Мэтью Брайант (Matthew Bryant), специализирующийся на безопасности DNS-серверов, опубликовал (https://thehackerblog.com/the-io-error-taking-control-of-all... оригинальный метод атаки на всю систему доменов первого уровня, который позволил получить полный контроль за всеми доменами в зоне ".io (https://ru.wikipedia.org/wiki/.io)". Суть метода в том, что первичные DNS-серверы, отвечающие за обслуживание домена первого уровня, имеют имена в той же зоне и рассматриваются некоторыми регистраторами на общих основаниях. Атака сводится к поиску просроченных имён корневых DNS-серверов и регистрации домена с тем же именем, после чего атакующий может развернуть собственный корневой DNS-сервер.
Для автоматизации атаки написан инструментарий (https://github.com/mandatoryprogrammer/trusttrees), который осуществляет поиск и перебор имён DNS-серверов, оценку задействования сервера в цепочке обслуживания доменной зоны и проверку доступности домена для регистрации через API регистратора. Анализ зоны .io показал, что несколько доменов серверов DNS для данной зоны оказались доступны для регистрации при проверке через API регистратора Gandi. Часто подобные домены включаются в список зарезервированных имён и регистрация блокируется на одной из последних стадий, но в случае имени "ns-a1.io" этого не было сделано, и домен был доступен для свободной продажи на общих основаниях по цене 96 долларов.
Исследователь не удержался и купил этот домен через сервис nic.io. Вскоре ему пришло уведомление об активации домена, а через утилиту dig показала, что он действительно получил контроль за одним из корневых DNS-серверов зоны .io и в качестве DNS-серверов для него теперь выставлены хосты ns1/ns2.networkobservatory.com, заданные в настройках исследователем, а другие корневые серверы содержат данный хост в списке первичных DNS-серверов:
$ dig NS ns-a1.io;; QUESTION SECTION:
;ns-a1.io. IN NS;; ANSWER SECTION:
ns-a1.io. 86399 IN NS ns2.networkobservatory.com.
ns-a1.io. 86399 IN NS ns1.networkobservatory.com.
$ dig NS io. @k.root-servers.net.;; QUESTION SECTION:
;io. IN NS;; AUTHORITY SECTION:
io. 172800 IN NS ns-a1.io.
io. 172800 IN NS ns-a2.io.
io. 172800 IN NS ns-a3.io.
io. 172800 IN NS ns-a4.io.
io. 172800 IN NS a0.nic.io.
io. 172800 IN NS b0.nic.io.
io. 172800 IN NS c0.nic.io.;; ADDITIONAL SECTION:
ns-a1.io. 172800 IN A 194.0.1.1
ns-a2.io. 172800 IN A 194.0.2.1
ns-a3.io. 172800 IN A 74.116.178.1
ns-a4.io. 172800 IN A 74.116.179.1
a0.nic.io. 172800 IN A 65.22.160.17
b0.nic.io. 172800 IN A 65.22.161.17
c0.nic.io. 172800 IN A 65.22.162.17Кроме того, анализ локального трафика через tcpdump показал, что на систему исследователя обрушилась волна запросов, адресованных корневому серверу, число которых было относительно невелико в силу инертности DNS и нахождения старого адреса в кэшах. Не рассчитывая на такой исход, исследователь отключил свой DNS-сервер и сразу написал уведомление организации, администрирующей зону .io, попутно указав ещё несколько имён корневых DNS-серверов, свободных для регистрации, аналогично имени ns-a1.io.
Письмо вернулось с сообщением о недоступности адреса, несмотря на то, что этот email был указан в качестве контактного в официальной базе IANA. Тогда исследователь решил не тратить время на поиск и преодоление кардонов поддержки, а зарегистрировал на себя оставшиеся имена ns-a2.io, ns-a3.io и ns-a4.io, чтобы не дать возможность злоумышленникам захватить контроль над доменами аналогичным способом. После этого был направлен запрос в службу поддержки NIC.IO, которая как часто бывает перенаправила его на другой адрес (abuse@101domain.com). К обеду следующего дня пришло уведомление о блокировке доменов, устранении проблемы и возврате потраченных средств.URL: https://thehackerblog.com/the-io-error-taking-control-of-all.../
Новость: http://www.opennet.me/opennews/art.shtml?num=46835
Жесть то какая
Дык "цЫвилизация", "просвещённый запад", не то что эти ваши раздолбаи в стране трактороводства.
