The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

05.09.2011 09:08  Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов

В воскресенье ночью несколько крупнейших сетевых ресурсов, среди которых Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register, оказались подменены злоумышленниками, которым благодаря атаке на регистраторов доменов Netnames.co.uk и Ascio удалось подменить записи в DNS. После атаки, домены жертв были перенаправлены на новый IP, на котором выводилась заставка с уведомлением о взломе, который был совершен турецкой группой Turk Guvenligi.

Это первый в истории крупный взлом регистраторов, который повлек за собой публично заметное изменение DNS. Насторожиться также заставляет тот факт, что одновременно были взломаны сразу два различных регистратора. Ранее встречались единичные случаи атак, связанных с подменой параметров DNS на уровне регистраторов, но они как правило списывались на утечку параметров авторизации владельцев доменов. Почти сразу внесенные злоумышленниками изменения были отменены, но с учетом инертности обновления DNS, многие посетители, использующие DNS-серверы успевшие прокэшировать данные атакующих, могли лицезреть заявление о взломе крупнейших и уважаемых сайтов, пострадавших по вине регистратора.

Пользователям повезло, что атака была демонстративно проведена ради развлечения. В случае проведения скрытой подмены сайта атакующие имели возможность организовать сбор паролей и конфиденциальных данных. Распознать такую атаку со стороны посетителя почти невозможно, так как нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками, а не администрацией ресурса. Находящиеся в обиходе механизмы защиты базируются на имени домена и не учитывают IP-адрес ресурса. Единственным и надежным способом остается HTTPS, при котором при обращении к подставному домену будет выведено предупреждение для скрытия которого атакующим требуется заполучить серверные SSL-сертификаты.

Взломанные регистраторы пока выдерживают тактику молчания, не подтвердив и не опровергнув сведения. Но посмотрев через сервис Whois параметры фигурирующих в атаке доменов, видно, что их параметры вчера были изменены одновременно. Представители группы Turk Guvenligi также утверждают, что в конце августа был осуществлен взлом корейского регистратора Gabia.com, в результате которого удалось получить контроль над более 100 тыс. доменов и 350 тыс. пользовательских аккаунтов. В качестве подтверждения факта взлома приводится скриншот внутреннего административного интерфейса Gabia.com.

Кроме того, в анонимном интервью изданию Guardian представители группы сообщили, что кроме Netnames.co.uk и Ascio было взломано еще несколько регистраторов, имена которых не называются. Объект атаки был выбран почти случайно - атакующие задались целью показать возможность взлома крупнейших ресурсов, выбрали несколько сайтов и начали их изучение. Вначале была предпринята попытка прямой атаки и осуществлен поиск возможных уязвимостей в web-движках жертв, но не найдя таких уязвимостей, атакующие переключились на изучение возможности взлома регистраторов доменов.

  1. Главная ссылка к новости (http://www.guardian.co.uk/tech...)
  2. OpenNews: Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor
  3. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: security, domain, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Адольф, 10:03, 05/09/2011 [ответить] [смотреть все]    [к модератору]
  • +3 +/
    А почему копирайт на 2005 год?
     
     
  • 2.2, Аноним, 10:15, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • –2 +/
    Салам алейкум, Гитлер-ага А почему вопрос не по существу - Как получилось, что... весь текст скрыт [показать] [показать ветку]
     
  • 2.3, Аноним, 10:15, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    они с 2005 ломают Вот список их работ http www zone-h org archive notifier t... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, Адольф, 10:57, 05/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Самое старая запись там 2008 года
     
  • 1.4, Аноним, 10:17, 05/09/2011 [ответить] [смотреть все]     [к модератору]  
  • +/
    Банки давно додумались отправлять SMS с кодом подтверждения операции А у регист... весь текст скрыт [показать]
     
     
  • 2.5, Аноним, 10:19, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как показала практика последних дней, HTTPS как волосы на лобке - прикрывает, но ни черта не защищает.
     
     
  • 3.6, Аноним, 10:20, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Welcome to the Real_Web_2 0 ... весь текст скрыт [показать]
     
  • 3.12, Pahanivo, 11:25, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    защищают, но не от спецслужб... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 13:05, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не только спецслужбы располагают вычислительными кластерами и соответствующими м... весь текст скрыт [показать]
     
     
  • 5.25, Pahanivo, 14:15, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    вот пришел ананиим и тупо умыл всех шифровальшиков ... весь текст скрыт [показать]
     
     
  • 6.35, Аноним, 15:11, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Их умыла та пресловутая рашкина компашка, которая взломала iPhone 4 Которая pas... весь текст скрыт [показать]
     
  • 4.37, Аноним, 15:27, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если не защищает хоть от кого-то, то будем считать что не защищает ни от кого С... весь текст скрыт [показать]
     
  • 4.41, Аноним, 17:09, 05/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Поясните этот бред, пожалуйста.
     
  • 2.7, Heckfy, 10:55, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Это не поможет.
    Скрипту на perl никакие sms не помешают поправить файлы зон.
     
     
  • 3.10, Аноним, 11:09, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В подавляющем большинстве случаев ломают web-интерфейс через методы социальной и... весь текст скрыт [показать]
     
  • 2.20, MrClon, 13:15, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Как я понял поломали не учётки владельцев доменов, а самих регистраторов Или ты... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Аноним, 14:43, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Судя по скриншотам на которых web-интерфейс, использовался аккаунт одного из адм... весь текст скрыт [показать]
     
     
  • 4.38, Аноним, 15:30, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если инфраструктура взломана то что помешает просто прописать нужные данные втих... весь текст скрыт [показать]
     
     
  • 5.43, Аноним, 17:30, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Инфраструктуру пока достоверно не ломали ни разу Если сломают, то уже ничего не... весь текст скрыт [показать]
     
     
  • 6.50, Аноним, 21:59, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ИМХО если админ не может сохранить свои пароли - гнать надо такого админа, котор... весь текст скрыт [показать]
     
     
  • 7.52, Аноним, 09:12, 06/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Неужели вы думайте, что только админы в web-интерфейс правки параметров аккаунта... весь текст скрыт [показать]
     
     
  • 8.53, anonymous, 09:39, 06/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    как это оправдывает админов 8212 я не понимаю раз известно, что персонал низ... весь текст скрыт [показать]
     
  • 8.66, Аноним, 15:56, 10/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В тупорылости своего стаффа виноват наниматель Ему по этому поводу скидок н... весь текст скрыт [показать]
     
  • 3.36, Аноним, 15:19, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    почти one time пароли с token в кармане еще никто не отменял как и карточки с ... весь текст скрыт [показать]
     
  • 2.29, umbr, 14:54, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Можно подумать, в SMS обратные номера нельзя спуфить Вот когда появится SMSs ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, Аноним, 21:39, 06/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Можно Адрес отправителя может быть даже текстом Вы на него отвтить вообще не с... весь текст скрыт [показать]
     
  • 1.9, rm1, 11:06, 05/09/2011 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками

    Ах если бы только кто-нибудь изобрёл такой способ, его можно было бы назвать например как-нибудь типа "DNSSEC".

     
     
  • 2.11, XVilka, 11:15, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Да, и совершенно случайно, его рекомендовали бы внедрять _именно_ регистраторам ... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, aurved, 11:35, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну насколько я понимаю в данном случае взломе регистратора DNSSEC не поможет ... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, Имя, 11:48, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    давно уже читал про DNSSEC, там вроде просто подпись зон и апдейтов что мешает ... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Гы, 11:28, 05/09/2011 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    http www ascio com - крутится на винде http netnames co uk - на Linux Deb... весь текст скрыт [показать]
     
     
  • 2.30, umbr, 14:59, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > крутится на винде.
    > на Linux Debian.

    Одмины там точно гламурные.

     
  • 2.54, Аноним, 09:47, 06/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Скорее всего рабочие компы админов, с которых тырили пароли, крутятся либо на ви... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Ptomaine, 11:59, 05/09/2011 [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    Отлично Пусть это собьет спесь и гордыню с наивных финских мальчиков Лично я... весь текст скрыт [показать]
     
     
  • 2.39, anonymous, 16:24, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Может все таки обойдемся без блатных самоуспокаивающих религиозных заклинаний?
     
  • 1.17, RicoX, 12:04, 05/09/2011 [ответить] [смотреть все]    [к модератору]  
  • +/
    Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный ход. Чем больше таких акций, тем лучше будет защита и быстрее будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает - не трогай".
     
     
  • 2.19, Аноним, 13:08, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Это повсеместно происходит И очень часто связано с тем, что обновления _небезоп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, mvalery, 13:22, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    У нас в Израиле банкоматы спокойно уходят на шабат По субботам я уже и не пытаю... весь текст скрыт [показать]
     
     
  • 4.24, MrClon, 13:35, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Неделю Суровая у вас страна В Москве сбербанковская инфраструктура тоже с труд... весь текст скрыт [показать]
     
     
  • 5.42, Аноним, 17:20, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На многих из них стоит нелицензионный ХРендовс, поэтому иногда можно встретить п... весь текст скрыт [показать]
     
     
  • 6.57, edo, 13:38, 06/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    на многих не верю Вы случаем с терминалом не перепутали банкомат - это такой ... весь текст скрыт [показать]
     
     
  • 7.60, j3qq4, 00:27, 07/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да хрена там В Банке Москвы - винда ХР Сегодня видел, как техник ее переставл... весь текст скрыт [показать]
     
     
  • 8.62, edo, 00:36, 07/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    я не спорю, что винда только вот 99 , что лицензионная... весь текст скрыт [показать]
     
  • 8.63, anonymous, 14:45, 07/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    не так уж хорошо, кстати я бы сказал 171 защищен от дурака немножко 187 ... весь текст скрыт [показать]
     
  • 3.23, MrClon, 13:28, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Очень просто один из серверов кластера обслуживающего банкоматы 8230 Если про... весь текст скрыт [показать]
     
  • 3.31, playnet, 15:01, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Банкоматы не critical-time даже если ребутиться 10 минут будут - не страшно Да... весь текст скрыт [показать]
     
     
  • 4.33, Аноним, 15:07, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Поправка - мы говорим не о банкоматах, а о СЕРВЕРАХ БАНКОМАТОВ Смекаешь, анон ... весь текст скрыт [показать]
     
     
  • 5.44, cmp, 17:46, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Венда, какие проблемы обновите ось на левом компе и образ раскидайте по сервера... весь текст скрыт [показать]
     
     
  • 6.47, anonymous, 19:28, 05/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > когда вам ГМО пихают

    а казался нормальным…

     
     
  • 7.48, M, 21:47, 05/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    да он - то как раз нормальный, а ты хто? представитель зaлотоxо миллиaрtа?
     
     
  • 8.49, anonymous, 21:53, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    а я просто хорошо в школе учился и от аббревиатуры 171 ГМО 187 не впадаю в п... весь текст скрыт [показать]
     
  • 6.61, j3qq4, 00:34, 07/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Чем тебя ГМО не устраивают Еще один Если сможешь назвать хоть один не-ГМО ра... весь текст скрыт [показать]
     
     
  • 7.64, anonymous, 14:47, 07/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ты с ума сошёл люди, у которых трясучка от букв 171 ГМО 187 8212 патенто... весь текст скрыт [показать]
     
  • 3.32, anonymous, 15:04, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не им... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 15:09, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Кластер не является полноценным HA-решением Дисковая система ОДНА Общая Едина... весь текст скрыт [показать]
     
     
  • 5.45, Square, 19:15, 05/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Речь идет о серверах обслуживающих систему банкоматов Нелязя ли поподробнее, пр... весь текст скрыт [показать]
     
     
  • 6.67, Аноним, 16:20, 11/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Нельзя Кто работал с кластерами, СУБД и аппаратной репликацией - понимает Оста... весь текст скрыт [показать]
     
     
  • 7.71, Square, 20:41, 11/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Очень в духе местного менталитета ... весь текст скрыт [показать]
     
  • 5.72, ram_scan, 13:16, 14/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А не надо делать HA, делайте SFT III Будет две дисковых системы и настанет вам ... весь текст скрыт [показать]
     
  • 3.55, Аноним, 09:51, 06/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А кто сказал, что в первую очередь защищать нужно именно сервера Их-то как раз ... весь текст скрыт [показать]
     
     
  • 4.56, anonymous, 09:56, 06/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    работал под виндой 5 лет, ни одного пароля не стырили ЧЯДНТ ... весь текст скрыт [показать]
     
     
  • 5.65, Аноним, 18:22, 08/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ты никому не был нужен Некоторые и до сих пор на WinXP SP2 сидят и все нормальн... весь текст скрыт [показать]
     
  • 4.68, Аноним, 16:21, 11/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Анон, ты ничего не перепутал, не Ты хоть где-нибудь можешь обновить ось в мульт... весь текст скрыт [показать]
     
  • 1.21, bircoph, 13:16, 05/09/2011 [ответить] [смотреть все]    [к модератору]  
  • +/
    unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают, то всё будет ок

     
     
  • 2.27, aurved, 14:45, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    если регистратор взломан, то изменения от него будут подписаны честь по чести и ... весь текст скрыт [показать] [показать ветку]
     
  • 2.28, Аноним, 14:50, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    DNSSEC и использование TCP приводят только к понижению безопасности В былые вре... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, anonymous, 16:35, 05/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают,
    >> то всё будет ок
    > DNSSEC и использование TCP приводят только к понижению безопасности. В былые времена
    > основанный на UDP протокол был верх простоты и надежности, пока Камински
    > не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC.
    > Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги
    > в DNSSEC затмевают все остальное.

    это потому что старый код успешно был изучен за десятки лет спецслужбами, "демократические антитеррористические" бэкдоры установлены и все жили спокойно. Новый бинд поиходится терзать, так как он сволочь хуже поддается взлому. Но работы ведутся, все под контролем.

     
     
  • 4.58, rrhrh, 14:02, 06/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    http://www.veteranstoday.com/2011/06/07/going-rogue-natos-war-crimes-in-libya
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor