The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

05.09.2011 09:08  Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов

В воскресенье ночью несколько крупнейших сетевых ресурсов, среди которых Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register, оказались подменены злоумышленниками, которым благодаря атаке на регистраторов доменов Netnames.co.uk и Ascio удалось подменить записи в DNS. После атаки, домены жертв были перенаправлены на новый IP, на котором выводилась заставка с уведомлением о взломе, который был совершен турецкой группой Turk Guvenligi.

Это первый в истории крупный взлом регистраторов, который повлек за собой публично заметное изменение DNS. Насторожиться также заставляет тот факт, что одновременно были взломаны сразу два различных регистратора. Ранее встречались единичные случаи атак, связанных с подменой параметров DNS на уровне регистраторов, но они как правило списывались на утечку параметров авторизации владельцев доменов. Почти сразу внесенные злоумышленниками изменения были отменены, но с учетом инертности обновления DNS, многие посетители, использующие DNS-серверы успевшие прокэшировать данные атакующих, могли лицезреть заявление о взломе крупнейших и уважаемых сайтов, пострадавших по вине регистратора.

Пользователям повезло, что атака была демонстративно проведена ради развлечения. В случае проведения скрытой подмены сайта атакующие имели возможность организовать сбор паролей и конфиденциальных данных. Распознать такую атаку со стороны посетителя почти невозможно, так как нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками, а не администрацией ресурса. Находящиеся в обиходе механизмы защиты базируются на имени домена и не учитывают IP-адрес ресурса. Единственным и надежным способом остается HTTPS, при котором при обращении к подставному домену будет выведено предупреждение для скрытия которого атакующим требуется заполучить серверные SSL-сертификаты.

Взломанные регистраторы пока выдерживают тактику молчания, не подтвердив и не опровергнув сведения. Но посмотрев через сервис Whois параметры фигурирующих в атаке доменов, видно, что их параметры вчера были изменены одновременно. Представители группы Turk Guvenligi также утверждают, что в конце августа был осуществлен взлом корейского регистратора Gabia.com, в результате которого удалось получить контроль над более 100 тыс. доменов и 350 тыс. пользовательских аккаунтов. В качестве подтверждения факта взлома приводится скриншот внутреннего административного интерфейса Gabia.com.

Кроме того, в анонимном интервью изданию Guardian представители группы сообщили, что кроме Netnames.co.uk и Ascio было взломано еще несколько регистраторов, имена которых не называются. Объект атаки был выбран почти случайно - атакующие задались целью показать возможность взлома крупнейших ресурсов, выбрали несколько сайтов и начали их изучение. Вначале была предпринята попытка прямой атаки и осуществлен поиск возможных уязвимостей в web-движках жертв, но не найдя таких уязвимостей, атакующие переключились на изучение возможности взлома регистраторов доменов.

  1. Главная ссылка к новости (http://www.guardian.co.uk/tech...)
  2. OpenNews: Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor
  3. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: security, domain, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Адольф (?), 10:03, 05/09/2011 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    А почему копирайт на 2005 год?
     
     
  • 2.2, Аноним (-), 10:15, 05/09/2011 [^] [ответить]    [к модератору]
  • –2 +/
    Салам алейкум, Гитлер-ага. А почему вопрос не по существу - "Как получилось, что у крупнейших регистраров админы - лохи?". А ты о каком-то копирайте.
     
  • 2.3, Аноним (-), 10:15, 05/09/2011 [^] [ответить]    [к модератору]
  • +3 +/
    > А почему копирайт на 2005 год?

    они с 2005 ломают. Вот список их работ: http://www.zone-h.org/archive/notifier=turkguvenligi.info/page=1

     
     
  • 3.8, Адольф (?), 10:57, 05/09/2011 [^] [ответить]    [к модератору]
  • –1 +/
    Самое старая запись там 2008 года
     
  • 1.4, Аноним (-), 10:17, 05/09/2011 [ответить] [показать ветку] [···]     [к модератору]
  • +/
    Банки давно додумались отправлять SMS с кодом подтверждения операции А у регист... весь текст скрыт [показать]
     
     
  • 2.5, Аноним (-), 10:19, 05/09/2011 [^] [ответить]    [к модератору]  
  • +7 +/
    Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как показала практика последних дней, HTTPS как волосы на лобке - прикрывает, но ни черта не защищает.
     
     
  • 3.6, Аноним (-), 10:20, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Welcome to the Real_Web_2 0 ... весь текст скрыт [показать]
     
  • 3.12, Pahanivo (ok), 11:25, 05/09/2011 [^] [ответить]     [к модератору]  
  • –2 +/
    защищают, но не от спецслужб... весь текст скрыт [показать]
     
     
  • 4.18, Аноним (-), 13:05, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.
     
