Εάν διευθύνετε μια επιχείρηση στο διαδίκτυο, λίγα πράγματα μπορεί να είναι τόσο ενοχλητικά ή καταστροφικά για την επωνυμία σας όσο κάποιος που κλέβει το όνομα τομέα της εταιρείας σας και κάνει ό,τι θέλει με αυτό. Ακόμα κι έτσι, οι περισσότεροι κύριοι ιδιοκτήτες τοποθεσιών Web δεν εκμεταλλεύονται πλήρως τα διαθέσιμα εργαλεία ασφαλείας για την προστασία των τομέων τους από πειρατεία. Εδώ είναι η ιστορία ενός πρόσφατου θύματος που έκανε σχεδόν ό,τι είναι δυνατό για να αποφευχθεί μια τέτοια κατάσταση και εξακολουθούσε να έχει κλαπεί ένας βασικός τομέας από απατεώνες.
Στις 23 Δεκεμβρίου 2019, άγνωστοι εισβολείς άρχισαν να επικοινωνούν με άτομα υποστήριξης πελατών στο OpenProvider, ένας δημοφιλής καταχωρητής ονομάτων τομέα με έδρα την Ολλανδία. Οι απατεώνες είπαν στους εκπροσώπους των πελατών ότι μόλις είχαν αγοράσει από τον αρχικό κάτοχο τον τομέα e-hawk.net — η οποία αποτελεί μέρος μιας υπηρεσίας που βοηθά τους ιστότοπους να εντοπίζουν και να αποκλείουν την απάτη — και ότι αντιμετώπιζαν πρόβλημα με τη μεταφορά του τομέα από το OpenProvider σε διαφορετικό μητρώο καταχώρισης.
Ο πραγματικός ιδιοκτήτης του e-hawk.net είναι Raymond Dijkxhoorn, ειδικός σε θέματα ασφάλειας και επιχειρηματίας που έχει περάσει μεγάλο μέρος της καριέρας του κάνοντας τη ζωή πιο δύσκολη για τους απατεώνες του κυβερνοχώρου και τους αποστολείς ανεπιθύμητης αλληλογραφίας. Dijkxhoorn και E-HAWK's Διευθύνων Σύμβουλος Peter Cholnoky είχαν ήδη προστατεύσει τον τομέα τους με ένα "κλειδαριά καταχωρητή», μια υπηρεσία που απαιτεί από τον καταχωρητή να επιβεβαιώνει τυχόν αλλαγές που ζητούνται με τον κάτοχο του τομέα μέσω οποιασδήποτε μεθόδου επικοινωνίας καθορίζεται από τον καταχωρητή.
Στην περίπτωση του e-hawk.net, ωστόσο, οι απατεώνες κατάφεραν να ξεγελάσουν έναν εκπρόσωπο εξυπηρέτησης πελατών του OpenProvider για να μεταφέρει τον τομέα σε άλλον καταχωρητή με ένα αρκετά χαζό τέχνασμα κοινωνικής μηχανικής — και χωρίς να προκαλέσουν καμία επαλήθευση στους πραγματικούς κατόχους του τομέα.
Συγκεκριμένα, οι κλέφτες επικοινώνησαν με την OpenProvider μέσω WhatsApp, είπε ότι είναι πλέον οι νόμιμοι κάτοχοι του τομέα και μοιράστηκε ένα σύντομο βίντεο από την οθόνη που δείχνει το αυτοματοποιημένο σύστημα του καταχωρητή να εμποδίζει τη μεταφορά τομέα (δείτε το βίντεο παρακάτω).
"Ο αντιπρόσωπος υποστήριξης προσπάθησε βοηθητικά να επαληθεύσει εάν αυτά που έλεγαν οι [απατεώνες] ήταν αλήθεια και είπε, "Ας δούμε αν μπορούμε να μετακινήσουμε το e-hawk.net από εδώ για να ελέγξουμε αν αυτό λειτουργεί", είπε ο Dijkxhoorn. "Αλλά ένας καταχωρητής δεν θα πρέπει να ενεργεί με οδηγίες που προέρχονται από μια τυχαία διεύθυνση email ή άλλο λογαριασμό που δεν είναι καν συνδεδεμένος με τον εν λόγω τομέα."
