Домен corp.com выставлен на продажу. Он опасен для сотен тысяч корпоративных компьютеров под управлением Windows


    Схема утечки данных через Web Proxy Auto-Discovery (WPAD) при коллизии имён (в данном случае коллизия внутреннего домена с названием одной из новых gTLD, но суть та же). Источник: исследование Мичиганского университета, 2016

    Майк О'Коннор, один из старейших инвесторов в доменные имена, выставляет на продажу самый опасный и спорный лот своей коллекции: домен corp.com за $1,7 млн. В 1994 году О'Коннор купил множество простых доменных имен, такие как grill.com, place.com, pub.com и другие. В их числе был и corp.com, который Майк хранил на протяжении 26 лет. Инвестору уже исполнилось 70 лет и он решил монетизировать свои давние вложения.

    Вся проблема в том, что corp.com — потенциально опасен как минимум для 375 000 корпоративных компьютеров из-за безалаберной настройки Active Directory во времена построения корпоративных интранетов в начале нулевых на базе Windows Server 2000, когда внутренний корень указывался просто как «corp». До начала 2010-х это не было проблемой, но с ростом числа ноутбуков в деловой среде, все больше и больше сотрудников стали выносить свои рабочие компьютеры за пределы корпоративной сети. Особенности реализации Active Directory приводят к тому, что даже без прямого запроса пользователя к //corp, ряд приложений (например, почта), стучатся по знакомому адресу самостоятельно. Но в случае внешнего подключения к сети в условной кафешке за углом это приводит к тому, что поток данных и запросов льется на corp.com.

    Сейчас О'Коннор очень надеется, что домен выкупит сама Microsoft и в лучших традициях Google сгноит его где-нибудь в темном и недоступном для посторонних месте проблема с такой фундаментальной уязвимостью Windows-сетей будет решена.

    Active Directory и коллизия имён


    В корпоративных сетях под Windows используется служба каталогов Active Directory. Она позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики, выполнять авторизацию и т. д.

    Служба Active Directory интегрирована с DNS и работает поверх TCP/IP. Для поиска узлов внутри сети используется протокол протокол автоматической настройки прокси Web Proxy Auto-Discovery (WAPD) и функция DNS name devolution (встроена в Windows DNS Client). Эта функция облегчает поиск других компьютеров или серверов без необходимости указывать полное доменное имя.

    Например, если компания управляет внутренней сетью с именем internalnetwork.example.com, а сотрудник хочет получить доступ к общему диску под названием drive1, нет необходимости вводить drive1.internalnetwork.example.com в Проводнике, достаточно набрать \\drive1\ — а клиент Windows DNS сам дополнит имя.

    В ранних версиях Active Directory — например, в Windows 2000 Server — для второго уровня корпоративного домена был по умолчанию указан corp. И многие компании сохранили значение по умолчанию для своего внутреннего домена. Хуже того, многие начали выстраивать обширные сети поверх этой ошибочной настройки.

    Во времена стационарных компьютеров это не представляло особой проблемы с безопасностью, потому что никто не вытаскивал эти компьютеры за пределы корпоративной сети. Но что происходит, когда сотрудник, работающий в компании с сетевым путём corp в службе Active Directory берёт корпоративный ноутбук — и заходит в местный Starbucks? Тогда вступает в действие протокол автоматической настройки прокси Web Proxy Auto-Discovery (WPAD) и функция DNS name devolution.



    Велика вероятность, что некоторые службы на ноутбуке продолжат стучаться по внутреннему домену corp, но не найдут его, а вместо этого запросы резолвятся в домен corp.com из открытого интернета.

    На практике это означает, что владелец corp.com может пассивно перехватывать приватные запросы с сотен тысяч компьютеров, которые случайно выходят за пределы корпоративной среды, использующей обозначение corp для своего домена в Active Directory.


    Утечка WPAD-запросов в американском трафике. Из исследования Мичиганского университета в 2016 году, источник

    Почему домен еще не продан


    В 2014 году специалисты ICANN опубликовали большое исследование коллизий имён в DNS. Исследование частично финансировалось Министерством внутренней безопасности США, потому что утечки информации из внутренних сетей угрожают не только коммерческим компаниям, но и государственным организациям, в том числе секретным службам, разведывательным агентствам и армейским подразделениям.

    Майк хотел продать corp.com еще в прошлом году, но исследователь Джефф Шмидт убедил его отложить продажу на основании как раз вышеупомянутого отчета. В рамках исследования также выяснилось, что ежедневно 375 000 компьютеров пытаются связаться с corp.com без ведома владельцев. В запросах содержались попытки войти в корпоративные интранеты, получить доступ к сетям или файловым ресурсам.

    В рамках собственного эксперимента Шмидт совместно с JAS Global имитировал на corp.com способ обработки файлов и запросов, который использует локальная сеть Windows. Этим они, фактически, открыли портал в ад для любого специалиста по информационной безопасности:

    Это было ужасно. Мы прекратили эксперимент через 15 минут и уничтожили [все полученные] данные. Хорошо известный тестировщик, который консультировал JAS по этому вопросу, отметил, что эксперимент был похож на «дождь из конфиденциальной информации», и что он никогда не видел ничего подобного.

    [Мы настроили прием почты на corp.com] и примерно через час получили свыше 12 миллионов электронных писем, после чего прекратили эксперимент. Хотя подавляющее большинство писем были автоматизированными, мы обнаружили, что некоторые из них были чувствительными [к безопасности] и поэтому мы уничтожили весь массив данных без дальнейшего анализа.

