Перехват управления доменами New York Times и других
Опять повторяется история с перехватом управления доменом известного ресурса, с последующей сменой серверов имён и перенаправлением всего трафика на сайт атакующих. Вчера такая штука произошла с доменом The New York Times. Причём, из-за кеширования DNS, перенаправление происходило долгое время после того, как правильную адресацию в домене восстановили. Понятно, что атака позволила перехватить и электронную почту, работающую в домене. А это, в свою очередь, первый шаг к перехвату аккаунтов в разных других сервисах, при помощи “напоминалок паролей”.
Заметьте, что DNSSEC от перехвата управления доменом у регистратора – никак не защищает. И большой вопрос, почему все эти крупные СМИ до сих пор не выстроили защищённую схему работы с регистратором, при том, что методы защиты известны (это подтверждение операций по управлению доменом, дополнительная авторизация и другие решения).
Адрес записки: https://dxdt.ru/2013/08/28/6114/
Похожие записки:
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- TLS и подмена сертификата на jabber.ru
- Браузерная реклама от Firefox
- Интерпретация DMARC в разрезе DKIM
- Chrome и УЦ Entrust
- TLS-сертификаты dxdt.ru
- Реплика: программные "демультиплексоры" протоколов уровня приложений
- Техническое описание TLS: обновление 2022
- Недокументированные возможности автомобильного ПО
- Занятный замок Fichet 787
- Подмена хостнейма WHOIS-сервиса .MOBI
Комментарии читателей блога: 7
1 <t> // 28th August 2013, 23:12 // Читатель jno написал:
крупняк полагает, что их договора им всё гарантируют :)
2 <t> // 29th August 2013, 02:46 // Читатель Al написал:
На сколько трудна такая атака? Просто интересно, действительно ли это сирийские хакеры.
3 <t> // 29th August 2013, 12:53 // Читатель jno написал:
если credentials для руления доменом слабые или в ЛВС целевой конторы есть нужный троян, то ни на сколько.
4 <t> // 29th August 2013, 13:51 // Александр Венедюхин:
> На сколько трудна такая атака? Просто интересно, действительно ли это сирийские хакеры.
Да, как верно пишет Jno, при отсутствии дополнительных мер защиты _именно_ от перехвата управления доменом – особых сложностей не возникает.
Вообще, это очень типичный сценарий. Я сужу по практике работы крупнейших регистраторов и обращениям в их службу поддержки. Такая беда нередко приключается у обычных, массовых пользователей: украли (подобрали) пароль от панели управления – перенастроили домен. Но мне странно наблюдать, как раз за разом эта схема срабатывает против важных доменов. Просто, они там не придают значения самому домену. Сайт ценят и защищают больше. Причина, возможно, в полном, абсолютном непонимании структуры угроз и рисков для сайта. Ну или у них там совершенно другая модель угроз, да. Но я склонен полагать первый вариант (“отсутствие компетенции”) более вероятным.
5 <t> // 29th August 2013, 16:42 // Читатель jno написал:
ехидный вопрос: и когда же руцентр двухфакторную авторизацию введёт?
хотя бы и с лохотронным СМС, если уж гугель-auth религиозно некошерен :)
6 <t> // 29th August 2013, 16:44 // Читатель jno написал:
а для юрлиц – обязательное уведомление по СМС как минимум двух должностных лиц о событиях, вроде смены паролей, адресов и номеров уведомлений и т.п.
7 <t> // 29th August 2013, 19:40 // Александр Венедюхин:
Некая двухфакторная авторизация ограниченного применения есть давно: https://www.nic.ru/dns/safety/confirm_session.html Про универсальную ничего сказать не могу, так как подробностей я, к сожалению, не помню. SMS-уведомления тоже есть: https://www.nic.ru/dns/safety/sms-notice.html (но на один номер, да).