     
  • 5.25, Pahanivo (ok), 14:15, 05/09/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    > Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.

    вот пришел ананиим и тупо умыл всех шифровальшиков )))

     
     
  • 6.35, Аноним (-), 15:11, 05/09/2011 [^] [ответить]     [к модератору]  
  • –1 +/
    Их умыла та пресловутая рашкина компашка, которая взломала iPhone 4 Которая pas... весь текст скрыт [показать]
     
  • 4.37, Аноним (-), 15:27, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Если не защищает хоть от кого-то, то будем считать что не защищает ни от кого С... весь текст скрыт [показать]
     
  • 4.41, Аноним (-), 17:09, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Поясните этот бред, пожалуйста.
     
  • 2.7, Heckfy (ok), 10:55, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Это не поможет.
    Скрипту на perl никакие sms не помешают поправить файлы зон.
     
     
  • 3.10, Аноним (-), 11:09, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    В подавляющем большинстве случаев ломают web-интерфейс через методы социальной и... весь текст скрыт [показать]
     
  • 2.20, MrClon (?), 13:15, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Как я понял поломали не учётки владельцев доменов, а самих регистраторов Или ты... весь текст скрыт [показать]
     
     
  • 3.26, Аноним (-), 14:43, 05/09/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Судя по скриншотам на которых web-интерфейс, использовался аккаунт одного из адм... весь текст скрыт [показать]
     
     
  • 4.38, Аноним (-), 15:30, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Если инфраструктура взломана то что помешает просто прописать нужные данные втих... весь текст скрыт [показать]
     
     
  • 5.43, Аноним (-), 17:30, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Инфраструктуру пока достоверно не ломали ни разу Если сломают, то уже ничего не... весь текст скрыт [показать]
     
     
  • 6.50, Аноним (-), 21:59, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    ИМХО если админ не может сохранить свои пароли - гнать надо такого админа, который логинится своими логинами где попало и/или не в состоянии администрировать даже свой рабочий компьютер.
     
     
  • 7.52, Аноним (-), 09:12, 06/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Неужели вы думайте, что только админы в web-интерфейс правки параметров аккаунта... весь текст скрыт [показать]
     
     
  • 8.53, anonymous (??), 09:39, 06/09/2011 [^] [ответить]    [к модератору]  
  • +/
    как это оправдывает админов — я не понимаю. раз известно, что персонал низкоквалифицированый, админы должны бдить втройне, за то им и деньги платят.
     
  • 8.66, Аноним (-), 15:56, 10/09/2011 [^] [ответить]     [к модератору]  
  • +/
    В тупорылости своего стаффа виноват наниматель Ему по этому поводу скидок н... весь текст скрыт [показать]
     
  • 3.36, Аноним (-), 15:19, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    почти. one time пароли с token в кармане еще никто не отменял.
    как и карточки с одноразовыми паролями - у одного известного банка.
     
  • 2.29, umbr (ok), 14:54, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Можно подумать, в SMS обратные номера нельзя спуфить.
    Вот когда появится SMSs... :)
     
     
  • 3.59, Аноним (-), 21:39, 06/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > Можно подумать, в SMS обратные номера нельзя спуфить.

    Можно. Адрес отправителя может быть даже текстом. Вы на него отвтить вообще не сможете, но отображаться - будет :)))

     
  • 1.9, rm1 (?), 11:06, 05/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками

    Ах если бы только кто-нибудь изобрёл такой способ, его можно было бы назвать например как-нибудь типа "DNSSEC".

     
     
  • 2.11, XVilka (ok), 11:15, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Да, и совершенно случайно, его рекомендовали бы внедрять _именно_ регистраторам доменов
     
  • 2.14, aurved (?), 11:35, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Ну насколько я понимаю в данном случае (взломе регистратора) DNSSEC не поможет.

     
  • 2.15, Имя (?), 11:48, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    давно уже читал про DNSSEC, там вроде просто подпись зон и апдейтов.
    что мешает украсть ключ?
    сложнее конечно, но тоже реализовать можно.
     
  • 1.13, Гы (?), 11:28, 05/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    http://www.ascio.com/ - крутится на винде.
    http://netnames.co.uk/ - на Linux Debian.
    Выходит ломали гламурные маководы.

    Шутка. :)

     
     
  • 2.30, umbr (ok), 14:59, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > крутится на винде.
    > на Linux Debian.

    Одмины там точно гламурные.

     
  • 2.54, Аноним (-), 09:47, 06/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Скорее всего рабочие компы админов, с которых тырили пароли, крутятся либо на ви... весь текст скрыт [показать]
     
  • 1.16, Ptomaine (?), 11:59, 05/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –6 +/
    Отлично! Пусть это собьет спесь и гордыню с наивных "финских мальчиков".
    Лично я - рад )
    "Виноват не вор, а тот, кто позволяет украсть" (C)(s)
     
     
  • 2.39, anonymous (??), 16:24, 05/09/2011 [^] [ответить]    [к модератору]  
  • +2 +/
    Может все таки обойдемся без блатных самоуспокаивающих религиозных заклинаний?
     
  • 1.17, RicoX (?), 12:04, 05/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный ход. Чем больше таких акций, тем лучше будет защита и быстрее будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает - не трогай".
     
     
  • 2.19, Аноним (-), 13:08, 05/09/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Это повсеместно происходит И очень часто связано с тем, что обновления _небезоп... весь текст скрыт [показать]
     
     
  • 3.22, mvalery (ok), 13:22, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    У нас в Израиле банкоматы спокойно уходят на шабат По субботам я уже и не пытаю... весь текст скрыт [показать]
     
     
  • 4.24, MrClon (?), 13:35, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Неделю Суровая у вас страна В Москве сбербанковская инфраструктура тоже с труд... весь текст скрыт [показать]
     
     
  • 5.42, Аноним (-), 17:20, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    На многих из них стоит нелицензионный ХРендовс, поэтому иногда можно встретить п... весь текст скрыт [показать]
     
     
  • 6.57, edo (ok), 13:38, 06/09/2011 [^] [ответить]    [к модератору]  
  • +/
    на многих? не верю.
    Вы случаем с терминалом не перепутали?

    банкомат - это такой гробик, ценой зачастую в несколько миллионов. экономить там на лицензии смысла нет.

     
     
  • 7.60, j3qq4 (??), 00:27, 07/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Да хрена там. В Банке Москвы - винда. ХР. Сегодня видел, как техник ее переставлял на банкомате. Гробик, да. Только и толку, что физически защищен хорошо. От взлома денежного ящика, да...
     
     
  • 8.62, edo (ok), 00:36, 07/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > Да хрена там. В Банке Москвы - винда. ХР.

    я не спорю, что винда. только вот 99%, что лицензионная

     
  • 8.63, anonymous (??), 14:45, 07/09/2011 [^] [ответить]     [к модератору]  
  • +/
    не так уж хорошо, кстати я бы сказал 171 защищен от дурака немножко 187 ... весь текст скрыт [показать]
     
  • 3.23, MrClon (?), 13:28, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Очень просто один из серверов кластера обслуживающего банкоматы 8230 Если про... весь текст скрыт [показать]
     
  • 3.31, playnet (ok), 15:01, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Банкоматы не critical-time даже если ребутиться 10 минут будут - не страшно Да... весь текст скрыт [показать]
     
     
  • 4.33, Аноним (-), 15:07, 05/09/2011 [^] [ответить]     [к модератору]  
  • –2 +/
    Поправка - мы говорим не о банкоматах, а о СЕРВЕРАХ БАНКОМАТОВ Смекаешь, анон ... весь текст скрыт [показать]
     
     
  • 5.44, cmp (ok), 17:46, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Венда, какие проблемы обновите ось на левом компе и образ раскидайте по сервера... весь текст скрыт [показать]
     
     
  • 6.47, anonymous (??), 19:28, 05/09/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    > когда вам ГМО пихают

    а казался нормальным…

     
     
  • 7.48, M (?), 21:47, 05/09/2011 [^] [ответить]    [к модератору]  
  • –1 +/
    да он - то как раз нормальный, а ты хто? представитель зaлотоxо миллиaрtа?
     
     
  • 8.49, anonymous (??), 21:53, 05/09/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    > да он — то как раз нормальный, а ты хто? представитель зaлотоxо
    > миллиaрtа?

    а я просто хорошо в школе учился и от аббревиатуры «ГМО» не впадаю в панику.

     
  • 6.61, j3qq4 (??), 00:34, 07/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Чем тебя ГМО не устраивают? Еще один...
    Если сможешь назвать хоть один не-ГМО растительный продукт (из тех, что выращивается в промышленных масштабах)  - мы вернемся к этому разговору. Подсказка - гуглить все про полиплоиды, колхицин и сортовую работу, это если навскидку.
     
