Risky Domain Corp.com sale a la venta – Krebs on Stability


Como inversor de nombres de dominio temprano, Mike O&#39Connor en 1994 había conseguido varios destinos en línea, incluidos bar.com, cafes.com, grill.com, place.com, pub.com y tv.com. Vendió algunos a lo largo de los años, pero durante los últimos 26 años, O&#39Connor se negó a subastar quizás el dominio más smart en su establo: corp.com. Es wise porque años de pruebas muestran que quien lo maneje tendría acceso a un flujo interminable de contraseñas, correo electrónico y otros datos propietarios que pertenecen a cientos de miles de sistemas en las principales empresas de todo el mundo.

Ahora, con 70 años y buscando simplificar su patrimonio, O&#39Connor finalmente está vendiendo corp.com. El precio inicial, $ 1.7 millones, no es descabellado para un dominio de 4 letras con un atractivo comercial tan fuerte. O&#39Connor dijo que espera Microsoft Corp. lo comprará, pero teme que no lo hagan y, en cambio, será arrebatado por alguien que trabaja con ciberdelincuentes organizados o grupos de piratería financiados por el estado empeñados en socavar los intereses de las corporaciones occidentales.

Una razón por la que O&#39Connor espera que Microsoft lo compre es que, en virtud de la forma única en que Home windows maneja la resolución de nombres de dominio en una purple area, prácticamente todas las computadoras que intentan compartir datos confidenciales con corp.com están algo confundidas Ventanas Computer system Más importante aún, las primeras versiones de Windows en realidad alentaron la adopción de configuraciones inseguras que hacían más possible que las computadoras con Home windows pudieran tratar de compartir datos confidenciales con corp.com.

El problema es un problema conocido como «colisión de espacio de nombres«, Una situación en la que los nombres de dominio destinados a ser utilizados exclusivamente en una red interna de la empresa terminan superpuestos con dominios que pueden resolverse normalmente en Online abierto.

Las computadoras con Home windows en una pink corporativa interna validan otras cosas en esa purple utilizando una innovación de Microsoft llamada Directorio Activo, que es el término standard para una amplia gama de servicios relacionados con la identidad en entornos Windows. Una parte essential de la forma en que estas cosas se encuentran involucra una característica de Home windows llamada «Devolución de nombre DNS, «Que es una especie de taquigrafía de pink que facilita la búsqueda de otras computadoras o servidores sin tener que especificar un nombre de dominio legítimo completo para esos recursos.

Por ejemplo, si una empresa ejecuta una red interna con el nombre internalnetwork.case in point.com, y un empleado de esa crimson desea acceder a una unidad compartida llamada «unidad1», no hay necesidad de escribir «unidad1.internalnetwork.illustration.com» en el Explorador de Windows escribir » drive1 » solo será suficiente, y Windows se encarga del resto.

Pero las cosas pueden volverse mucho más difíciles con un dominio interno de Home windows que no se asigna a un dominio de segundo nivel que la organización realmente posee y controla. Y desafortunadamente, en las primeras versiones de Home windows que admitían Energetic Listing (Windows 2000 Server, por ejemplo), la ruta de Lively Directory predeterminada o de ejemplo se daba como «corp», y muchas compañías aparentemente adoptaron esta configuración sin modificarla para incluir un dominio que controlaban .

Para complicar aún más las cosas, algunas compañías luego construyeron (y / o asimilaron) vastas redes de redes sobre esta configuración errónea.

Ahora, nada de esto period una gran preocupación de seguridad en el día en que no period práctico para los empleados cargar sus voluminosas computadoras de escritorio y monitores fuera de la crimson corporativa. Pero, ¿qué sucede cuando un empleado que trabaja en una empresa con una ruta de crimson de Energetic Listing llamada «corp» lleva una computadora portátil de la empresa al Starbucks neighborhood?

Hay muchas posibilidades de que al menos algunos recursos en la computadora portátil del empleado aún intenten acceder a ese dominio interno «corporativo». Y debido a la forma en que funciona la devolución de nombres DNS en Home windows, es possible que la computadora portátil de la compañía en línea a través de la conexión inalámbrica Starbucks busque esos mismos recursos en «corp.com».

