak kreatywności brakuje i stosują nazwy domeny typu DOMENA oraz FQDN "domena.corp.com". Bo przecież są w korporacji, więc "corp". No i "com" musi być, żeby było światowo. Problem w tym, że "corp.com" jest adresem, który da się rozwiązać DNS-em nadrzędnym, z sieci WAN.
System Windows, gdy jest członkiem domeny, zakłada że każda nazwa skrócona oznacza nazwę możliwą do rozwiązania w domenie. Komputer "KRKPC-KAMILD01" staje się "\NTDOMAIN\KRKPC-KAMILD01" oraz, DNS-owo, "krkpc-kamild01.ntdomain.corp.com". Podobnie będzie ze wszystkimi zasobami udostępnionymi mu w sieci. Serwer pocztowy realizujący skrzynkę lista-plac@mail będzie rozwiązywany do mail.corp.com.
Routing przez Księżyc
Jeżeli nastąpi jakakolwiek sytuacja, która sprawi że zamiast kontrolera domeny, serwerem DNS stanie się niezależny serwer nadrzędny, a takich sytuacji może być sporo, to wewnętrzna poczta poleci do właściciela domeny "corp.com". I tak w istocie się dzieje.
[quote="aaa"]To było przerażające. Zakończylismy eksperyment po piętnastu minutach i zniszczyliśmy dane. (...) Zostaliśmy dosłownie zalani hasłami i pierwszy raz w życiu widzieliśmy coś podobnego.[/quote]Właściciel internetowej domeny corp.com, Mike O'Connor, podpiął do niej komputer i postawił na nim serwer pocztowy. Natychmiast zaczął otrzymywać tony niejawnej poczty pełnej wrażliwych danych. Badanie, które z kolei przeprowadził Jeff Schmidt, polegało na ustanowieniu na corp.com respondera na żądań logowania Active Directory i udostępniania plików Windows. Bardzo prędko okazało się, że firmowe konfiguracje DNS ciekną na masową skalę i sporo wewnętrznego ruchu, przynajmniej w kwestii rozwiązywania nazw, przechodzi przez WAN.
Nieodpowiedzialność administratorów
Trudno tutaj w całości obwiniać Microsoft i toksyczne zachowania jego produktów, doprawione przymusową zgodnością z nieinternetowym NetBIOS. Winni są przede wszystkim nieświadomi administratorzy sieci, którzy błędnie/leniwie/nieodpowiedzialnie konfigurują swoje serwery nazw. Microsoft ma tego świadomość. Nie tylko wydał mnóstwo podręczników dobrych praktyk wdrażania AD, ale także został właścicielem domeny contoso.com, która jest przykładową nazwą domeny stosowaną w próbkach kodu i ćwiczeniach z Active Directory i ASP.Net. Uczyniono tak zapewne z obawy przed tym, co mogą narobić ludzie żywcem przeklejający przykłady z internetu na produkcję.
"DNS a sprawa polska"
Sytuacja podobnej natury miała miejsce... w Polsce, jakieś 10-15 lat temu. Europejski Fundusz Społeczny sfinansował szkolne pracownie komputerowe oparte o domenę Windows Small Business Server 2003 (i potem 2008 Essential). Rozpinały one domenę sbsmenis.edu.pl (lub sbsmen). Nie przemyślano jednak pewnej kwestii: u nas bardzo często nikt za nic nie odpowiada.
Nie dość, że konfiguracja DNS nie leżała w gestii wdrożeniowców pracowni, a realizacja wytycznych zależała od nauczycieli informatyki, to jeszcze domena "edu.pl" wcale nie jest domeną państwową! Subdomenę można sobie po prostu kupić. I tak też postąpił ktoś przedsiębiorczy. Dostając wskutek tego pokażnej objętości ruch sieciowy z cieknących sieci.
Przejęcie corp.com nie jest zapewne tak samo medialne jak całe zamieszanie z operatorem TLD ".org", ale może się okazać nie mniej doniosłe w skutkach.