Ο Dijkxhoorn μοιράστηκε αρχεία που ελήφθησαν από το OpenProvider που δείχνουν ότι στις 23 Δεκεμβρίου 2019, ο τομέας e-hawk.net μεταφέρθηκε σε λογαριασμό μεταπωλητή εντός του OpenProvider. Μόλις τρεις ημέρες αργότερα, αυτός ο λογαριασμός μεταπωλητή μετέφερε το e-hawk.net σε άλλον καταχωρητή — Μητρώο Δημόσιου Τομέα (PDR).
«Λόγω της προηγουμένως σιωπηρής μετακίνησης σε άλλον λογαριασμό μεταπωλητή εντός του OpenProvider, δεν ενημερωθήκαμε από τον καταχωρητή για τυχόν αλλαγές», είπε ο Dijkxhoorn. «Αυτή η δόλια κίνηση ήταν δυνατή λόγω της επιτυχημένης κοινωνικής μηχανικής προς την ομάδα υποστήριξης του OpenProvider. Τώρα μάθαμε ότι μετά τη μετακίνηση στον άλλο λογαριασμό OpenProvider, οι απατεώνες θα μπορούσαν να αφαιρέσουν σιωπηλά το κλείδωμα του μητρώου και να μετακινήσουν τον τομέα σε PDR."
ΚΛΕΙΔΩΜΑ ΜΗΤΡΩΟΥ
Ο Dijkxhoorn είπε ότι ένα μέτρο ασφαλείας που δεν είχε λάβει η εταιρεία του με τον τομέα της πριν από τη δόλια μεταφορά ήταν "κλειδαριά μητρώου», μια πιο αυστηρή, μη αυτόματη (και μερικές φορές εκτός σύνδεσης) διαδικασία που εξουδετερώνει αποτελεσματικά τυχόν προσπάθειες απατεώνων να δημιουργήσουν κοινωνικό μηχανικό του μητρώου του τομέα σας.
Με ένα κλείδωμα μητρώου στη θέση του, ο καταχωρητής σας δεν μπορεί να μετακινήσει τον τομέα σας σε άλλο καταχωρητή από μόνος του. Για να το κάνετε αυτό, απαιτείται μη αυτόματη επαλήθευση επαφής από το κατάλληλο μητρώο τομέα, όπως π.χ Verisign — το οποίο είναι το έγκυρο μητρώο για όλους τους τομείς που τελειώνουν σε .com, .net, .name, .cc, .tv, .edu, .gov και .jobs. Άλλα μητρώα χειρίζονται κλειδώματα για συγκεκριμένους τομείς ανώτατου επιπέδου ή κωδικού χώρας, συμπεριλαμβανομένων Ορίστε (για τομείς .co.uk ή .uk), EURID (για τομείς .eu), CNNIC για τομείς (για .cn) και ούτω καθεξής.
Σύμφωνα με στοιχεία που παρέχονται από την εταιρεία προστασίας ψηφιακών εμπορικών σημάτων CCS, ενώ οι τομείς που δημιουργούνται στους τρεις κορυφαίους τομείς ανώτατου επιπέδου με τις περισσότερες καταχωρήσεις (.com, .jp και .cn) είναι κατάλληλοι για κλείδωμα μητρώου, μόλις το 22 τοις εκατό των ονομάτων τομέα που παρακολουθούνται στη λίστα του Forbes με τις μεγαλύτερες δημόσιες εταιρείες στον κόσμο έχουν εξασφαλίσει κλειδώματα μητρώου.
Δυστυχώς, δεν υποστηρίζουν όλοι οι καταχωρητές κλειδαριές μητρώου (μια λίστα τομέων ανώτατου επιπέδου που επιτρέπουν κλειδώματα μητρώου είναι εδώ, ευγενική προσφορά του CSC). Όμως, όπως θα δούμε σε λίγο, υπάρχουν και άλλες προφυλάξεις ασφαλείας που μπορούν και βοηθούν εάν ο τομέας σας καταλήξει με κάποιο τρόπο να παραβιαστεί.
Ο Dijkxhoorn είπε ότι η εταιρεία του έμαθε για πρώτη φορά για την κλοπή τομέα στις 13 Ιανουαρίου 2020, η οποία ήταν η ημερομηνία που οι απατεώνες κατάφεραν να αλλάξουν τις ρυθμίσεις του συστήματος ονομάτων τομέα (DNS) για το e-hawk.net. Αυτή η ειδοποίηση ενεργοποιήθηκε από συστήματα που είχε προηγουμένως ενσωματώσει η E-HAWK που παρακολουθούν συνεχώς τον σταθερό τομέα των τομέων τους για τυχόν αλλαγές DNS.
