The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

05.09.2011 09:08  Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов

В воскресенье ночью несколько крупнейших сетевых ресурсов, среди которых Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register, оказались подменены злоумышленниками, которым благодаря атаке на регистраторов доменов Netnames.co.uk и Ascio удалось подменить записи в DNS. После атаки, домены жертв были перенаправлены на новый IP, на котором выводилась заставка с уведомлением о взломе, который был совершен турецкой группой Turk Guvenligi.

Это первый в истории крупный взлом регистраторов, который повлек за собой публично заметное изменение DNS. Насторожиться также заставляет тот факт, что одновременно были взломаны сразу два различных регистратора. Ранее встречались единичные случаи атак, связанных с подменой параметров DNS на уровне регистраторов, но они как правило списывались на утечку параметров авторизации владельцев доменов. Почти сразу внесенные злоумышленниками изменения были отменены, но с учетом инертности обновления DNS, многие посетители, использующие DNS-серверы успевшие прокэшировать данные атакующих, могли лицезреть заявление о взломе крупнейших и уважаемых сайтов, пострадавших по вине регистратора.

Пользователям повезло, что атака была демонстративно проведена ради развлечения. В случае проведения скрытой подмены сайта атакующие имели возможность организовать сбор паролей и конфиденциальных данных. Распознать такую атаку со стороны посетителя почти невозможно, так как нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками, а не администрацией ресурса. Находящиеся в обиходе механизмы защиты базируются на имени домена и не учитывают IP-адрес ресурса. Единственным и надежным способом остается HTTPS, при котором при обращении к подставному домену будет выведено предупреждение для скрытия которого атакующим требуется заполучить серверные SSL-сертификаты.

Взломанные регистраторы пока выдерживают тактику молчания, не подтвердив и не опровергнув сведения. Но посмотрев через сервис Whois параметры фигурирующих в атаке доменов, видно, что их параметры вчера были изменены одновременно. Представители группы Turk Guvenligi также утверждают, что в конце августа был осуществлен взлом корейского регистратора Gabia.com, в результате которого удалось получить контроль над более 100 тыс. доменов и 350 тыс. пользовательских аккаунтов. В качестве подтверждения факта взлома приводится скриншот внутреннего административного интерфейса Gabia.com.

Кроме того, в анонимном интервью изданию Guardian представители группы сообщили, что кроме Netnames.co.uk и Ascio было взломано еще несколько регистраторов, имена которых не называются. Объект атаки был выбран почти случайно - атакующие задались целью показать возможность взлома крупнейших ресурсов, выбрали несколько сайтов и начали их изучение. Вначале была предпринята попытка прямой атаки и осуществлен поиск возможных уязвимостей в web-движках жертв, но не найдя таких уязвимостей, атакующие переключились на изучение возможности взлома регистраторов доменов.

  1. Главная ссылка к новости (http://www.guardian.co.uk/tech...)
  2. OpenNews: Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor
  3. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: security, domain, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Адольф, 10:03, 05/09/2011 [ответить] [смотреть все]
  • +3 +/
    А почему копирайт на 2005 год?
     
     
  • 2.2, Аноним, 10:15, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]
  • –2 +/
    Салам алейкум, Гитлер-ага А почему вопрос не по существу - Как получилось, что... весь текст скрыт [показать] [показать ветку]
     
  • 2.3, Аноним, 10:15, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    они с 2005 ломают Вот список их работ http www zone-h org archive notifier t... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, Адольф, 10:57, 05/09/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    Самое старая запись там 2008 года
     
  • 1.4, Аноним, 10:17, 05/09/2011 [ответить] [смотреть все]  
  • +/
    Банки давно додумались отправлять SMS с кодом подтверждения операции А у регист... весь текст скрыт [показать]
     
     
  • 2.5, Аноним, 10:19, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как показала практика последних дней, HTTPS как волосы на лобке - прикрывает, но ни черта не защищает.
     
     
  • 3.6, Аноним, 10:20, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Welcome to the Real_Web_2 0 ... весь текст скрыт [показать]
     
  • 3.12, Pahanivo, 11:25, 05/09/2011 [^] [ответить] [смотреть все]  
  • –2 +/
    защищают, но не от спецслужб... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 13:05, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Не только спецслужбы располагают вычислительными кластерами и соответствующими м... весь текст скрыт [показать]
     
     
  • 5.25, Pahanivo, 14:15, 05/09/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    вот пришел ананиим и тупо умыл всех шифровальшиков ... весь текст скрыт [показать]
     
     
  • 6.35, Аноним, 15:11, 05/09/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    Их умыла та пресловутая рашкина компашка, которая взломала iPhone 4 Которая pas... весь текст скрыт [показать]
     
  • 4.37, Аноним, 15:27, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Если не защищает хоть от кого-то, то будем считать что не защищает ни от кого С... весь текст скрыт [показать]
     
  • 4.41, Аноним, 17:09, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Поясните этот бред, пожалуйста.
     
  • 2.7, Heckfy, 10:55, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это не поможет.
    Скрипту на perl никакие sms не помешают поправить файлы зон.
     
     
  • 3.10, Аноним, 11:09, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    В подавляющем большинстве случаев ломают web-интерфейс через методы социальной и... весь текст скрыт [показать]
     
  • 2.20, MrClon, 13:15, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Как я понял поломали не учётки владельцев доменов, а самих регистраторов Или ты... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Аноним, 14:43, 05/09/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Судя по скриншотам на которых web-интерфейс, использовался аккаунт одного из адм... весь текст скрыт [показать]
     
     
  • 4.38, Аноним, 15:30, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Если инфраструктура взломана то что помешает просто прописать нужные данные втих... весь текст скрыт [показать]
     
     
  • 5.43, Аноним, 17:30, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Инфраструктуру пока достоверно не ломали ни разу Если сломают, то уже ничего не... весь текст скрыт [показать]
     
     
  • 6.50, Аноним, 21:59, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    ИМХО если админ не может сохранить свои пароли - гнать надо такого админа, котор... весь текст скрыт [показать]
     
     
  • 7.52, Аноним, 09:12, 06/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Неужели вы думайте, что только админы в web-интерфейс правки параметров аккаунта... весь текст скрыт [показать]
     
     
  • 8.53, anonymous, 09:39, 06/09/2011 [^] [ответить] [смотреть все]  
  • +/
    как это оправдывает админов 8212 я не понимаю раз известно, что персонал низ... весь текст скрыт [показать]
     
  • 8.66, Аноним, 15:56, 10/09/2011 [^] [ответить] [смотреть все]  
  • +/
    В тупорылости своего стаффа виноват наниматель Ему по этому поводу скидок н... весь текст скрыт [показать]
     
  • 3.36, Аноним, 15:19, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    почти one time пароли с token в кармане еще никто не отменял как и карточки с ... весь текст скрыт [показать]
     
  • 2.29, umbr, 14:54, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Можно подумать, в SMS обратные номера нельзя спуфить Вот когда появится SMSs ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, Аноним, 21:39, 06/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Можно Адрес отправителя может быть даже текстом Вы на него отвтить вообще не с... весь текст скрыт [показать]
     
  • 1.9, rm1, 11:06, 05/09/2011 [ответить] [смотреть все]  
  • +1 +/
    > нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленниками

    Ах если бы только кто-нибудь изобрёл такой способ, его можно было бы назвать например как-нибудь типа "DNSSEC".

     
     
  • 2.11, XVilka, 11:15, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, и совершенно случайно, его рекомендовали бы внедрять _именно_ регистраторам ... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, aurved, 11:35, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну насколько я понимаю в данном случае взломе регистратора DNSSEC не поможет ... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, Имя, 11:48, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    давно уже читал про DNSSEC, там вроде просто подпись зон и апдейтов что мешает ... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Гы, 11:28, 05/09/2011 [ответить] [смотреть все]  
  • –3 +/
    http www ascio com - крутится на винде http netnames co uk - на Linux Deb... весь текст скрыт [показать]
     
     
  • 2.30, umbr, 14:59, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > крутится на винде.
    > на Linux Debian.

    Одмины там точно гламурные.

     
  • 2.54, Аноним, 09:47, 06/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Скорее всего рабочие компы админов, с которых тырили пароли, крутятся либо на ви... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Ptomaine, 11:59, 05/09/2011 [ответить] [смотреть все]  
  • –6 +/
    Отлично Пусть это собьет спесь и гордыню с наивных финских мальчиков Лично я... весь текст скрыт [показать]
     
     
  • 2.39, anonymous, 16:24, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Может все таки обойдемся без блатных самоуспокаивающих религиозных заклинаний?
     
  • 1.17, RicoX, 12:04, 05/09/2011 [ответить] [смотреть все]  
  • +/
    Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный ход. Чем больше таких акций, тем лучше будет защита и быстрее будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает - не трогай".
     
     
  • 2.19, Аноним, 13:08, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Это повсеместно происходит И очень часто связано с тем, что обновления _небезоп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, mvalery, 13:22, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    У нас в Израиле банкоматы спокойно уходят на шабат По субботам я уже и не пытаю... весь текст скрыт [показать]
     
     
  • 4.24, MrClon, 13:35, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Неделю Суровая у вас страна В Москве сбербанковская инфраструктура тоже с труд... весь текст скрыт [показать]
     
     
  • 5.42, Аноним, 17:20, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    На многих из них стоит нелицензионный ХРендовс, поэтому иногда можно встретить п... весь текст скрыт [показать]
     
     
  • 6.57, edo, 13:38, 06/09/2011 [^] [ответить] [смотреть все]  
  • +/
    на многих не верю Вы случаем с терминалом не перепутали банкомат - это такой ... весь текст скрыт [показать]
     
     
  • 7.60, j3qq4, 00:27, 07/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Да хрена там В Банке Москвы - винда ХР Сегодня видел, как техник ее переставл... весь текст скрыт [показать]
     
     
  • 8.62, edo, 00:36, 07/09/2011 [^] [ответить] [смотреть все]  
  • +/
    я не спорю, что винда только вот 99 , что лицензионная... весь текст скрыт [показать]
     
  • 8.63, anonymous, 14:45, 07/09/2011 [^] [ответить] [смотреть все]  
  • +/
    не так уж хорошо, кстати я бы сказал 171 защищен от дурака немножко 187 ... весь текст скрыт [показать]
     
  • 3.23, MrClon, 13:28, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Очень просто один из серверов кластера обслуживающего банкоматы 8230 Если про... весь текст скрыт [показать]
     
  • 3.31, playnet, 15:01, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Банкоматы не critical-time даже если ребутиться 10 минут будут - не страшно Да... весь текст скрыт [показать]
     
     
  • 4.33, Аноним, 15:07, 05/09/2011 [^] [ответить] [смотреть все]  
  • –2 +/
    Поправка - мы говорим не о банкоматах, а о СЕРВЕРАХ БАНКОМАТОВ Смекаешь, анон ... весь текст скрыт [показать]
     
     
  • 5.44, cmp, 17:46, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Венда, какие проблемы обновите ось на левом компе и образ раскидайте по сервера... весь текст скрыт [показать]
     
     
  • 6.47, anonymous, 19:28, 05/09/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    > когда вам ГМО пихают

    а казался нормальным…

     
     
  • 7.48, M, 21:47, 05/09/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    да он - то как раз нормальный, а ты хто? представитель зaлотоxо миллиaрtа?
     
     
  • 8.49, anonymous, 21:53, 05/09/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    а я просто хорошо в школе учился и от аббревиатуры 171 ГМО 187 не впадаю в п... весь текст скрыт [показать]
     
  • 6.61, j3qq4, 00:34, 07/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Чем тебя ГМО не устраивают Еще один Если сможешь назвать хоть один не-ГМО ра... весь текст скрыт [показать]
     
     
  • 7.64, anonymous, 14:47, 07/09/2011 [^] [ответить] [смотреть все]  
  • +/
    ты с ума сошёл люди, у которых трясучка от букв 171 ГМО 187 8212 патенто... весь текст скрыт [показать]
     
  • 3.32, anonymous, 15:04, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не им... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 15:09, 05/09/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    Кластер не является полноценным HA-решением Дисковая система ОДНА Общая Едина... весь текст скрыт [показать]
     
     
  • 5.45, Square, 19:15, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Речь идет о серверах обслуживающих систему банкоматов Нелязя ли поподробнее, пр... весь текст скрыт [показать]
     
     
  • 6.67, Аноним, 16:20, 11/09/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    Нельзя Кто работал с кластерами, СУБД и аппаратной репликацией - понимает Оста... весь текст скрыт [показать]
     
     
  • 7.71, Square, 20:41, 11/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Очень в духе местного менталитета ... весь текст скрыт [показать]
     
  • 5.72, ram_scan, 13:16, 14/09/2011 [^] [ответить] [смотреть все]  
  • +/
    А не надо делать HA, делайте SFT III Будет две дисковых системы и настанет вам ... весь текст скрыт [показать]
     
  • 3.55, Аноним, 09:51, 06/09/2011 [^] [ответить] [смотреть все]  
  • +/
    А кто сказал, что в первую очередь защищать нужно именно сервера Их-то как раз ... весь текст скрыт [показать]
     
     
  • 4.56, anonymous, 09:56, 06/09/2011 [^] [ответить] [смотреть все]  
  • +/
    работал под виндой 5 лет, ни одного пароля не стырили ЧЯДНТ ... весь текст скрыт [показать]
     
     
  • 5.65, Аноним, 18:22, 08/09/2011 [^] [ответить] [смотреть все]  
  • +/
    ты никому не был нужен Некоторые и до сих пор на WinXP SP2 сидят и все нормальн... весь текст скрыт [показать]
     
  • 4.68, Аноним, 16:21, 11/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Анон, ты ничего не перепутал, не Ты хоть где-нибудь можешь обновить ось в мульт... весь текст скрыт [показать]
     
  • 1.21, bircoph, 13:16, 05/09/2011 [ответить] [смотреть все]  
  • +/
    unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают, то всё будет ок

     
     
  • 2.27, aurved, 14:45, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    если регистратор взломан, то изменения от него будут подписаны честь по чести и ... весь текст скрыт [показать] [показать ветку]
     
  • 2.28, Аноним, 14:50, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    DNSSEC и использование TCP приводят только к понижению безопасности В былые вре... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, anonymous, 16:35, 05/09/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    >> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают,
    >> то всё будет ок
    > DNSSEC и использование TCP приводят только к понижению безопасности. В былые времена
    > основанный на UDP протокол был верх простоты и надежности, пока Камински
    > не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC.
    > Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги
    > в DNSSEC затмевают все остальное.

    это потому что старый код успешно был изучен за десятки лет спецслужбами, "демократические антитеррористические" бэкдоры установлены и все жили спокойно. Новый бинд поиходится терзать, так как он сволочь хуже поддается взлому. Но работы ведутся, все под контролем.

     
     
  • 4.58, rrhrh, 14:02, 06/09/2011 [^] [ответить] [смотреть все]  
  • +/
    http://www.veteranstoday.com/2011/06/07/going-rogue-natos-war-crimes-in-libya
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor