Настройка сервера DNS по стандартам безопасности Северной Кореи

Автор оригинала: Michael Buckbee
image

Мне страшно представить, с каким стрессом связана работа ИТ-специалистов Ким Чен Ына, так как он, скорее всего, из тех руководителей, которые все время наблюдают за твоей работой из-за плеча, постоянно касаются экрана и с нехорошим выражением лица намекают на «исчезновение» всех твоих родственников в трех поколениях, если при развертывании исправлений будет допущена хоть одна ошибка.

Мы часто слышим об утечке данных из крупных компаний, государственной поддержке хакеров и разработке нестандартных методов шифрования, однако необходимо признать, что причиной большинства возникающих ежедневно проблем безопасности являются банальные ошибки в конфигурации системы.


Так и произошло с корневыми серверами DNS Корейской Народно-Демократической Республики (КНДР). Из-за случайной ошибки в конфигурации любой пользователь Интернета мог запросить у домена высшего уровня полный список подключенных к Интернету серверов:
github.com/mandatoryprogrammer/NorthKoreaDNSLeak

image


Приятного в появлении такой проблемы безопасности, конечно, мало, но ее все же нельзя назвать значительной, так как она не открыла доступ к каким-либо системам. Были раскрыты только сведения о том, что эти системы существуют.

У злоумышленников, взламывающих сети, есть множество способов обнаружить внутренние узлы в этих сетях, поэтому нельзя сказать, что оказавшиеся в общем доступе данные были особо секретными или конфиденциальными. Однако есть два фактора, которые заставляют всерьез задуматься над этим инцидентом.

Первое: это определенно не было результатом атаки нулевого дня на государство со стороны элитной «красной команды».

Второе: сеть КНДР состоит всего из 28 серверов. Если бы не этот факт, такое раскрытие данных даже в новости бы не попало (хотя, откровенно говоря, сеть страны, в которой меньше узлов, чем в сети мелкой страховой компании со Среднего Запада, вызывает только смех).

Сопереживание ситуации вызывает ее будничность: это могло произойти при реализации практически любого ИТ-проекта в компании любого размера, из любой отрасли и в любой стране.

  • Судя по всему, специалисты КНДР пытались перенести конфигурацию DNS на дополнительный сервер или создать там ее резервную копию. Точно так же это могли делать вы, чтобы не допустить отключения своих сайтов при попытке создать двойное подключение служб DNS к ним.

  • Проблема была обнаружена автоматической системой, которая постоянно отправляет запросы на передачу зоны всем доменам высшего уровня и многим корпорациям. Настоящий подарок для злоумышленника.

  • Это в высшей степени _незначительная_ проблема, которую невозможно заметить со стороны. Никто не будет обращаться в службу поддержки по поводу внезапно появившейся возможности передавать зоны вне сети.

Проверить, не была ли карта вашей сети случайно экспортирована в Интернет, очень легко.
Если у вас включена передача зон DNS, к которым можно получить доступ с внешнего адреса, выполните следующие действия.

С помощью служебной программы dig запустите на компьютере вне сети такую команду:
dig axfr yourdomain.com (произвольный сервер имен). Вы должны получить ответ Transfer Failed (Ошибка передачи):

image

При отсутствии доступа к dig можно воспользоваться интернет-сканером: hackertarget.com/zone-transfer.
Varonis Systems
Компания

Комментарии 20

    +2
    Мне страшно представить, с каким стрессом связана работа ИТ-специалистов Ким Чен Ына, так как он, скорее всего, из тех руководителей, которые все время наблюдают за твоей работой из-за плеча, постоянно касаются экрана и с нехорошим выражением лица намекают на «исчезновение» всех твоих родственников в трех поколениях, если при развертывании исправлений будет допущена хоть одна ошибка.

    Гмм… Вы это серьезно, или «заради красного словца»? Если серьезно, то вы, видимо, слабо себе представляете его статус в Северной Корее. Для сравнения — это как если бы Путин ездил по стране и проверял выполнение указов по ЖКХ, проводя время в ЖЭК-ах :)
      –4
      Ну вообще-то любому президенту не помешало бы поездить, особенно президенту такой большой страны ка Россия (и без предупреждения) :)
        +3
        Никогда не слышал, чтобы президент США занимался подобным микро-менеджментом, но все как-то более-менее работает ;)

        Думаю, что лучше всего, когда президент (и сопутствующие властные институты) организовывают жизнь в стране так, что ни «микро-менеджмента», ни «вертикали», ни «троек» не требуется.
          0
          Во внутренней сети компании TrendMicro найдено 1500 разновидностей необнаруженных вирусов, 1000 из которых предоставляли возможность удалённого контроля.
            0
            А есть достоверна информация, что
            все как-то более-менее работает
            ?
          +1
          Справедливости ради, мистер Ким похоже и правда занимается микроменеджментом.
          Не настолько, конечно, чтобы ИТ контроллировать, но всё же.

          Кореевед о Киме
            0
            Да, после такого вступления, из разряда «миллиард расстрелянных лично Сталиным» читать далее не хочется.
            0
            У них есть сайт, там на русском, английском и еще паре языков. Пишут про величие партии, тексты ржачные à la советы. Линканите, кто помнит, я ссылку давно потерял.
              0
              www.kcna.kp
                0
                Вот вам ссыль,
                http://www.kcna.kp/
                Главное чтобы у них сервер не лёг от хабрэфекта, а то в новостях скажут, что это русские хакеры взломали :)
                  0
                  Пожалуйста: http://juche-songun.ru/
                  0
                  Над ними, конечно, много людей смеются, но там реально людям жрать нечего.
                    0
                    Там реально людям жрать нечего

                    Простите, но это слухи из разряда «Ким Пельмень лично расстрелял из зенитного собакомёта».
                    Страна, скажем так, иделогически альтернативная, бедная и закрытая. Но «жрать нечего» — это уже давно не про них.

                    Я там выше давала ссылку на блог Константина Асмолова, это один из ведущих российских специалистов по Северной Корее. Там есть, в том числе, недавние путевые заметки. Ему показывали там гораздо больше, чем простому туристу, плюс человек знает, куда смотреть. Поэтому там куча интересной информации о том, как на самом деле обстоят дела в КНДР.
                      0
                      те корейцы, которые приезжают на заработки в РФ обязаны отчитываться своим, т.к. их семьи находятся под присмотром своих властей. В случае чего, их безопасность не будет гарантирована. Это не вымысел, это реальность, без всяких политических отшлифовок для дружественной страны. Мои знакомые с такими людьми вели общение.
                        0
                        Так жрать нечего или семьи под присмотром властей?
                        С тем, что там тоталитаризм, и инакомыслие не приветствуется, и вообще обстановка сложная, я же не спорю.
                          0
                          Насчет жрать нечего.
                          Помню, препод в универе по работе ездил в КНДР, подробно описывал обстановку в стране. Говорил, что люди там вынуждены есть макароны из травы. Это было примерно 10 лет назад.
                          На данный момент, я надеюсь, ситуация у них стала лучше.
                            0
                            Зачем делать макароны, если можно просто есть траву в салате, жареную(типа шпинат обжаренный) или рагу делать овощно-травяное, варить бульон(например, суп щавелевый)? Макароны держат форму из-за клейковины, в траве ее нет.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      +1
                      Мне страшно представить, с каким стрессом связана работа ИТ-специалистов Ким Чен Ына, так как он, скорее всего, из тех руководителей, которые все время наблюдают за твоей работой из-за плеча, постоянно касаются экрана и с нехорошим выражением лица намекают на «исчезновение» всех твоих родственников в трех поколениях, если при развертывании исправлений будет допущена хоть одна ошибка.

                      Странно, что автор не приплёл сюда расстрел из зенитки. Как этот бред попал на Хабр?!

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.