Παρεμπιπτόντως, αυτή η συνεχής παρακολούθηση των ρυθμίσεων DNS ενός ατόμου είναι μια ισχυρή προσέγγιση για την εξάλειψη των επιθέσεων στους τομείς και την υποδομή DNS σας. Όποιος ενδιαφέρεται για το γιατί αυτή μπορεί να είναι μια καλή προσέγγιση θα πρέπει να ρίξει μια ματιά αυτή η βαθιά κατάδυση από το 2019 στο "DNSpionage", το όνομα που δόθηκε στα κατορθώματα ενός ιρανικού ομίλου που έχει κλέψει με επιτυχία αμέτρητους κωδικούς πρόσβασης και διαπιστευτήρια VPN από μεγάλες εταιρείες μέσω επιθέσεων που βασίζονται σε DNS.
DNSSEC
Λίγο μετά την υπόδειξη των ρυθμίσεων DNS του e-hawk.net σε έναν διακομιστή που έλεγχαν, οι εισβολείς μπόρεσαν να αποκτήσουν τουλάχιστον ένα πιστοποιητικό κρυπτογράφησης για τον τομέα, το οποίο θα μπορούσε να τους επέτρεπε να υποκλέψουν και να διαβάσουν κρυπτογραφημένες επικοινωνίες Ιστού και email που συνδέονται με το e-hawk .καθαρά.
Αλλά αυτή η προσπάθεια απέτυχε επειδή οι ιδιοκτήτες του E-HAWK είχαν επίσης ενεργοποιήσει DNSSEC για τους τομείς τους (γνωστός και ως "Επεκτάσεις ασφαλείας DNS"), το οποίο προστατεύει τις εφαρμογές από τη χρήση πλαστών ή παραποιημένων δεδομένων DNS, απαιτώντας την ψηφιακή υπογραφή όλων των ερωτημάτων DNS για έναν δεδομένο τομέα ή σύνολο τομέων.
Με το DNSSEC σωστά ενεργοποιημένο, εάν ένας διακομιστής ονομάτων προσδιορίσει ότι η εγγραφή διεύθυνσης για έναν δεδομένο τομέα δεν έχει τροποποιηθεί κατά τη μεταφορά, επιλύει τον τομέα και επιτρέπει στον χρήστη να επισκεφθεί τον ιστότοπο. Εάν, ωστόσο, αυτή η εγγραφή έχει τροποποιηθεί με κάποιο τρόπο ή δεν ταιριάζει με τον τομέα που ζητήθηκε, ο διακομιστής ονομάτων εμποδίζει τον χρήστη να φτάσει στη δόλια διεύθυνση.
Ενώ οι απατεώνες που έχουν παραβιάσει τον τομέα σας ή/και έχουν επιλέξει την πρόσβαση στον καταχωρητή τομέα σας μπορούν και συνήθως θα προσπαθήσουν να αφαιρέσουν τυχόν εγγραφές DNSSEC που σχετίζονται με τον τομέα που έχει παραβιαστεί, γενικά χρειάζονται μερικές ημέρες για να γίνουν αντιληπτές και να τηρούνται από αυτές τις ενημερωμένες εγγραφές το υπόλοιπο Διαδίκτυο.
Ως αποτέλεσμα, η ενεργοποίηση του DNSSEC για τους τομείς του αγόρασε το E-HAWK για επιπλέον 48 ώρες περίπου για να ανακτήσει τον έλεγχο του τομέα του προτού υποκλαπεί οποιαδήποτε κρυπτογραφημένη κίνηση από και προς το e-hawk.net.
Στο τέλος, το E-HAWK μπόρεσε να ανακτήσει τον τομέα του που είχε παραβιαστεί σε λιγότερο από 48 ώρες, αλλά μόνο επειδή οι ιδιοκτήτες του έχουν όνομα με πολλές από τις εταιρείες που διαχειρίζονται το παγκόσμιο σύστημα ονομάτων τομέα του Διαδικτύου. Ίσως το πιο σημαντικό, έτυχε να γνωρίζουν βασικά άτομα στο PDR - τον καταχωρητή στον οποίο οι κλέφτες μετέφεραν τον κλεμμένο τομέα.
Ο Dijkxhoorn είπε ότι χωρίς αυτή την πρόσβαση στον κλάδο, το E-HAWK πιθανότατα θα περίμενε ακόμα να αναλάβει ξανά τον έλεγχο στον τομέα του.
"Αυτή η διαδικασία συνήθως δεν είναι τόσο γρήγορη", είπε, σημειώνοντας ότι οι περισσότεροι τομείς δεν μπορούν να μετακινηθούν για τουλάχιστον 60 ημέρες μετά από μια επιτυχημένη μεταφορά σε άλλο καταχωρητή.
Σε συνέντευξή του στο KrebsOnSecurity, Διευθύνων Σύμβουλος και Ιδρυτής του OpenProvider Άρνο Βις είπε ότι το OpenProvider επανεξετάζει τις διαδικασίες του και δημιουργεί συστήματα για να εμποδίσει τους υπαλλήλους υποστήριξης να παρακάμπτουν τους ελέγχους ασφαλείας που συνοδεύουν μια κλειδαριά μητρώου.
«Χτίζουμε ένα επιπλέον επίπεδο έγκρισης για πράγματα που οι μηχανικοί υποστήριξης δεν θα έπρεπε να κάνουν εξαρχής», είπε ο Vis. «Από όσο ξέρω, είναι η πρώτη φορά που μας συμβαίνει κάτι τέτοιο».
Όπως και σε αυτήν την περίπτωση, οι απατεώνες που ειδικεύονται στην κλοπή domain συχνά επιτίθενται κατά τη διάρκεια των διακοπών, όταν πολλοί καταχωρητές δεν διαθέτουν καλά εκπαιδευμένο προσωπικό. Όμως ο Vis είπε ότι η επίθεση εναντίον του E-HAWK στόχευε τον πιο ανώτερο μηχανικό υποστήριξης της εταιρείας.
«Αυτός είναι ο λόγος που η κοινωνική μηχανική είναι τόσο δύσκολο πράγμα, γιατί στο τέλος έχετε ακόμα ένα άτομο που πρέπει να πάρει μια απόφαση για κάτι και σε ορισμένες περιπτώσεις δεν παίρνει τη σωστή απόφαση», είπε.
ΤΙ ΜΠΟΡΕΙΣ ΝΑ ΚΑΝΕΙΣ?
Ανακεφαλαιώνοντας, για μέγιστη ασφάλεια στους τομείς σας, εξετάστε το ενδεχόμενο να υιοθετήσετε ορισμένες ή όλες τις παρακάτω βέλτιστες πρακτικές:
-Χρησιμοποιήστε λειτουργίες εγγραφής όπως το Registry Lock που μπορούν να βοηθήσουν στην προστασία των εγγραφών ονομάτων τομέα από την αλλαγή. Λάβετε υπόψη ότι αυτό μπορεί να αυξήσει το χρόνο που απαιτείται στο μέλλον για να γίνουν βασικές αλλαγές στον κλειδωμένο τομέα (όπως αλλαγές DNS).
-Χρησιμοποιήστε DNSSEC (τόσο ζώνες υπογραφής όσο και επικύρωση απαντήσεων).
-Χρησιμοποιήστε λίστες ελέγχου πρόσβασης για εφαρμογές, κίνηση στο Διαδίκτυο και παρακολούθηση.
-Χρησιμοποιήστε έλεγχο ταυτότητας 2 παραγόντων και απαιτήστε τη χρήση του από όλους τους σχετικούς χρήστες και υπεργολάβους.
-Σε περιπτώσεις όπου χρησιμοποιούνται κωδικοί πρόσβασης, επιλέξτε μοναδικούς κωδικούς πρόσβασης και σκεφτείτε τους διαχειριστές κωδικών πρόσβασης.
-Ελέγξτε την ασφάλεια των υπαρχόντων λογαριασμών με καταχωρητές και άλλους παρόχους και βεβαιωθείτε ότι έχετε πολλές ειδοποιήσεις όταν και εάν ένας τομέας που σας ανήκει πρόκειται να λήξει.
-Παρακολουθήστε την έκδοση νέων πιστοποιητικών SSL για τους τομείς σας παρακολουθώντας, για παράδειγμα, Μητρώα διαφάνειας πιστοποιητικών.
Ετικέτες: Άρνο Βις, CCS, DNS spionage, DNSSEC, E-HAWK, e-hawk.net, OpenProvider, PDR, Πίτερ Τσολνόκι, Μητρώο Δημόσιου Τομέα, Raymond Dijkxhoorn, κλειδαριά καταχωρητή, κλειδαριά μητρώου, WhatsApp
Πηγή: https://krebsonsecurity.com/2020/01/does-your-domain-have-a-registry-lock/