    Шмидт считает, что администраторы по всему миру десятилетиями, не зная того, готовили самый опасный ботнет в истории. Сотни тысяч полноценных рабочих компьютеров по всему миру готовы не только стать частью ботнета, но и предоставить конфиденциальных данные о своих владельцах и компаниях. Все что нужно для того, чтобы воспользоваться им — контролировать corp.com. При этом частью ботнета становится любая машина, единожды подключенная к корпоративной сети, Active Directory которой была настроена через //corp.

    Microsoft «забили» на проблему еще 25 лет назад


    Если вы считаете, что MS как бы была не в курсе происходящей вакханалии вокруг corp.com, то вы серьезно ошибаетесь. Майк троллил Microsoft и лично Билла Гейтса еще в 1997 году вот такой страницей, на которую попадали пользователи бета-версии FrontPage '97, в котором corp.com был указан как дефолтный URL:



    Когда Майку это совсем надоело, corp.com стал перенаправлять пользователей на сайт сексшопа. В ответ он получил тысячи гневных писем от пользователей, которые он редиректил через копию на Билла Гейтса.

    Кстати говоря, Майк также сам, из любопытства, поднимал почтовый сервер и получал конфиденциальные письма на corp.com. Он пытался сам решать эти проблемы, связываясь с компаниями, но там просто не знали, как исправить ситуацию:

    Сразу же я начал получать конфиденциальные электронные письма, в том числе предварительные варианты корпоративных финансовых отчетов в Комиссию по ценным бумагам и биржам США, отчеты о людских ресурсах и прочие страшные вещи. Некоторое время я пытался переписываться с корпорациями, но большинство из них не знали, что с этим делать. Так что я, наконец, просто выключил его [почтовый сервер].

    Со стороны MS активные действия не принимались, а комментировать ситуацию компания отказывается. Да, Microsoft за прошедшие годы выпустила несколько обновлений Active Directory, которые частично решают проблему коллизии доменных имен, однако в них есть ряд проблем. Также компания выпускала рекомендации по настройке внутренних доменных имен, рекомендации о владении доменом второго уровня во избежание коллизии и прочие туториалы, которые обычно не читают.

    Но самое важное кроется в обновлениях. Первое: чтобы применить их, надо полностью положить интранет компании. Второе: некоторые приложения после подобных обновлений могут начать работать медленнее, некорректно, либо перестанут работать вовсе. Понятно, что большинство компаний с выстроенной корпоративной сетью на короткой дистанции не пойдут на такие риски. Кроме того, многие из них даже не осознают всего масштаба угрозы, который таит в себе редирект всего и вся на corp.com при выносе машины за пределы внутренней сети.

    Максимум иронии достигается, когда вы просматриваете отчет Шмидта об исследовании коллизии доменных имен. Так, согласно его данным, некоторые запросы на corp.com поступают из интранета самой Microsoft.



    И что будет дальше?


    Казалось бы, решение этой ситуации лежит на поверхности и было описано еще в начале статьи: пусть Microsoft выкупит у Майка его домен и запрет где-нибудь в глухом чулане навсегда.

    Но не все так просто. Microsoft предлагала О'Коннору выкупить его токсичный для компаний по всему миру домен еще несколько лет назад. Вот только предложил гигант за закрытие такой дыры в собственных сетях всего $20 тыс.

    Сейчас домен выставляется за $1,7 млн. И даже если Microsoft в последний момент решит все же выкупить его — успеют ли?



    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    А как бы поступили вы на месте О'Коннора?

    • 60,0%Пусть Microsoft покупает домен за $1,7 млн, либо его купит кто-нибудь другой.691
    • 3,9%Я бы продал за $20 тысяч, не хочу войти в историю как человек, который слил такой домен непонятно кому.45
    • 3,1%Я бы похоронил его сам и навсегда, если уж Microsoft не может принять правильное решение.36
    • 21,4%Специально продал бы домен хакерам с условием, что они уничтожат репутацию Microsoft в корпоративной среде. Они знали о проблеме с 1997 года!246
    • 11,6%Поднял бы ботнет+почтовый сервер сам и стал бы вершить судьбы мира.133
    Дата-центр «Миран»
    Решения для аренды и размещения ИТ-инфраструктуры

    Комментарии 97

      +22
      один из старейших инвесторов в доменные имена

      Я бы этот род деятельности назвал несколько иначе, менее благозвучно.
        +7
        Киберсквоттер, спекулянт?
          +2
          Наверное все-таки спекулянт, киберсквоттинг это нечто гораздо хуже.
            +15
            Занятно, как на постсоветском пространстве бизнес и инвестиции приобретают «менее благозвучный» вид всего лишь из-за разницы в менталитете. Ну хоть не «фарцовщик доменов», и на том спасибо.
              +2
              Сложно назвать скупку доменов «инвестицией»
                +5

                В самом деле, оказывается, в этом мире полно вещей, которые ещё можно запретить.

                  0
                  А при чём тут запрет?
                0
                Инвестиция, это когда вы вкладываете деньги в развитие предприятия, а оно потом, пустив ваши деньги в оборот, приносит прибыль, делясь ей с вами. Тут связь прямая.
                С доменами же всё несколько иначе — рост современного интернета и, как следствие, рост цен на доменные имена не связаны с тем, что кто-то 20 лет назад купил пару доменных имён за копейки — от слова никак.
            +13

            Странная логика.
            Вот человек, который в битки вложился на заре у вас как определяется? Есть люди, которые инвестируют в высокорисковые активы. И далеко не все из этих активов "выстреливают". Это сродни игре в рулетку. Кто в 1994 году думал про домены и их нехватку? Денег в интернете тогда не было практически. А с учётом того, что домен ещё надо 20 лет продлевать — считайте человек сделал выбор вложить СВОИ деньги в "непонятную фигню" с ооочень высоким риском их потерять. Но интернет вырос и он получает прибыль. Если вы считаете, что все тогда было понятно — у меня вопрос — сколько вы биткоинов по доллару купили? )

              –8
              А причем здесь биткоин? Это вовсе не необходимое и не обязательное для всех средство оплаты. Вот доменные имена — необходимы. К тому же грань между спекуляцией доменными именами и киберсквоттингом (а вот это последнее часто слишком смахивает на мошенничество, может быть подсудным) слишком тонка.

              С вашей «нестранной» логикой можно пойти дальше и оправдать финансовые пирамиды, их создателей и тех, кто успел на пирамиде заработать, привлекая новых участников. Ведь они тоже вложили деньги в рисковый актив, потратились на меркетинг, да еще за решетку рискуют угодить.

              Если вы считаете, что все тогда было понятно — у меня вопрос — сколько вы биткоинов по доллару купили?

              0, а к чему это вообще?
                +4
                А причем здесь биткоин? Это вовсе не необходимое и не обязательное для всех средство оплаты. Вот доменные имена — необходимы.

                А если завтра биткоин станет (ха-ха) единой мировой валютой он тоже будет ненеобходимой вещью?
                В 1994году необходимость доменных имен была очень неоднозначна, могла так и остаться внутренней кухней ведомств которые разрабатывали интернет и кучки техногиков
                  +4
                  Вот доменные имена — необходимы.

                  В 1994 году? В 1994 году не было рекламы в интернете (или была, но уж точно ее никто не рассматривал даже как ооочень побочный канал продвижения. Интернет магазинов тоже не было. Так что денег в этой штуке под названием интернет не было и не понятно было будут или нет. В общем и целом в такой штуке как интернет сидели какие-то гики и письма друг другу писали. Домены? Зачем?
                  А причем здесь биткоин?
                  на заре биткоина это был точно такой же продукт как интернет. Какая-то фигня для гиков. И такой «фигни для гиков» вокруг очень много. Кто-то рискует, вкладывается, и иногда выигрывает, кто-то не рискует и не вкладывается.
                  Пирамиды… ну будем считать интернет пирамидой. Вложил в 90е чуть чуть — получил в 20 много. Другое дело, что сейчас с высоты 20 это очевидно. А в 90е была совсем другая реальность. И у нас и не у нас.
                    +1
                    Интернет магазинов тоже не было

                    А в каком же году Пол Грэм свои миллионы заработал на конструкторе интернет-магазинов на Лиспе? :)

                  +3
                  Странная логика.
                  Вот человек, который в битки вложился на заре у вас как определяется?

                  Доменные имена — публичный ресурс. Причем — уникальный. Который ему удалось захватить.
                  Точно так же можно захватить все удобные скамейки в парке, потому что первым успел добежать когда парк открыли.
                  Понятно, когда человек платит конкурентно за важный ресурс, скажем козырное место для магазина на проходе, — аукционная система. И тогда подобные бы "инвесторы" отпали. А так просто "захватчики". И стоило это — гроши, кажется пару баксов. Все годное разобрали едва ли не мгновенно, несколько минут IMHO — скрипты писали генерирующие и регистрирующие.


                  Биткойн, как и любое тиражируемое, тем более где цена определяется рынком — не уникальный ресурс. Как и 100 баксов не уникальный ресурс несмотря на номер на банкноте.

                    0
                    скажем козырное место для магазина на проходе,

                    Вот отличный пример. Купил пустырь, потом вокруг отгрохали микрорайон и стал козырным местом на проходе.
                    +2
                    В отличии от биткойнов, доменные имена это крайне ограниченный, невозобновляемый, и, самое главное, безальтернативный ресурс. Причем это было очевидно даже в 1994 году: сеть, объединяющая большую часть мира, просто не может не стать популярной, и появление денег в ней — вопрос очень небольшого отрезка времени. И уже где-то с 1995 года начался бум доткомов. Неудивительно, что нашлось так много ушлых людей, скупавших домены буквально по английскому словарю, и никаким риском там даже не пахло. Называть скупщика доменов «человеком, который инвестирует в высокорисковые активы», все равно что называть так какого-нибудь нефтяника — ведь теоретически, риск в этой отрасли тоже присутствует: вдруг сегодня ты в разработку нового месторождения вложился, а завтра все вдруг разом на электромобили пересели?
                    0
                    Между тем, понятие частной собственности является одним из краеугольных камней едва ли не всех правовых систем в мире, в том числе и постсоветской.
                    –1

                    А нельзя было использовать какой-нибудь example.com, рекомендованный icann, а не Corp.com, и проблемы бы не было. Майки как обычно сами себе проблемы создают.

                      +10
                      Это не проблема Майкрософт на самом деле. Скинуться на выкуп домена должны те у кого AD настроен через одно место
                        +10

                        … в том числе Microsoft, как упомянуто в статье.

                          +1
                          Скорее Шапки, Каноникал и иже с ними — тогда вендокапец обеспечен)))
                            +1

                            Да всем насрать, на самом деле. Ну худшее, что может произойти — домен уплывет и информация об этой схеме как-то дойдет до аудиторов. Аудиторы же начнут жучить корпорации на предмет ActiveDirectory. По репутации винды это не особо ударит, были сотни более крупных факапов, а винда майкрософт всех живых.

                              0
                              Так я и говорю — надо выкупать и спецом «помочь» наступлению конца всего)
                            0
                            Ну у Майкрософт это могли бы быть какие-то тестовые сети, учебные и тп
                            +17

                            Да-да, конечно. Например, представьте, что я разработчик какого-нибудь популярного софта, и я выпустил дефолтный конфиг с вашим email для примера. Вы начинаете получать кучу писем от непонятных людей, пишете мне просьбу исправить дефолтный конфиг, а я говорю, что это не моя проблема, а кривые юзеры которые не могут поправить конфиг по-умолчанию.
                            Домен example com специально создан, и рекомендован для указания в дефолтный конфигах, т. к. он зарезервирован для этих целей, и его никто не может зарегистрировать на свое имя.

                            –1

                            Кстати, запись 127.0.0.1 corp.com в файле hosts.txt разве не должна решить проблему?

                              0

                              Нет, там в поддоменах проблема. B в записях SRV, которые через hosts не "проходят".

                            +3

                            Дождь из конфиденциальных данных — звучит как реклама.

                              +21
                              Естественно, иначе домен за 1.7млн$ не продашь, дадут 20k$ и всё.
                                0
                                Реклама или нет, каждый админ АД может сам проверить насколько важна описываемая уязвимость, создав стенд с некоторым количеством клиентов и злополучной зоной.
                                +1

                                Ладно домен. Самое интересное в статье:


                                Хорошо известный тестировщик, который консультировал JAS по этому вопросу, отметил, что эксперимент был похож на «дождь из конфиденциальной информации», и что он никогда не видел ничего подобного

                                Судя по тому что написано в статье, из запросов Active Directory можно вытащить много интересного.
                                Никогда не интересовался, что в этом трафике… надо почитать.


                                Атаки с поддельными WiFi AP в открытых сетях.
                                Это же просто, обрабатывать DNS запросы с определенными именами хостов, отправляя их к "себе" и выступать как роутер для всего остального, что бы "клиент" ничего не заподозрил.


                                Какая интересная тема. Почему то не слышал про такие атаки (Active Directory) раньше.
                                Открытые сети или даже закрытые сети но с известными пароля — это похоже такая дыра в безопасности.


                                Сотрудник захвативший корпоративный ноут на обед в кафешку с бесплатным WiFi — это же так типично.

                                  0
                                  Сотрудник захвативший корпоративный ноут на обед в кафешку с бесплатным WiFi — это же так типично.

                                  Reductio ad absurdum?

                                  Корпоративный ноут в зале ожидания аэропорта или даже просто дома уже не так необычно выглядит?
                                    +1
                                    Корпоративный ноут в зале ожидания аэропорта или даже просто дома уже не так необычно выглядит?

                                    Атака на конкретную организацию путем размещения поддельных WiFi AP в ближайших едальнях — это более практично чем в аэропорту и у кого то дома.
                                    Добычу проще на водопое отстреливать.

                                      0
                                      В статье речь не об атаке на конкретную организацию.
                                        +6

                                        Мой комментарий был на то, что в статье прозвучало:


                                        • об уязвимости, связанной с попытками Active Directory ломится на определенные доменные адреса.
                                        • о том, что из таких попыток можно извлечь конфиденциальную информацию.

                                        Для эксплуатации этой уязвимости не обязательно владеть доменом. Достаточно подделать DNS сервис (что делается элементарно, если не используется DNS+TLS).


                                        По моему, это самое интересное. А то что кто то зажал домены и пытается их продать… не первый и не последний раз.


                                        Дешевый ESP32 запитанный от "батарейки" или от сети в режиме WIFI_MODE_APSTA и с подпаченной lwip библиотекой (что бы как роутер работал) + доработанным dhcps. И вот лежит себе в уголке кафешки маленькая железка, притворяющаяся AP бесплатной сети, собирающая информацию на SD карту и/или отдающая ее в on-line или по запросу.


                                        В статье речь не об атаке на конкретную организацию.

                                        Разрешите писать не только о том, что явно написано в статье, но и о том, что можно сделать на основе информации в статье… Можно?

                                        +2
                                        Что мешает тогда выдавать ДНС, отвечающий на corp.com?
                                        Домен необязательно покупать чтоб скормить его через вайфай :)
                                          0

                                          Но масштаб все же не тот будет. Зато более прицельно, можно специально на сотрудников определенной организации так охотиться. Можно даже специально их уговорить в такую кафешку придти на самом деле.

                                        0

                                        Ноут может быть рабочим, но необязательно корпоративным.
                                        В моей практике часто бывало, когда личный мой ноут на работе получал доступ ко всем службам компании не зависимо входит ли пользователь хоть в одну "группу" или нет, и этот же ноут использовался для просмотра "видео с котиками".

                                        –2
                                        Нормально настроенный корпоративный Windows ноут из всего интернета пускает только на страницу логина корпоративного VPNа, да и то — только из специально настроенного VPN клиента. Без наличия прав администратора — особо ничего изнутри не похакаешь. А учитывая возможное присутствие всяких присматривающих за тобой хорошо замаскированных утилит от безопасников, попытаться вылезти в интернет в обход VPNa может только ССЗБ.