En términos prácticos, esto significa que quien controle corp.com puede interceptar pasivamente las comunicaciones privadas de cientos de miles de computadoras que terminan siendo llevadas fuera de un entorno corporativo que utiliza esta designación de «corp» para su dominio de Active Listing.

¿BOTNET CORPORATIVO INSTANTÁNEO, ALGUIEN?

Eso es de acuerdo a Jeff Schmidt, un experto en seguridad que realizó un largo estudio sobre colisiones de espacio de nombres DNS financiado en parte por subvenciones del Departamento de Seguridad Nacional de EE. UU.. Como parte de ese análisis, Schmidt convenció a O’Connor de que detuviera la venta de corp.com para que él y otros pudieran entender y documentar mejor el volumen y los tipos de tráfico que circulan cada día.

Durante un análisis de ocho meses del tráfico corporativo interno desviado destinado a corp.com en 2019, Schmidt descubrió que más de 375,000 Computer system con Windows estaban tratando de enviar información de este dominio que no tenía negocios, incluidos los intentos de iniciar sesión en redes corporativas internas y acceder a archivos compartidos en esas redes.

Durante un breve período durante esa prueba, la compañía de Schmidt JAS World wide Advisors conexiones aceptadas en corp.com que imitaban la forma en que las redes locales de Home windows manejan los inicios de sesión y los intentos de compartir archivos.

«Fue aterrador», dijo Schmidt. “Suspendimos el experimento después de 15 minutos y destruimos los datos. Un conocido probador ofensivo que consultó con JAS sobre esto comentó que durante el experimento llovió «credenciales» y que nunca había visto algo así «.

Del mismo modo, JAS configuró temporalmente corp.com para aceptar el correo electrónico entrante.

«Después de aproximadamente una hora, recibimos más de 12 millones de correos electrónicos y descontinuamos el experimento», dijo Schmidt. «Si bien la gran mayoría de los correos electrónicos eran de naturaleza automatizada, encontramos que algunos de los correos electrónicos eran sensibles y, por lo tanto, destruyeron todo el corpus sin un análisis más detallado».

Schmidt dijo que él y otros concluyeron que quien termine controlando corp.com podría tener una botnet instantánea de máquinas empresariales bien conectadas.

«Cientos de miles de máquinas directamente explotables e innumerables más explotables a través del movimiento lateral una vez en la empresa», dijo. “¿Quiere un punto de apoyo instantáneo en aproximadamente 30 de las compañías más grandes del mundo según Forbes Worldwide 2000? Controla corp.com.

LAS AVENTURAS TEMPRANAS DE CORP.COM

Los hallazgos de Schmidt reflejan de cerca lo que descubrió O&#39Connor en los pocos años que corp.com estuvo en vivo en Net después de que lo registró por primera vez en 1994. O&#39Connor dijo que las primeras versiones de una herramienta de creación de sitios world wide web ahora desaparecida llamada Microsoft FrontPage sugirieron corporación .com (otro dominio registrado anteriormente por O&#39Connor) como un dominio de ejemplo en su asistente de configuración.

Esa experiencia, partes de las cuales son todavía indexado por el indispensable Archivo de Net, vi a O’Connor redirigir brevemente las consultas para el dominio al sitio website de una tienda neighborhood de juguetes sexuales para adultos como una broma. Pronto recibió correos electrónicos enojados de personas confundidas que también habían co-fundador de CC Bill Gates.

El índice de Archive.org de corp.com de 1997, cuando su propietario Mike O’Connor permitió brevemente un sitio world-wide-web principalmente para avergonzar a Microsoft por la configuración predeterminada de su software package.

O&#39Connor dijo que también habilitó brevemente un servidor de correo electrónico en corp.com, principalmente por curiosidad mórbida para ver qué pasaría después.

«Inmediatamente comencé a recibir correos electrónicos confidenciales, incluidos prelanzamientos de presentaciones financieras corporativas con la Comisión de Bolsa y Valores de EE. UU., Informes de recursos humanos y todo tipo de cosas aterradoras», recordó O&#39Connor en una entrevista con KrebsOnSecurity. «Por un tiempo, intentaba corresponder con las corporaciones que estaban cometiendo estos errores, pero la mayoría de ellas no sabían qué hacer con eso. Así que finalmente lo apagué «.

LA LIMPIEZA DE RESIDUOS TÓXICOS ES DURA

Microsoft se negó a responder preguntas específicas en respuesta a los hallazgos de Schmidt sobre el tráfico rebelde de corp.com. Pero un portavoz de la compañía compartió una declaración escrita reconociendo que «a veces hacemos referencia a» corp «como una etiqueta en nuestra documentación de nombres».

«Recomendamos que los clientes posean dominios de segundo nivel para evitar que se enruten a Web», se lee en el comunicado, que enlaza con este artículo de Microsoft Technet sobre las mejores prácticas para configurar dominios en Energetic Directory.

Con los años, Microsoft ha enviado varios actualizaciones de software para ayudar a disminuir la probabilidad de colisiones de espacio de nombres que podría crear un problema de seguridad para empresas que aún dependen de dominios de Energetic Listing que no se asignan a un dominio que controlan.

Pero tanto O&#39Connor como Schmidt dicen que casi ninguna organización susceptible ha implementado estas soluciones por dos razones. Primero, hacerlo requiere que la organización elimine toda su red de Lively Directory simultáneamente durante un período de tiempo. En segundo lugar, según Microsoft, la aplicación de los parches probablemente interrumpirá o al menos ralentizará una serie de aplicaciones de las que depende la organización afectada para las operaciones diarias.

Frente a uno o ambos de estos escenarios, las empresas más afectadas probablemente decidieron que el riesgo genuine de no aplicar estas actualizaciones period comparativamente bajo, dijo O&#39Connor.

«El problema es que cuando lees las instrucciones para hacer la reparación, te das cuenta de que lo que dicen es: &#39All right Megacorp, para poder aplicar este parche y que todo funcione correctamente, debes quitar todo tu Servicios de Energetic Listing en toda la red, y cuando los recupera después de aplicar el parche, es posible que muchos de sus servidores no funcionen correctamente ”, dijo O&#39Connor.

Curiosamente, Schmidt compartió diapositivas de un informe presentado a un grupo de trabajo sobre colisiones en el espacio de nombres que sugiere que al menos algunas de las consultas que corp.com recibió mientras estaba monitoreando pueden haber provenido de las propias redes internas de Microsoft.

Imagen: JAS World wide Advisors

«La razón por la que creo que este es un problema que Microsoft debe resolver es que alguien que siguió las recomendaciones de Microsoft al establecer un directorio activo hace varios años ahora tiene un problema», dijo Schmidt.

«Incluso si todos los parches se aplican y actualizan a Home windows 10», continuó. “Y el problema persistirá mientras haya directorios activos llamados &#39corp&#39, lo cual es para siempre. Más prácticamente, si corp.com cae en malas manos, el impacto será en los clientes empresariales de Microsoft y, a gran escala, en los clientes de Microsoft que deberían proteger «.

Cuando se le preguntó por qué no solo le dio corp.com a Microsoft como un gesto altruista, O&#39Connor dijo que el gigante del software debería ser responsable de sus productos y errores.

«Me parece que Microsoft debería ponerse de pie y asumir la carga del mistake que cometieron», dijo. «Pero no han mostrado ningún interés true en hacer eso, así que no he mostrado interés en dárselos». Realmente no necesito el dinero. Básicamente estoy subastando un vertedero de desechos químicos porque no quiero pasarlo a mis hijos y cargarlos con él. Mi frustración aquí es que a los buenos no les importa y los malos probablemente no lo saben. Pero espero que a los malos les guste «.

Otras lecturas:

Mitigar el riesgo de colisiones del espacio de nombres DNS (PDF)

DEFCON 21 – DNS puede ser peligroso para su salud (Robert Stucke)

Mitigar el riesgo de ataques de nombres intermedios basados ​​en colisiones (PDF)


Etiquetas: Energetic Directory, corp.com, devolución de nombres DNS, JAS World Advisors, Jeff Schmidt, Microsoft Corp., Microsoft Home windows, Mike O&#39Connor, colisión de espacio de nombres, Departamento de Seguridad Nacional de EE. UU.

Esta entrada fue publicada el sábado 8 de febrero de 2020 a las 12:32 pm y está archivada en Últimas advertencias, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary