Gobierno de EE. UU. Hace que sea más difícil obtener dominios .Gov – Krebs on Security


La agencia federal a cargo de emitir nombres de dominio .gov está promulgando nuevos requisitos para validar la identidad de las personas que los solicitan. Las medidas adicionales se producen menos de cuatro meses después de que KrebsOnSecurity publicara una investigación que sugiriera que era relativamente fácil para casi cualquier persona obtener su propio dominio .gov.

En el artículo de noviembre, es demasiado fácil obtener un nombre de dominio .gov, una fuente anónima detalló cómo obtuvo uno personificando a un funcionario en un pequeño pueblo de Rhode Island que aún no tenía su propio .gov.

"Tuve que (completar)" un formulario de autorización oficial ", que básicamente enumera a su administrador, técnico y de facturación", dijo la fuente. "Además, debe imprimirse en" membrete oficial ", que por supuesto se puede falsificar fácilmente simplemente buscando en Google un documento de dicho municipio. Luego lo envías por correo o por fax. Después de eso, envían enlaces de creación de cuenta a todos los contactos ".

Si bien lo que hizo mi fuente fue técnicamente el fraude electrónico (obtener algo de valor a través de Internet a través de falsas pretensiones), los ciberdelincuentes decidieron usar dominios falsos .gov para engañar a los estadounidenses que probablemente no se disuadirían de tales preocupaciones.

"Nunca dije que era legal, solo que era fácil", dijo la fuente a KrebsOnSecurity. “Asumí que habría al menos una verificación de identidad. La investigación más profunda que necesitaba hacer eran los registros de las Páginas Amarillas ”.

Ahora, el tío Sam dice que en unos días todas las nuevas aplicaciones de dominio .gov incluirán un paso de autorización adicional.

"A partir del 10 de marzo de 2020, el Programa DotGov comenzará a requerir firmas notariadas en todas las cartas de autorización al presentar una solicitud para un nuevo dominio .gov", dice un aviso publicado el 5 de marzo por el Administración de servicios generales de EE. UU., que en el extranjero el espacio .gov.

"Esta es una mejora de seguridad necesaria para prevenir el fraude postal y electrónico mediante la falsificación de firmas para obtener un dominio .gov", continúa el comunicado. "Este paso ayudará a mantener la integridad de .gov y garantizará que los dominios .gov continúen siendo emitidos solo a organizaciones oficiales del gobierno de los Estados Unidos".

La GSA no dijo si estaba implementando otras garantías, como una verificación más manual de las aplicaciones de dominio .gov. Ciertamente no había seguido la solicitud fraudulenta de mi fuente antes de otorgarle el nombre de dominio .gov que buscaba (exeterri (.) gov) La GSA solo hizo eso cuatro días después de que les pedí un comentario, y aproximadamente 10 días después de que ya hubieran otorgado la solicitud de dominio falso.

"GSA está trabajando con las autoridades apropiadas y ya ha implementado controles adicionales de prevención de fraude", dijo la agencia en una declaración escrita en ese momento, sin dar detalles sobre cuáles podrían ser esos controles adicionales.

Pero me pregunto: si soy un tipo malo que está dispuesto a falsificar la firma y el membrete de alguien en una solicitud fraudulenta para un dominio .gov, ¿por qué no estaría dispuesto a falsificar una notarización? Especialmente cuando hay muchos servicios en el cibercrimen subterráneo que se especializan en suplantar estas falsas declaraciones por una pequeña tarifa.

"Este es un caso clásico de" debemos hacer algo "y ciertamente es algo", dijo John Levine, experto en nombres de dominio, consultor y autor del libro Internet para tontos.

Levine dijo que no sería terriblemente difícil para la GSA hacer un trabajo un poco más completo para validar las solicitudes de dominio .gov, pero que probablemente se requeriría alguna verificación manual. Aún así, dijo, no está claro cuán grande es realmente una amenaza de dominios falsos .gov.

"Hasta donde sabemos, solo una persona trató de falsificar un .gov", dijo Levine. "Tal vez esto es lo suficientemente bueno?"

La Agencia de Seguridad Cibernética e Infraestructura, una división de la Departamento de Seguridad Nacional de EE. UU., ha argumentado que se necesita hacer más para asegurar el espacio de dominio .gov, y está haciendo una jugada para obtener el control sobre el proceso de la GSA.

los DOTGOV bill, presentado en octubre de 2019, "garantizaría que solo los usuarios autorizados obtengan un dominio .gov y validen proactivamente los titulares de .gov existentes", según un comunicado que CISA compartió con este autor el año pasado.


Etiquetas: .gov, Agencia de Seguridad Cibernética e Infraestructura, John Levine, Internet para tontos, Departamento de Seguridad Nacional de EE. UU., Administración de Servicios Generales de EE. UU.

Esta entrada se publicó el sábado 7 de marzo de 2020 a las 10:01 a.m. y se archiva en Otros.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2.0.

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original