Забудьте фишинг, забудьте киберсквоттинг, забудьте тайп-сквоттинг, для всех владельцев популярных доменов теперь есть нечто новенькое, новая угроза, о которой стоит беспокоиться — бит-сквоттинг (“bit-squatting”).
Такой вывод сделал Artem Dinaburg, который выступит со своим докладом о новом исследовании на конферециях Black Hat и DEF CON, проходящих сейчас в Лас-Вегасе (Black Hat уже завершилась, прим. перев.)
Неисправное железо в интернет-серверах может обернуться целой новой категорией атак типа тайп-сквоттинга, которые могут беспокоить компании, которые уже страдают от проблем с доменными именами.
Согласно короткой сводке отчета Dinaburg’а, чипы ОЗУ иногда могут давать особые сбои из-за перегрева или радиации, что приводит к «переворачиванию бита», когда 1 превращается в 0 и наоборот.
Т.к. DNS использует ASCII, то запрос, содержащий один перевернутый бит, может вернуть пользователю совершенно другое имя.
Чтобы протестировать свою теорию, Dinaburg зарегистрировал несколько доменных имен вроде mic2osoft.com. Хотя внешне это не похоже на опечатку, тем не менее, в двоичном виде разница между ним и оригиналом всего в один бит.
Бинарный ASCII-код для цифры 2 — 00110010, а для буквы 'r' в нижнем регистре — 01110010.
Полная бинарная строчка для “microsoft”:
и такая же для “mic2osoft” (различающийся бит выделен жирным):
Таким образом, если этот один-единственный бит случайно «перевернулся» в сбойном чипе, то пользователь уже отправляет данные бит-сквоттеру, а не в Microsoft.
Конечно, стоит заметить, что это касается лишь доменов с огромным трафиком, только в этом случае есть вероятность того, что подобные случаи будут возникать с достаточной частотой.
Но Dinaburg полагает, что это уже достаточно серьезно, чтобы обратить внимание на проблему. Он написал:
На презентации он также планирует обсудить возможные методы решения проблемы, как программные, так и аппаратные. (разве память с контролем четности не решает проблему? прим. перев.)
Т.к. Black Hat уже завершилась, то может среди хабражителей есть те, кто был на конференции и слушал доклад? Поделитесь информацией. На DEF CON выступление Артема запланировано на 7-е августа.
UPD: Всем спасибо за хорошую долю здорового скепсиса, за критику и комментарии. Что-то похожее я и ожидал увидеть, в общем. Большая часть мыслей, высказанных в комментах, совпадает с моими первыми мыслями после прочтения анонса выступления Артема. Но мне хочется верить, что тема эта не так проста, как кажется на первый взгляд (комиссия вышеназванных конференций себя еще ни разу не дискредитировала в выборе докладов), я обещаю следить за информацией и опубликую продолжение (если смогу к тому моменту, конечно -), мои возможности пока лишь стремительно тают).
Такой вывод сделал Artem Dinaburg, который выступит со своим докладом о новом исследовании на конферециях Black Hat и DEF CON, проходящих сейчас в Лас-Вегасе (Black Hat уже завершилась, прим. перев.)
Неисправное железо в интернет-серверах может обернуться целой новой категорией атак типа тайп-сквоттинга, которые могут беспокоить компании, которые уже страдают от проблем с доменными именами.
Согласно короткой сводке отчета Dinaburg’а, чипы ОЗУ иногда могут давать особые сбои из-за перегрева или радиации, что приводит к «переворачиванию бита», когда 1 превращается в 0 и наоборот.
Т.к. DNS использует ASCII, то запрос, содержащий один перевернутый бит, может вернуть пользователю совершенно другое имя.
Чтобы протестировать свою теорию, Dinaburg зарегистрировал несколько доменных имен вроде mic2osoft.com. Хотя внешне это не похоже на опечатку, тем не менее, в двоичном виде разница между ним и оригиналом всего в один бит.
Бинарный ASCII-код для цифры 2 — 00110010, а для буквы 'r' в нижнем регистре — 01110010.
Полная бинарная строчка для “microsoft”:
011011010110100101100011011100100110111101110011011011110110011001110100
и такая же для “mic2osoft” (различающийся бит выделен жирным):
011011010110100101100011001100100110111101110011011011110110011001110100
Таким образом, если этот один-единственный бит случайно «перевернулся» в сбойном чипе, то пользователь уже отправляет данные бит-сквоттеру, а не в Microsoft.
Конечно, стоит заметить, что это касается лишь доменов с огромным трафиком, только в этом случае есть вероятность того, что подобные случаи будут возникать с достаточной частотой.
Но Dinaburg полагает, что это уже достаточно серьезно, чтобы обратить внимание на проблему. Он написал:
Чтобы подтвердить серьезность угрозы, я зарегистрировал несколько доменов по принципу бит-сквоттинга и записывал все HTTP-запросы и DNS-трафик. Результаты были весьма шокирующими и удивительными, от неверно перенаправленных DNS-запросов, до запросов на обновления Windows.
…
Я надеюсь убедить аудиторию, что бит-сквоттинг и другие атаки, вызванные ошибками с «перевернутыми» битами, вполне осуществимы на практике и довольно серьезны, на проблему стоит обратить внимание производителям железа и ПО.
На презентации он также планирует обсудить возможные методы решения проблемы, как программные, так и аппаратные. (разве память с контролем четности не решает проблему? прим. перев.)
Т.к. Black Hat уже завершилась, то может среди хабражителей есть те, кто был на конференции и слушал доклад? Поделитесь информацией. На DEF CON выступление Артема запланировано на 7-е августа.
UPD: Всем спасибо за хорошую долю здорового скепсиса, за критику и комментарии. Что-то похожее я и ожидал увидеть, в общем. Большая часть мыслей, высказанных в комментах, совпадает с моими первыми мыслями после прочтения анонса выступления Артема. Но мне хочется верить, что тема эта не так проста, как кажется на первый взгляд (комиссия вышеназванных конференций себя еще ни разу не дискредитировала в выборе докладов), я обещаю следить за информацией и опубликую продолжение (если смогу к тому моменту, конечно -), мои возможности пока лишь стремительно тают).