План по заполнению интернета сотнями или тысячами новых доменов верхнего уровня грозит появлением проблем с безопасностью и эксперты размышляют о некоторых непредвиденных последствиях, которые могут использоваться киберпреступниками в своих целях. Некоторые варианты развития событий выглядят совсем неутешительно.
Подумай о хаосе, который может возникнуть из-за доменов типа "exchange", "mailserver" или многих других адресов, которые заканчиваются на имена, которые часто используются для обозначения строго конфиденциальных ресурсов корпоративных и государственных сетей. Если из-за сбоя программа электронной почты или другое приложение начнет взаимодействовать с одним из внешних адресов вместо внутреннего сервера, носящего такое же имя хоста, результат может оказаться разрушительным для стабильности интернета.
"Будет много причин для путаницы и всё это сделает вещи гораздо более неопределенными, чем сейчас", - сказал H D Moore, научный руководитель компании Rapid7 и главный архитектор проекта Metasploit. "Домены верхнего уровня могут вывести из строя широко используемые программные продукты".
Еще более тяжелая ситуация возникла бы, если бы онлайн-преступники намеренно приобрели стратегический домен верхнего уровня и использовали бы входящие подключения для воровства паролей или проведения атак против подключающихся.
Например, корпоративный ноутбук, который подключен к точке доступа аэропорта, а не к нормальной сети предприятия, может подключиться к домену с именем "mailserver" ("почтовый сервер"), который контролируется хакерами, а не надежным внутренним сервером с таким же именем. Подобные атаки могут быть проведены и используя другие названия – такие, как "wpad", "lan" и "local".
Расширение ICANN
Паника началась через две недели после того, как Интернет-корпорация по присвоению имен и номеров (Internet Corporation for Assigned Names and Numbers) утвердила меру, разрешающую любому подавать заявки на практически любой домен верхнего уровня. Изменение может привести к появлению сотен или тысяч новых суффиксов в следующие несколько лет, которые содержат такие имена брэндов, как "Nike" или "Ford", или же общие слова – такие, как "банк".
В настоящее время существует менее 300 доменов верхнего уровня и большинство из них содержат ничем не примечательные двух- или трехбуквенные суффиксы, такие, как .com или .uk.
Несмотря на то, что критика со стороны некоторых специалистов говорит о том, что проблемы безопасности преувеличены, есть достаточно оснований, чтобы относиться к ним серьёзно. Согласно данным, представленным DNS Operations, Analysis, and Research Center в 2009 году, 10 недействительных доменов верхнего уровня представляли 10% от общей нагрузки по DNS-запросам в интернете. Несуществующие домены верхнего уровня - "wpad", "domain", "localdomain" и "localhost" и т.п. Это убедительно указывает на то, что огромное число приложений в течение многих лет непреднамеренно приводит к утечке локальных имен хостов в интернет.
Как недавно объяснил DNS-эксперт Пол Викси, программные приложения, которые взаимодействуют с именами хостов во внутренних сетях, никогда не должны запрашивать трансляцию адреса у системы доменных имен интернета. Но на практике так происходит не всегда. Нет гарантии того, что так называемый однокомпонентный интернет адрес будет доступен в интернете, но нет гарантии что и не будет!
"Они не будут работать надёжно", - сказал Викси. "Может случиться так, что они будут неправильно реагировать на ошибки и таким образом если кто-то введет имя без точки, они будут работать".
Решения проблемы просто нет
Действительно, это зависит от используемого браузера и операционной системы – определенное количество сайтов уже доступны путем ввода только лишь их домена верхнего уровня в адресной строке. При использовании Mozilla Firefox на Mac или компьютеров с Ubuntu возможно достичь домена ac просто указав в браузере "ас" (без кавычек). Та же схема работает и для io и tm. Google Chrome на OS X и Ubuntu также зайдет на эти сайты без особых просьб и уговоров.
При использовании компьютера с Windows XP SP3 у авторов статьи не получилось зайти на какой-либо из этих трёх сайтов. Но, согласно исследователю и разработчику ПО Маршу Рэю, его домашний компьютер с Vista смог это сделать без всякого труда, и что еще хуже – отсутствие точки в адресе обмануло операционную систему и привело к тому, что система поместила сайт в "Местную интрасеть", которая служит для Windows местом для надежных внутренних адресов, которые не требуют применения к ним обычных мер безопасности.
Потенциал для использования этого в своих целях определенно есть, сказал он.
"Нет ничего хорошего в том, что Windows принимает любое имя без точки как более доверенное – в качестве местной интрасети", - написал по электронной почте Рэй, который работает на сервис двухфакторной аутентификации PhoneFactor. "Решения проблемы в ICANN просто нет. Я знаю ребят в Microsoft, кому совсем не по душе идея обслуживания страниц .apple в их интрасети".
Не все соглашаются, что домены верхнего уровня несут в себе такие риски. В числе скептиков – Дэн Камински, DNS-эксперт и главный научный сотрудник фирмы по обеспечению безопасности DKH.
Не ваш левый домен
"Это всё из-за страха, неуверенности и сомнений", - сказал он, ссылаясь на сценарии развития событий, выделенные Рэйем и другими критиками. "Да, если бы такие домены, как wpad, localhost или localdomain были присвоены, то могли бы случиться плохие вещи. Но эти домены не будут присвоены. Ведь нельзя же получить домен верхнего уровня без прохождения определенных стадий одобрения".
Процесс одобрения ICANN, на который ссылается Каминский, включает себя плату за подачу заявлений на домены верхнего уровня, равную 185 000 долларов. Большая стоимость предназначена для снижения количества поданных заявок, чтобы каждая из них могла быть досконально изучена людьми для того, чтобы убедиться, что предлагаемые имена соответствуют товарным знакам и критериям безопасности.
"Мы не говорим о том, чтобы пойти в GoDaddy и потратить 40 долларов на домен", - добавил Каминский. "Каждый должен заплатить пошлину, равную 185 000 долларов и в ICANN есть совет, который за всем этим наблюдает".
Правила ICANN на данный момент не запрещают регистрацию каких-либо конкретных доменов верхнего уровня, но Security, Stability and Advisory Committee в ноябре издал доклад, который намекает на угрозы безопасности с которыми могут столкнуться конечные пользователи если DNS-серверы перестанут отвечать на определенные неверные запросы доменов верхнего уровня стандартным сообщением об ошибке "NXDOMAIN".
"Хоть NXDOMAIN и способствует разрешению ошибок, ответ-ссылка от корневого сервера имен может привести к продолжению рекурсии, которая может привести к непредсказуемым результатам для пользователя", - написали авторы.
Краткая справка, запрятанная ближе к концу десятистраничного документа, не предостерегает об огромных возможностях, которые может предоставить опытному атакующему хорошо выбранный домен верхнего уровня. Более того, документ даже не приводит большое количество имен, которые могут нанести ущерб.
Такой домен верхнего уровня, как, например, "calicense" или "isatap" могут быть использованы атакующими для взлома корпоративных или государственных сетей, потому что такие имена часто используются для обозначения местных ресурсов теми, кто развёртывает программное обеспечение Computer Associates и Microsoft соответственно.
"В принципе, если ты можешь контролировать корневой домен верхнего уровня ISATAP – ты можешь общаться с любым компьютером Windows на планете с настройками [IPv6 setting] 6in4, потому что будет использоваться роутер ISATAP", - написал по электронной почте Мур из Rapid7. "Если такие имена будут существовать на корневом уровне DNS, то это приведет к концу той интернет-безопасности, которую мы знаем".
Домены не безобидны
Даже домены верхнего уровня, содержащие безобидные слова типа "accounting", "mail" и "search", могут представлять угрозу, принимая во внимание огромное количество сетей, которые используют их для маршрутизации локального трафика.
"Они собираются игнорировать всех маленьких ребят", - сказал Рэй, исследователь PhoneFactor, имея ввиду людей ICANN, ответственных за проверку заявлений на домены верхнего уровня на предмет безопасности. "Каждый обычный администратор, который жестко прописал короткое имя хоста где-то в каком-то скрипте, рискует столкнуться с коллизией с огромным доменом верхнего уровня пока полностью не отключит возможность его использования, что будет значить, что ты не сможешь получить никакой из этих доменов верхнего уровня".
Главный научный сотрудник F-Secure Микко Хиппонен недавно говорил о неисправностях, которые могут быть нанесены доменом верхнего уровня, состоящим из номера 1, так как это позволит владельцу создать хост под названием 127.0.0.1, то есть с IP-адресом "localhost".
"получи я такой домен, я бы там зарегистрировал 'intra', 'smtp', 'local' и 'mail'... а может быть и 'con'", - написал о в последующем сообщении на Twitter.
В качестве долгосрочного решения таких проблем, как эти, Каминский и Викси выделили обновление DNS-серверов так, чтобы так называемые А-записи никогда не транслировали в IP-адрес однокомпонентный адрес.
То, что они предлагают, закроет брешь в системе безопасности, но, как говорит Рэй, это грозит порядочными затратами. Одна из предполагаемых причин что группа или корпорация захочет потратить 185 000 на такой домен верхнего уровня, как "nike" или "bank" – для того, чтобы иметь сайт или адрес электронной почты в котором используется только это имя (например http://nike/ или marketing@nike вместо http://www.nike.com или marketing@nike.com). Если адреса без точек удалят из А-записей, то это будет невозможно.
Нет вероятности того, что ICANN или Internet Engineering Task Force будут в состоянии внедрить такие изменения уже к январю – к тому времени, когда ICANN начнёт принимать заявки на новые домены верхнего уровня.
Если бы Дамоклов меч новых доменных имен висел у них над головами, может они и создавали бы более надежную систему . Сеть, которую они уничтожают, могла бы принадлежать им.
Оригинал: http://www.theregister.co.uk/2011/07/04/dotless_domain_security/