</sarcasm>
> раздолбаи в стране трактороводства.Которые руками роскомнадзора целые банки на весь рунет блокируют? Да, это вы точно подметили.
Раздолбаи во всех странах одинаковы.
Действительно, зачем такие сложности. Вот у нас надзор сперва все сломает, а потом пошлет несколько групп омона ака "гвардия" доломать и арестовать
http://github.io
Как стать регистратором без лишнего геморроя.
> Мэтью Брайант (Matthew Bryant), специализирующийся на безопасности DNS-серверов, опубликовал оригинальныйНаткнулся на закладку, существование которой должно быть очевидно любому, знающему основы работы DNS. Скорее всего, аналогичные дыры зияют и в большинстве других корневых регистраторов.
А что — презумпция недоказуемости в действии. Власти США (да и вообще любой с контролем за потоком трафика) в любой момент перехватывают управление всем DNS в мире (или в той его части, над интернет-трубой которой есть контроль). При этом не обязательно даже перехватывать и модифицировать трафик, — всегда можно "хакнуть" доброго регистратора. Потом всё можно спихнуть на пару хакеров, мол "нашли уязвимость и сломали регистратора". Никто и не обратит внимание, что все DNS-запросы в мире идут без подписи и шифрования.
А ещё на DNS основан SSL…
Не тупи, а? Явное же наследие той (довольно приятной, надо сказать) эпохи, когда доменов верхнего уровня было полторы штуки. Как говорится, не стоит искать злой умысле в том что вполне объяснимо глупостью.
Эту поговорку придумали злые люди чтобы творить зло безнаказанно.All that is necessary to triumph of evil is for good men to do nothing.
Паранойя не даёт покоя?
И пафос за компанию.
> Паранойя не даёт покоя?
> И пафос за компанию.Пафосные параноики мешают творить зло?
Или просто мозгов своих нет?
Ёк, да тут совсем плохо... Он насчёт "зла" всерьёз, что ли?
>Эту поговорку придумали злые люди чтобы творить зло безнаказанно.И тем не менее, думай позитивно, стакан всегда на половину полон, всегда.
Только не думай о том, что в стакане... думай, что в стакане вода.
Какая ещё закладка? Закладки делают аккуратно, а тут полнейшее раздолбайство. А при контроле над трафиком можно обойтись и без таких дырищ.> А ещё на DNS основан SSL…
Сам-то понял, что сказал?
> А ещё на DNS основан SSL…Что???
>> А ещё на DNS основан SSL…
> Что???Попробуйте получить ssl сертификат на ip адрес.
Какое отношение имеют сложившиеся практики среди CA к самому протоколу SSL/TLS?
Какое отношение имеет пришедшее из X.501 поле Common Name aka CN к Domain Name System aka DNS, кроме общего слова name?
Перелогиньтесь.
>А ещё на DNS основан SSLА на SSL основан HTTP
А на HTTP основан DNS#recycle
https://www.opennet.me/openforum/vsluhforumID3/111701.html#30
Легко
> https://www.opennet.me/openforum/vsluhforumID3/111701.html#30SSL не привязан к DNS
А чо все на чувака накинулись? Контролируя DNS можно легко получить валидный сертификат на нужный домен. Вполне себе вектор атаки
За "США".
Вот вообще не волнует политика здесь. Не нужно за уши тянуть эту тему.
Тем более что США тут вообще не при делах, доменом управляет британский регистратор.
США это которые владеют шнурком через атлантическое болотоНо для любителей альтернативного троллинга можно заменить на "Ростелеком", "Белтелеком" или аналогичное воплощение зла в других регионах
Можно. Только это не значит, что "SSL основан на DNS".
Чо правда? А я то думал что для производства заверенного сертификата нужен закрытый ключ, соответствующий одному из корневых сертификатов.
Правда достаточно одного любого закрытого ключа. Но это уже другая история...
Исследователю удалось получить контроль за 4 из 7 != полный контроль за всеми доменами
Атака 51%.Скорее бы сентябрь, делом займёшься.
Для полного контроля и одного достаточно, идите читать как работает DNS.
> и сразу написал уведомление организации, администрирующей зону .ioУведомление самому себе? ))
Он еще сам себя заблокировал. :)
Хипстеры, зарегистрировавшие домены в модной зоне, разминают кеды, чтобы сбежать на другие домены.
Если ты не понял из новости - уже всё поправлено
Но в других то областях - нет :)
Продам домен первого уровня, недорого.
Ну теперь можно продать за 9600 баксов, или того дороже
io - индийский океан.