                                        Так что да, мне вполне можно работать из кафешки по бесплатному WiFi. Весь трафик идет в корпоративную сеть через VPN.
                                          0
                                          Есть куча нюансов, в любом случае. Можете получить звонок в 3 часа ночи от VIP, который прилетел на важную встречу, поселился в гостинице, ему срочно нужно что-то сделать до утренней встречи, а в гостинице в интернет нужно сначала войти, открыв в браузере http://www.[hotelname].com и вписав свой номер комнаты.
                                            +1
                                            Ещё 2 кейса, в которых данная система может не работать.
                                            1)IP нужно выставить руками.
                                            2)выход в интернет через прокси, а VPN через прокси работать не хочет(ну или требуется руками указать прокси, но сделать это нет прав) уж не помню как точно было.
                                              0

                                              За специальный vpn клиент работающий только под mac и Windows особое спасибо настройщика и закупщикам и чтоб им жизнь мёдом не казалась, тем кто принимал решение :)
                                              И да ноут не корпоративный ;)

                                            0
                                            Хорошо известный тестировщик, который консультировал JAS по этому вопросу, отметил, что эксперимент был похож на «дождь из конфиденциальной информации», и что он никогда не видел ничего подобного
                                            Я не понял, а что, до сих пор куча «корпораций» работает с е-мейлом без TLS? То есть, не проверяется сертификат домена при подключении? Ведь почтовый клиент, я так понимаю, настроен на некий super-puper.corp, а DNS client лезет резолвить super-puper.corp.com, так ведь? Почему нет проверки сертификата?
                                              +1
                                              А кто запретит создать сертификат на *.corp.com если это твой домен?
                                                +2
                                                Так нет, почтовый клиент ведь ничего не знает про corp.com, он коннектится к super-puper.corp, значит и сертификат должен быть соответствующий.
                                                  0
                                                  Как вы себе это представляете? Даже на ip адреса tls сертификаты выдаются со страшным скрипом, даже если вы владете AS с этим ip. А получить на несуществующий tld сертификат невозможно. Chrome же смотрит теперь CT. (https://data.iana.org/TLD/tlds-alpha-by-domain.txt — нет там .corp.
                                                    0
                                                    Так я об этом и говорю! Надо заниматься безопасностью на всех уровнях. И в первую очередь шифровать трафик. И без сертификата на правильный домен шифрования не будет.
                                                0
                                                подозреваю, что там тупой SMTP-клиент, который доверяет серверу corp, считая, что тот находится в доверенной сети, и подключается к нему по 25 порту (а не 425)
                                                  0
                                                  Ну вот с этого и надо начинать в первую очередь, разве не так? Иначе все пересылаемые письма будут лететь по сетям в открытом виде, и не важно какой домен настроен :)
                                                  +7
                                                  Потому что SMTP изначально не доверенный протокол, шифрование опционально. В мире гигантское количество почтовых серверов. У многих сертификат просрочен, self-signed или не покрывает все обрабатываемые домены. Opportunistic шифрование вообще решает только задачу защиты от пассивного наблюдения, против MitM-атак оно в любом случае бессильно, потому не имеет смысла в общем случае прерывать соединение, если сертификат есть, но неправильный. Принудительное шифрование SMTP появилось пару лет назад, требует усложнения инфраструктуры (DNSSEC или дополнительный HTTPS сервер) и поддержки всеми партнёрами. В реальной жизни на почтовых серверах такой зоопарк, что не то, что новые стандарты невозможно принудительно выставить, а приходится поддерживать все возможные конфигурации 10-20-летней давности, иначе будут теряться письма от контрагентов. TLS1.0 никак выключить не могут, несмотря на требования регуляторов, потому что старые сервера контрагентов входят в STARTTLS, не могут согласовать шифрование и отключаются, нет у них механизма отката на нешифрованное соединение.

                                                  Как уже выше написали, в случае перехвата на corp.com вообще, чаще всего, автоматические alert-ы шлются с оборудования, 10-20 лет назад настроенного (что не мешает этим alert-ам содержать security sensitive информацию. Как какой-нибудь контроллер двери будет проверять актуальность почтового сертификата сервера? Кто ему будет периодически обновлять список корневых сертификатов?

                                                  Я не говорю, что это всё хорошие практики: и WPAD можно отключить, и DNS-записи «своего» домена можно принудительно только со своих серверов получать и SMTP-alert-ы настроить безопасно. Но в условиях, когда десятилетиями не было никакой безопасности во многих сферах, найти и вычистить все такие ляпы, оставленные 10-20 лет назад, можно только при полной замене инфраструктуры, а это, зачастую, огромные деньги. Тот же домен переименовать можно только в test lab, в реальной корпоративной системе можно только параллельно создавать ещё одну инфраструктуру и на неё мигрировать годами, если не десятилетиями, и все эти годы процесс миграции будет вызывать проблему у всех: пользователей, администраторов, разработчиков, партнёров.
                                                    –4
                                                    Либо «шоковая терапия»: корпоративная почта просто отключается, и юзеры временно используют бесплатную почту от того же Гугла, а в пределах офиса таскают информацию на флешках. Если письмо не проходит — подняли трубку и позвонили. За пару дней бизнес-процессы со скрипом пойдут как раньше, а там, глядишь, и новую инфраструктуру админы сделают.
                                                    +2
                                                    Как правило речь о сетях, в которых настраивали домен либо очень давно, либо уборщицы. Одно тянет другое. Дефолтный corp.com и почта без TLS. Верю.
                                                    –5
                                                    Де-факто владелец домена и тестировщики совершили криминальное правонарушение (перехват чужой конфиденциальной информации). Не понимаю почему им это сошло с рук.
                                                      0

                                                      Потому что должен быть потерпевший, который подаст на них в суд. А потерпевшие ни сном, ни духом, спят спокойно.