     
  • 7.64, anonymous (??), 14:47, 07/09/2011 [^] [ответить]    [к модератору]  
  • +/
    ты с ума сошёл? люди, у которых трясучка от букв «ГМО» — патентованые идиоты. а ты с ними пытаешься разговаривать как с разумными.

    нет, я честно проверял. статистика за несколько сотен перевалила. идиоты. все.

     
  • 3.32, anonymous (??), 15:04, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии LiveUpgrade, не одинок в своем кластере.
     
     
  • 4.34, Аноним (-), 15:09, 05/09/2011 [^] [ответить]     [к модератору]  
  • –1 +/
    Кластер не является полноценным HA-решением Дисковая система ОДНА Общая Едина... весь текст скрыт [показать]
     
     
  • 5.45, Square (ok), 19:15, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    >Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.

    Речь идет о серверах обслуживающих систему банкоматов?
    Нелязя ли поподробнее, про транзакции которые не откатываются?

     
     
  • 6.67, Аноним (-), 16:20, 11/09/2011 [^] [ответить]     [к модератору]  
  • –1 +/
    Нельзя Кто работал с кластерами, СУБД и аппаратной репликацией - понимает Оста... весь текст скрыт [показать]
     
     
  • 7.71, Square (ok), 20:41, 11/09/2011 [^] [ответить]    [к модератору]  
  • +/
    >>>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
    >> Речь идет о серверах обслуживающих систему банкоматов?
    >> Нелязя ли поподробнее, про транзакции которые не откатываются?
    > Нельзя. Кто работал с кластерами, СУБД и аппаратной репликацией - понимает. Остальным
    > либкез никто устраивать не обязан.

    Очень в духе местного менталитета.

     
  • 5.72, ram_scan (?), 13:16, 14/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > Кластер не является полноценным HA-решением. Дисковая система ОДНА

    А не надо делать HA, делайте SFT III. Будет две дисковых системы и настанет вам щасте.

    В пингвине кстати реализовано уже.

     
  • 3.55, Аноним (-), 09:51, 06/09/2011 [^] [ответить]     [к модератору]  
  • +/
    А кто сказал, что в первую очередь защищать нужно именно сервера Их-то как раз ... весь текст скрыт [показать]
     
     
  • 4.56, anonymous (??), 09:56, 06/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > Вот запрет винды на десктопах админов - это да, сильно ударит по
    > хаксорам и значительно усложнит им жизнь.

    работал под виндой 5 лет, ни одного пароля не стырили. ЧЯДНТ?

     
     
  • 5.65, Аноним (-), 18:22, 08/09/2011 [^] [ответить]    [к модератору]  
  • +/
    ты никому не был нужен. Некоторые и до сих пор на WinXP SP2 сидят и все нормально, но это не значит, что на сегодняшний день она является безопасной системой.
     
  • 4.68, Аноним (-), 16:21, 11/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Анон, ты ничего не перепутал, не Ты хоть где-нибудь можешь обновить ось в мульт... весь текст скрыт [показать]
     
  • 1.21, bircoph (ok), 13:16, 05/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают, то всё будет ок

     
     
  • 2.27, aurved (?), 14:45, 05/09/2011 [^] [ответить]    [к модератору]  
  • +/
    если регистратор взломан, то изменения от него будут подписаны честь по чести и DNSSEC не спасёт. лично мне вот так видится...

     
  • 2.28, Аноним (-), 14:50, 05/09/2011 [^] [ответить]     [к модератору]  
  • +/
    DNSSEC и использование TCP приводят только к понижению безопасности В былые вре... весь текст скрыт [показать]
     
     
  • 3.40, anonymous (??), 16:35, 05/09/2011 [^] [ответить]    [к модератору]  
  • –1 +/
    >> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают,
    >> то всё будет ок
    > DNSSEC и использование TCP приводят только к понижению безопасности. В былые времена
    > основанный на UDP протокол был верх простоты и надежности, пока Камински
    > не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC.
    > Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги
    > в DNSSEC затмевают все остальное.

    это потому что старый код успешно был изучен за десятки лет спецслужбами, "демократические антитеррористические" бэкдоры установлены и все жили спокойно. Новый бинд поиходится терзать, так как он сволочь хуже поддается взлому. Но работы ведутся, все под контролем.

     
     
  • 4.58, rrhrh (?), 14:02, 06/09/2011 [^] [ответить]    [к модератору]  
  • +/
    http://www.veteranstoday.com/2011/06/07/going-rogue-natos-war-crimes-in-libya
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor