Перехват управления доменами New York Times и других
Опять повторяется история с перехватом управления доменом известного ресурса, с последующей сменой серверов имён и перенаправлением всего трафика на сайт атакующих. Вчера такая штука произошла с доменом The New York Times. Причём, из-за кеширования DNS, перенаправление происходило долгое время после того, как правильную адресацию в домене восстановили. Понятно, что атака позволила перехватить и электронную почту, работающую в домене. А это, в свою очередь, первый шаг к перехвату аккаунтов в разных других сервисах, при помощи “напоминалок паролей”.
Заметьте, что DNSSEC от перехвата управления доменом у регистратора – никак не защищает. И большой вопрос, почему все эти крупные СМИ до сих пор не выстроили защищённую схему работы с регистратором, при том, что методы защиты известны (это подтверждение операций по управлению доменом, дополнительная авторизация и другие решения).
Адрес записки: https://dxdt.ru/2013/08/28/6114/
Похожие записки:
- Ретроспектива заметок: деанонимизация по географии
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- Open Source и добавление "вредоносного кода"
- Квантовая криптография и металлический контейнер
- Симметрии и дискретное логарифмирование
- Метаинформация, мессенджеры и цепочки событий в трафике
- "Блокирующие" источники случайности в операционных системах
- Новые корневые сертификаты на audit.statdom.ru
- Трафик на тестовом сервере TLS 1.3 и ESNI
- Технические подробности: постквантовая криптосистема X25519Kyber768 в TLS
- Геопривязка в персональных цифровых финансах
Комментарии читателей блога: 7
1. 28th August 2013, 23:12 // Читатель jno написал:
крупняк полагает, что их договора им всё гарантируют :)
2. 29th August 2013, 02:46 // Читатель Al написал:
На сколько трудна такая атака? Просто интересно, действительно ли это сирийские хакеры.
3. 29th August 2013, 12:53 // Читатель jno написал:
если credentials для руления доменом слабые или в ЛВС целевой конторы есть нужный троян, то ни на сколько.
4. 29th August 2013, 13:51 // Александр Венедюхин ответил:
> На сколько трудна такая атака? Просто интересно, действительно ли это сирийские хакеры.
Да, как верно пишет Jno, при отсутствии дополнительных мер защиты _именно_ от перехвата управления доменом – особых сложностей не возникает.
Вообще, это очень типичный сценарий. Я сужу по практике работы крупнейших регистраторов и обращениям в их службу поддержки. Такая беда нередко приключается у обычных, массовых пользователей: украли (подобрали) пароль от панели управления – перенастроили домен. Но мне странно наблюдать, как раз за разом эта схема срабатывает против важных доменов. Просто, они там не придают значения самому домену. Сайт ценят и защищают больше. Причина, возможно, в полном, абсолютном непонимании структуры угроз и рисков для сайта. Ну или у них там совершенно другая модель угроз, да. Но я склонен полагать первый вариант (“отсутствие компетенции”) более вероятным.
5. 29th August 2013, 16:42 // Читатель jno написал:
ехидный вопрос: и когда же руцентр двухфакторную авторизацию введёт?
хотя бы и с лохотронным СМС, если уж гугель-auth религиозно некошерен :)
6. 29th August 2013, 16:44 // Читатель jno написал:
а для юрлиц – обязательное уведомление по СМС как минимум двух должностных лиц о событиях, вроде смены паролей, адресов и номеров уведомлений и т.п.
7. 29th August 2013, 19:40 // Александр Венедюхин ответил:
Некая двухфакторная авторизация ограниченного применения есть давно: https://www.nic.ru/dns/safety/confirm_session.html Про универсальную ничего сказать не могу, так как подробностей я, к сожалению, не помню. SMS-уведомления тоже есть: https://www.nic.ru/dns/safety/sms-notice.html (но на один номер, да).