                                                        0
                                                        В США с ними может судиться штат. Вполне.
                                                          0

                                                          Так у нас прокуратура тоже может "по факту" возбудить дело. Но для этого что в Штатах, что у нас, нужен специалист, как минимум, который сможет объяснить прокурору суть проблемы так, чтобы тот осознал и проникся. А в данном случае админы тучи контор, которые получают немалые деньги за свою работу, не понимают и не осознают опасности в тех настройках, которые они делают. И это типа "профильные специалисты". Что уж говорить о людях с юридическим образованием.

                                                            –1
                                                            В Штатах — может быть, а у нас: как сказали судье — так и будет судить. А специалисты на хрен пошлют! Что неоднократно доказано роскомпозором.
                                                        +4

                                                        Ничего они не совершили.
                                                        Все данные им были предоставлены владельцами добровольно.

                                                          –2
                                                          Они знали что будут перехватывать чужие данные? Знали.
                                                          Осталось только умысел доказать.
                                                            0

                                                            Вы начитались детективов.
                                                            Никто ничего не перехватывал. Все данные были отправлены добровольно.


                                                            Конечно, если мы говорим о странах с работающим законом, но это и так понятно.

                                                              0
                                                              вспоминается история с WPAD и питерским скайнетом
                                                              Там тоже добровольно данные запрашивали.
                                                              Пост снесен по просьбе автора (поскольку после поста доказывать умысел было не нужно, чел сам признался) но сохранился в архиве
                                                              https://web.archive.org/web/20190228223334/https://pikabu.ru/story/kak_piterskiy_interenetprovayder_trebuet_ot_svoego_abonenta_2_s_polovinoy_milliona_za_nakhozhdenie_uyazvimosti_6539807
                                                                0

                                                                И кому я писал последнее предложение.
                                                                Впрочем, и у самого бывает, что мозг за руками не успевает...

                                                                  0
                                                                  Никто ничего не перехватывал. Все данные были отправлены добровольно.

                                                                  Не добровольно, а по ошибке. Если я вам сейчас в личку по ошибке вместо фотографии котика отправлю фото своей банковской карты с 6 сторон, или при личной встречи кину в вас пачкой денег — это совершенно не дает вам право этой информацией/деньгами распоряжаться.
                                                                  Конечно, если мы говорим о странах с работающим законом, но это и так понятно.

                                                                  И вышеприведенный пример будет работать даже в тех странах, которые вы подразумеваете. А с работающим законом особенно. Потому что в подавляющем количестве законодательств именно умысел является основопологающим признаком преступления
                                                                    +1

                                                                    Не по ошибке, а добровольно.
                                                                    Сознательно внеся изменения в конфигурацию своего ПО.


                                                                    Умысла в "посмотреть что это за письмо мне тут в почтовый ящик вкинули" никакого нет.


                                                                    Живите в реальном мире.

                                                                      0
                                                                      Чисто риторический вопрос.
                                                                      Если я внесу изменения в конфигурацию своего по введя rm -rf только не в нужной директории, а в корне — это добровольно, и я действительно ставил целью снести весь прод чтобы повеселить SRE, или это все таки ошибка того что я работаю под рутом?
                                                                        0

                                                                        Если это аудитор, тестирующий работу например бэкапов — нет, не ошибка. Так что самого по себе одного лишь факта — мало для суждения.

                                                                  0
                                                                  Интересно, чем там случай с впад и скайнетом закончился?
                                                          0

                                                          Я не до конца понял, как решается проблема со стороны настройки Active Directory. Чтобы Windows не лезла куда не попадя, необходимо было указать полный настоящий домен (FQDN) по умолчанию (и это будет просто контролируемая компанией заглушка)? А что если (вдруг) у компании нет такого публичного домена?

                                                            +3

                                                            Microsoft в десятке своих рекомендаций пишет огромными английскими буквами по белому, что для ADS необходимо использовать реальный FQDN. Прислушиваться к рекомендациям производителя, или плевать на них — личное дело каждого, да. Но если не прислушался, то виновата почему-то Microsoft.

                                                              0

                                                              И почему-то для win2k server нарушили свои же рекомендации для дефолтных настроек. Это не потому ли, что эти рекомендации появились гораздо позже выпуска win2k в прод?

                                                                +1

                                                                Это ничего, что с тех пор 20 лет прошло и мир слегка изменился? Хочешь хотя бы стоять — быстро беги вперед, и никак иначе.

                                                                +7
                                                                В том то и дело, что Microsoft свои рекомендации развернула на 180° за эти годы.

                                                                Изначально, много лет использовались NetBIOS-домены из одного слова. Вся документация, все практики, всё ПО было рассчитано именно на это. Потом появился «модный» Internet с его доменными именами и для заново создаваемых инфраструктур (читай, фирм-стартапов) MS сделал возможность использовать «красивые» доменные имена, поначалу только в процессе настройки AD, потому что всё ПО всё равно работало строго с короткими именами, то есть «для красоты» домен мог называться «contosoint.contoso.com», но реально во всём ПО прописывался CONTOSOINT, так что многие вообще поверхностно относились к этой практически бессмысленной на тот момент настройке, не понимали, зачем она нужна, а поскольку в поле ввода при создании домена была подсказка вроде «example.com», то просто добавляли .com (отсюда и появился пресловутый «corp.com»), раз уж MS просит что-то ввести в это поле. Можно было вообще ничего не добавлять, а так и остаться на contosoint — с однословными доменами MS начала бороться лет через 5-10 после появления возможности делать «многословные», изначально это было два равнозначных варианта. Во всей литературе, в том числе от MS, в то время были рекомендации строго разделять внешнюю и внутреннюю доменные структуры, то есть в Интернет — contoso.com, а в AD домене — contoso.local, чтоб случайно ничего не перепутать.

                                                                Спустя годы MS стала двигаться в сторону перевода всех на DNS, и тут все эти .local, .corp и прочее стало вылазить боком. Тут-то они прозрели и переделали все рекомендации. Помню, в основной статье на эту тему даже дату изменения оставили старую, чтобы выглядело, будто «Океания всегда воевала с Остазией», но в archive.org оставалась старая статья со старыми рекомендациями. И оказалось, что всегда нужно было использовать что-то типа newyork.contoso.com, причём contoso.com должен вашей компании принадлежать (я бы посмотрел, как бы они сливали две фирмы с AD доменами newyork.contoso.com и newyork.fabricam.com!).

                                                                Что самое «смешное», MS сама не в состоянии следовать своим рекомендациям: один из их флагманских продуктов — SQL Server так и не научился с fully qualified доменами работать.

                                                                И ещё раз повторюсь, я не говорю, что всё это (особенно «corp.com») — хорошие практики, нет. Но те, кто такое наворотил 20 лет назад, могут быть уже давно на пенсии, а их «наследникам» разгребать и разгребать, вплоть до замены всей инфраструктуры. А расходы на поддержку работающей инфраструктуры и на её замену в масштабах enterprise могут различаться на огромные суммы, а на выходе — никакого видимого результата для бизнеса.

                                                                А MS — огромное «спасибо» за то, что подчёркнуто внутреннюю технологию они пристроили к внешней, практически без какого-либо положительного эффекта, но с огромным отрицательным для всего корпоративного мира.
                                                              0
                                                              Правильно ли я понимаю, что если у меня Active Directory управляет доменом mycompany.local, и Петров взял свой рабочий ноутбук в командировку, то владелец wifi-сети, к которой Петров подключился, может поднять фишинговый контроллер домена mycompany.local и получить какие-то конфиденциальные данные Петрова? Какие именно? А как же kerberos?
                                                                0

                                                                Если все-все-все программы для работы в домене используют именно kerberos — то всё в порядке. Но многие почему-то считают, что получить открытые логин с паролем и проверить их по LDAP — вполне надёжная защита...

                                                                0
                                                                IMHO Странный вопросник… Добавили-бы хотя бы «Продать любому покупателю готовому заплатить запрошенную суму» — я бы проголосовал. Если купит злодей то все равно рано или поздно его поймают и домен отберут — всех делов.
                                                                  +2
                                                                  Я бы выставил на аукцион, вдруг кто больше заплатит.
                                                                    0
                                                                    Это не очень хорошо. Если Microsoft готова выкупить, почему бы и нет. Да, злодеи могут заплатить больше — это само собой разумеющееся. Но так можно и уязвимости тоже продавать злодеям: даже если компания готова выкупить, злодеи почти всегда могут предложить больше.

                                                                    Продавая злодеям Вы получаете ворованные деньги. Если компания бездействует, это будет не Ваша вина, а вина компании. Но в противном случае это будет именно Ваша вина.
                                                                      0
                                                                      Если компания бездействует, это будет не Ваша вина, а вина компании.

                                                                      Ну а я про что? Если компания не может предложить больше мошенников, то это её вина. Само наличие уязвимости её вина, чего уж там.
                                                                        0
                                                                        В чём-то Вы правы, но я точно не уверен, что полностью взять ответственность за все уязвимости (и полностью компенсировать убытки от них) реально в современном мире.

                                                                        Хотя можно попытаться поюзать страховку… Но даже в этом случае должны быть закреплены законодательные положения на этот счёт, чтобы не вышло такого, что часть компаний работает со страховкой, а часть без и предлагает свои продукты без страховки дешевле, из-за чего первые компании банкротятся, и на рынке снова остаются только компании, которые никак не компенсируют убытки.

                                                                        А без страховок ввести ответственность нереально, т. к. компании будут слишком часто банкротиться, что негативно скажется на рынке. Конечно в части случаев они могут быть сами виноваты, но не во всех.

                                                                        PS. Почему я говорю о полной компенсации — потому что именно про неё Вы сейчас сказали, потому что стоимость уязвимости на чёрном рынке будет сопоставима с количеством средств, которые будут украдены.
                                                                          0
                                                                          У вас логическая ошибка.
                                                                          Нанесённый урон и полученная прибыль не равные суммы.
                                                                          Для примера:
                                                                          Поймал шифратор, заплатил вымогателю 1000 баксов.
                                                                          Прибыль вымогателя 1000 баксов — расходы на атаку.
                                                                          Убыль взломанного 1000 баксов+ время простоя + еботня с налоговой.
                                                                          Как видите суммы получаются не равные.
                                                                            0
                                                                            Потенциально урон может доходить до уровня прибыли, например, при воровстве с карты. В таких случаях компании придётся заплатить за уязвимость почти полный возможный ущерб. Но в большинстве случаев да, придётся заплатить меньше.

                                                                            Я думаю, я знаю, как можно объяснить свою точку зрения. 100% честно будет тогда, когда поиск уязвимостей будет подчиняться законам рынка. Чем больше людей готовы репортить серьёзные уязвимости, чем дешевле они должны быть, т. к. если не зарепортит один, то зарепортит другой, а значит труд этого одного не должен оцениваться слишком дорого. Цена в итоге должна стать такой, чтобы конкуренция среди исследователей была достаточно высокой, но при этом, естественно, цена не должна превышать стоимость уязвимости на чёрном рынке.

                                                                            В случаях, когда мы сразу выкатываем уязвимость на рынок, этот принцип нарушается. Дело в том, что на поиск нужно какое-то время. Если бы эту уязвимость не нашёл один, то через какое-то время бы нашёл другой. Но выкатывая уязвимость прямо здесь и сейчас мы не даём компании этого времени, и таким образом просто шантажируем компанию: «либо вы платите неоправданно много денег, либо я сливаю эту уязвимость злоумышленникам».

                                                                            И вот такой подход я не одобряю. Не всегда уязвимость должна стоить столько же, сколько за неё заплатили бы злоумышленники, т. к. это просто шантаж и нарушение принципов рынка, ведь если бы её не нашёл я, то нашёл бы кто-то другой.

                                                                            Впрочем, если уязвимость давняя (больше года), то ничего супер-плохого тут нет, т. к. получается компания поставила за уязвимости слишком маленькую стоимость, и если бы не я, её бы скорее всего больше бы никто не нашёл длительное время. Получается у меня нет конкуренции, и я могу запросить максимально возможную сумму (равную цене на чёрном рынке).

                                                                            Хотя даже в этом случае мне немного жалко компанию: как программист, я понимаю, что ошибки неизбежны, и компания не в состоянии избежать их полностью. С другой стороны большинство компаний очень халатно относятся к этому, поэтому их не жалко.
                                                                  +5

                                                                  Зря он просто его продаёт. Этот раритет впору на Сотби'с выставлять. И зазвать на торги АНБ, ЦРУ, ФСБ, СВР, МИ-5, БНД, МОССАД и прочих особо страждущих. Жаль Штази уже нет. Они бы точно купили.

                                                                    0

                                                                    Ждём, не купит ли домен Linux Foundation.

                                                                      +1

                                                                      А домен contoso мсовцы купили до или после этих игрищ?

                                                                        0
                                                                        Я так понимаю, частично обезопаситься можно, если поднять зону corp.com на DNS серверах своей локальной сети (при условии, что все Windows-устройства их используют).
                                                                          +1
                                                                          Нет, речь об устройствах которые «временно» вышли из корп.сетки и работают снаружи
                                                                            0
                                                                            А, ну тогда конечно, этим не помочь.

                                                                            Интересно было бы услышать ответ представителя MS, но что-то подсказывает, что реакции не будет.
                                                                          0

                                                                          А что если покупка Microsoft этого домена будет фактически признанием вины за недоработку? А так админы сами виноваты, неправильно настроили сеть. Тем более, если вдруг на этот домен начнут посылаться данные-можно будет засудить Microsoft за то, что они подслушивают. Может потому и не покупают?

                                                                            +2
                                                                            Особенности реализации Active Directory приводят к тому, что даже без прямого запроса пользователя к //corp, ряд приложений (например, почта), стучатся по знакомому адресу самостоятельно. Но в случае внешнего подключения к сети в условной кафешке за углом это приводит к тому, что поток данных и запросов льется на corp.com.

                                                                            Если честно не вполне понимаю, как в описании проблемы трафик для домена corp попадает к corp.com, если только ПК не входит в домен который называется corp.com. Если почтовый клиент подключается к почтовому серверу по имени corp, каким образом оно может отрезолвиться так, чтобы получился ip из записей домена corp.com?
                                                                              0
                                                                              присоединюсь к этому вопросу.
                                                                                0
                                                                                у вас есть ПК mypc.mydomain.ru
                                                                                выполните команды ping mypc.mydomain.ru
                                                                                и ping mypc
                                                                                Так же как mypc отрезолвится, так-же и corp
                                                                                  0
                                                                                  я насколько понял пример, я с пк mypc.corp пингую mypc.corp, а попадаю на mypc.corp.com
                                                                                    +4
                                                                                    С какого перепугу?
                                                                                    ping mypc.mydomain.ru

                                                                                    Резолв имени происходит через DNS. Если не отрезолвится — резолвер может попытаться дописать настроенные суффиксы
                                                                                    ping mypc

                                                                                    Резолв имени идёт через wins либо резолвер дописывает настроенные суффиксы

                                                                                    Теперь вопрос в студию: откуда у меня (владельца внутреннего домена с WINS именем CORP) на хосте в настроенных суффиксах должен свзяться ".com" !?
                                                                                  0

                                                                                  А почему это лучше, если домен выкупит Microsoft? Не думаю, что все компании, в которых криво настроен AD, доверяют Microsoft. Она ведь тоже может воспользоваться этими конфиденциальными данными.

                                                                                    0
                                                                                    Потому что если Microsoft было бы надо — прилетело бы обновление к Windows Server которое отправляет копию данных в Microsoft. Разумеется для безопасности пользователей и сбора информации об использовании.
                                                                                      +1
                                                                                      Когда ты ставишь Винду, ты итак доверяешь Microsoft.
                                                                                      0
                                                                                      Судя по последним новостям из Швейцарии, большой брат за этой дырой давно и пристально приглядывает.

                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                      Самое читаемое