Перехват управления доменами New York Times и других

Опять повторяется история с перехватом управления доменом известного ресурса, с последующей сменой серверов имён и перенаправлением всего трафика на сайт атакующих. Вчера такая штука произошла с доменом The New York Times. Причём, из-за кеширования DNS, перенаправление происходило долгое время после того, как правильную адресацию в домене восстановили. Понятно, что атака позволила перехватить и электронную почту, работающую в домене. А это, в свою очередь, первый шаг к перехвату аккаунтов в разных других сервисах, при помощи “напоминалок паролей”.

Заметьте, что DNSSEC от перехвата управления доменом у регистратора – никак не защищает. И большой вопрос, почему все эти крупные СМИ до сих пор не выстроили защищённую схему работы с регистратором, при том, что методы защиты известны (это подтверждение операций по управлению доменом, дополнительная авторизация и другие решения).

Адрес записки: https://dxdt.ru/2013/08/28/6114/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 7

  • 1 <t> // 28th August 2013, 23:12 // Читатель jno написал:

    крупняк полагает, что их договора им всё гарантируют :)

  • 2 <t> // 29th August 2013, 02:46 // Читатель Al написал:

    На сколько трудна такая атака? Просто интересно, действительно ли это сирийские хакеры.

  • 3 <t> // 29th August 2013, 12:53 // Читатель jno написал:

    если credentials для руления доменом слабые или в ЛВС целевой конторы есть нужный троян, то ни на сколько.

  • 4 <t> // 29th August 2013, 13:51 // Александр Венедюхин:

    > На сколько трудна такая атака? Просто интересно, действительно ли это сирийские хакеры.

    Да, как верно пишет Jno, при отсутствии дополнительных мер защиты _именно_ от перехвата управления доменом – особых сложностей не возникает.

    Вообще, это очень типичный сценарий. Я сужу по практике работы крупнейших регистраторов и обращениям в их службу поддержки. Такая беда нередко приключается у обычных, массовых пользователей: украли (подобрали) пароль от панели управления – перенастроили домен. Но мне странно наблюдать, как раз за разом эта схема срабатывает против важных доменов. Просто, они там не придают значения самому домену. Сайт ценят и защищают больше. Причина, возможно, в полном, абсолютном непонимании структуры угроз и рисков для сайта. Ну или у них там совершенно другая модель угроз, да. Но я склонен полагать первый вариант (“отсутствие компетенции”) более вероятным.

  • 5 <t> // 29th August 2013, 16:42 // Читатель jno написал:

    ехидный вопрос: и когда же руцентр двухфакторную авторизацию введёт?
    хотя бы и с лохотронным СМС, если уж гугель-auth религиозно некошерен :)

  • 6 <t> // 29th August 2013, 16:44 // Читатель jno написал:

    а для юрлиц – обязательное уведомление по СМС как минимум двух должностных лиц о событиях, вроде смены паролей, адресов и номеров уведомлений и т.п.

  • 7 <t> // 29th August 2013, 19:40 // Александр Венедюхин:

    Некая двухфакторная авторизация ограниченного применения есть давно: https://www.nic.ru/dns/safety/confirm_session.html Про универсальную ничего сказать не могу, так как подробностей я, к сожалению, не помню. SMS-уведомления тоже есть: https://www.nic.ru/dns/safety/sms-notice.html (но на один номер, да).