Es demasiado fácil obtener un nombre de dominio .gov – Krebs on Safety


Muchos lectores probablemente creen que pueden confiar en los enlaces y correos electrónicos que provienen de los nombres de dominio del gobierno federal de los EE. UU., O bien suponen que existen al menos requisitos de verificación más estrictos para obtener .gov dominio versus uno comercial que termina en .com o .org. Pero una experiencia reciente sugiere que esta confianza puede estar gravemente fuera de lugar, y que es relativamente sencillo para cualquiera obtener su propio dominio .gov.

A principios de este mes, KrebsOnSecurity recibió un correo electrónico de un investigador que dijo que obtuvo un dominio .gov simplemente completando y enviando por correo electrónico un formulario en línea, tomando un membrete de la página de inicio de una pequeña ciudad de EE. UU. Que solo tiene un nombre de dominio «.us» y suplantando al alcalde de la ciudad en la solicitud.

«Utilicé un número falso de Google Voice y una dirección falsa de Gmail», dijo la fuente, que pidió permanecer en el anonimato para esta historia, pero que dijo que lo hizo principalmente como un experimento psychological. «Lo único que era real period el nombre del alcalde».

El correo electrónico de esta fuente fue enviado desde exeterri (.) gov, un dominio registrado el 14 de noviembre que en ese momento mostraba el mismo contenido que el dominio .us que estaba suplantando, city.exeter.ri.us – que pertenece a la ciudad de Exeter, Rhode Island (el dominio impostor ya no se resuelve).

«Tuve que (completar)‘un formulario de autorización oficial, «Que básicamente enumera a su administrador, técnico y de facturación», continuó la fuente. «Además, debe imprimirse en» membrete oficial «, que por supuesto se puede falsificar fácilmente simplemente buscando en Google un documento de dicho municipio. Luego lo envías por correo o por fax. Después de eso, envían enlaces de creación de cuenta a todos los contactos «.

Técnicamente, lo que hizo mi fuente fue fraude electrónico (obtener algo de valor a través de Net / teléfono / fax a través de falsas pretensiones) si lo hubiera hecho a través del correo de los EE. UU., podría estar enfrentando Fraude de correo cargos si es atrapado.

Pero un ciberdelincuente, particularmente un actor patrocinado por el estado que opera fuera de los Estados Unidos, probablemente no dudaría en hacerlo si pensara que valía la pena registrar un .gov para hacer que su sitio website malicioso, correos electrónicos o campañas falsas de medios sociales sean más creíbles.

«Nunca dije que era lawful, solo que era fácil», dijo la fuente. “Asumí que habría al menos una verificación de identidad. La investigación más profunda que necesitaba hacer eran los registros de las Páginas Amarillas ”.

Hoy temprano, KrebsOnSecurity contactó a funcionarios en la ciudad genuine de Exeter, RI, para averiguar si alguien del NOSOTROS. Administración de servicios generales – la agencia federal responsable de administrar el proceso de registro de dominio .gov – había tratado de validar la solicitud antes de otorgar un .gov en su nombre.

Una persona que llamó desde la oficina del secretario municipal pero que pidió no ser identificada dijo que alguien de la GSA llamó por teléfono a la oficina del alcalde el 24 de noviembre, cuatro días después de que me comuniqué con la agencia federal sobre el dominio en cuestión y aproximadamente 10 días después de que la GSA ya hubiera otorgado la solicitud falsa.

¿QUIÉN QUIERE SER UN GOBIERNO?

Respondiendo hoy por correo electrónico, un portavoz de GSA dijo que la agencia no hace comentarios sobre investigaciones abiertas.

«GSA está trabajando con las autoridades apropiadas y ya ha implementado controles adicionales de prevención de fraude», escribió la agencia, sin dar detalles sobre cuáles podrían ser esos controles adicionales.

KrebsOnSecurity obtuvo una respuesta sustantiva del Agencia de Seguridad Cibernética e Infraestructura, una división de la Departamento de Seguridad Nacional de EE. UU. que lidera los esfuerzos para proteger el dominio federal .gov de las redes del gobierno civil (NB: el jefe de CISA, Christopher C. Krebs, no tiene relación con este autor).

La CISA dijo que este asunto es tan crítico para mantener la seguridad e integridad del espacio .gov que DHS ahora está haciendo una jugada para asumir el manage sobre la emisión de todos los dominios .gov.

«El dominio de nivel superior (TLD) .gov es una infraestructura crítica para miles de organizaciones gubernamentales federales, estatales y locales en todo el país», se lee en un comunicado que CISA envió a KrebsOnSecurity. “Su uso por estas instituciones debería infundir confianza. Con el fin de aumentar la seguridad de todas las organizaciones gubernamentales con sede en los EE. UU., CISA está buscando la autoridad para administrar el TLD .gov y asumir el gobierno de la Administración de Servicios Generales «.

La declaración continúa:

“Esta transferencia permitiría a CISA modernizar el registrador .gov, mejorar la seguridad de los dominios .gov individuales, garantizar que solo los usuarios autorizados obtengan un dominio .gov, validar proactivamente los titulares .gov existentes y proteger mejor a todos los que confían en .gov. Apreciamos los esfuerzos del Congreso para presentar el DOTGOV invoice (enlace agregado) que otorgaría a CISA esta importante autoridad en el futuro. GSA ha sido un socio importante en estos esfuerzos y nuestras dos agencias continuarán trabajando mano a mano para identificar e implementar mejoras de seguridad a corto plazo en .gov «.

En una era en que las principales agencias de inteligencia de la nación continúan advirtiendo sobre los esfuerzos en curso de Rusia y otros países para interferir en nuestras elecciones y procesos democráticos, puede ser difícil comprender que un atacante podría aprovechar tan fácilmente un método tan simple para hacerse pasar por el estado y autoridades locales.

A pesar de la facilidad con la que aparentemente cualquiera puede obtener su propio dominio .gov, hay muchas ciudades importantes de los EE. UU. Que actualmente no tienen uno, probablemente porque nunca se dieron cuenta de que podría con muy poco esfuerzo o gasto. Una revisión de la Las 10 ciudades más pobladas de EE. UU. indica que solo la mitad de ellos han obtenido dominios .gov, incluidos Chicago, Dallas, Phoenix, San Antonio y San Diego.

Sí, lo leiste bien: houston.gov, losangeles.gov, newyorkcity.govy philadelphia.gov todavía están disponibles. Como es el .gov para San José, California, el centro económico, cultural y político de Silicon Valley. Sin duda, una gran cantidad de ciudades más pequeñas tampoco han descubierto que son elegibles para asegurar sus propios dominios .gov. Dicho esto, algunas de estas ciudades tienen dominios .gov (por ejemplo, nyc.gov), pero no está claro si la GSA permitiría que la misma ciudad tenga múltiples dominios .gov.

Además de poder engañar de manera convincente las comunicaciones y los sitios net de ciudades y pueblos, es casi seguro que existen muchas otras formas en que se puede abusar de la posesión de un dominio falso .gov. Por ejemplo, mi fuente dijo que pudo registrar su dominio en el sistema de citación de la ley de Fb, aunque dice que no intentó abusar de ese acceso.

La fuente que registró con éxito un dominio impostor .gov dijo que pudo usar ese acceso para registrarse en el sistema de citación de la ley de Facebook.

Ahora considere lo que un adversario bien financiado podría hacer el día de las elecciones armado con un puñado de dominios .gov para algunas ciudades importantes en las fortalezas demócratas dentro de los estados clave clave: los atacantes registran sus dominios unos días antes de las elecciones, y luego El Día de las Elecciones envían correos electrónicos firmados por .gov desde, digamos, miami.gov (también disponible) informando a los residentes que las bombas explotaron en los colegios electorales en los distritos de tendencia demócrata. Tal engaño bien podría decidir el destino de una elección nacional cerrada.

John Levine, experto en nombres de dominio, consultor y autor del libro Web para tontos, dijo que el espacio de dominio .gov no siempre fue tan abierto como lo es hoy.

«Antes, todos los que no pertenecían al gobierno federal debían registrarse en el espacio .us», dijo Levine. “En algún momento, alguien decidió que .gov será más democrático y permitirá que todos en los estados se registren. Pero como vemos, todavía no hay validación «.

Levine, quien sirvió tres años como alcalde de la aldea de Trumansburg, Nueva York, dijo que no sería terriblemente difícil para la GSA hacer un mejor trabajo al validar las solicitudes de dominio .gov, pero que probablemente se requeriría alguna verificación manual.

«Cuando era alcalde, estaba en contacto frecuente con el estado, y los estados saben quiénes son todos sus municipios y cómo comunicarse con las personas a cargo de ellos», dijo Levine. «Además, cada estado tiene un Secretario de Estado que realiza un seguimiento de lo que son todas las subdivisiones, e incluirlas en el proceso también podría ayudar».

Levine dijo que, al igual que Web, toda esta debacle es otro ejemplo de un recurso importante con implicaciones geopolíticas potencialmente explosivas que nunca se diseñó teniendo en cuenta la seguridad o la autenticación.

«Resulta que la GSA es bastante buena para hacer cosas administrativas aburridas», dijo. «Pero a medida que seguimos descubriendo, lo que una vez pensamos que era una cosa administrativa aburrida ahora tiene implicaciones de seguridad en el mundo serious».


Etiquetas: CISA, Agencia de Seguridad de Ciberseguridad e Infraestructura, DOTGOV Monthly bill, dotgov.gov, exeterri.gov, John Levine, town.exeter.ri.us, Departamento de Seguridad Nacional de EE. UU., Administración de Servicios Generales de EE. UU.

Esta entrada se publicó el martes 26 de noviembre de 2019 a las 9:08 p.m. y está archivada en The Coming Storm, World-wide-web Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial