В середине октября малоизвестный но срок действия критически важного доменного имени для интернет-пространства одной страны начал истекать.
Домен – scpt-network.com – был одним из двух серверов имён для .cd домен верхнего уровня с кодом страны, присвоенный Демократической Республике Конго. Если он попадет в чужие руки, злоумышленник может перенаправить миллионы ничего не подозревающих пользователей Интернета на выбранные ими мошеннические веб-сайты.
Ясно, что домен такой важности не должен был истечь; кто-то в конголезском правительстве, вероятно, забыл заплатить за его обновление. К счастью, просроченные домены не исчезают сразу. Вместо этого часы начали отсрочку для его государственных владельцев, чтобы выкупить домен, прежде чем он будет продан кому-то другому.
Случайно Фредрик Алмрот, исследователь безопасности и соучредитель стартапа по кибербезопасности Detectify, уже рассматривал серверы имен национальных доменов верхнего уровня (или ccTLD), двухбуквенные суффиксы в конце региональных веб-адресов, например .fr для Франции или .uk для Соединенного Королевства. Когда он обнаружил, что срок действия этого важного доменного имени скоро истечет, Алмрот начал следить за ним, предполагая, что кто-то в конголезском правительстве заплатит за возврат домена.
Но этого никто никогда не делал.
К концу декабря время почти подошло к концу, и домен почти отключился от Интернета. Через несколько минут после того, как домен стал доступным, Алмрот быстро купил его, чтобы никто другой не смог его захватить, потому что, как он сказал TechCrunch, «последствия огромны».
Срок действия домена верхнего уровня истекает редко, но не является чем-то необычным.
В 2017 году исследователь безопасности Мэтью Брайант взял на себя ответственность за серверы имен .io домен верхнего уровня, относящийся к Британской территории в Индийском океане. Но злонамеренные хакеры также проявили интерес к взлому доменов верхнего уровня в компаниях и правительствах, которые используют тот же суффикс домена на основе страны.
Предполагается, что захват сервера имен – непростая задача, потому что они являются жизненно важной частью работы Интернета.
Каждый раз, когда вы посещаете веб-сайт, ваше устройство использует сервер имен для преобразования веб-адреса в вашем браузере в машиночитаемый адрес, который сообщает вашему устройству, где в Интернете можно найти сайт, который вы ищете. Некоторые сравнивают серверы имен с телефонным справочником в Интернете. Иногда ваш браузер не ищет ответа дальше своего собственного кеша, а иногда ему приходится запрашивать ответ у ближайшего сервера имен. Но серверы имен, которые контролируют домены верхнего уровня, считаются авторитетными и знают, где искать, не обращаясь к другому серверу имен.
Управляя авторитетным сервером имен, злоумышленники могут запускать атаки типа «злоумышленник в середине», чтобы незаметно перехватывать и перенаправлять пользователей Интернета, переходящих с легитимных сайтов на вредоносные веб-страницы.
Эти виды атак использовались в изощренных шпионских кампаниях, направленных на клонирование веб-сайтов, чтобы обманом заставить жертв передать свои пароли, которые хакеры используют для получения доступа к корпоративным сетям для кражи информации.
Хуже того, Альмрот сказал, что при контроле сервера имен можно получить действительные сертификаты SSL (HTTPS), позволяющие злоумышленнику перехватывать зашифрованный веб-трафик или любой почтовый ящик электронной почты для любого .cd – сказал он. На взгляд неподготовленного злоумышленника, успешный злоумышленник может перенаправить жертв на поддельный веб-сайт, и они ничего не сделают.
«Если вы можете злоупотреблять схемами проверки, используемыми для выдачи сертификатов, вы можете подорвать SSL любого домена под .cd тоже, – сказал Альмрот. «Возможность оказаться в таком привилегированном положении пугает».
В итоге Альмрот просидел в домене около недели, пытаясь придумать способ вернуть его. К этому моменту домен уже два месяца бездействовал и ничего катастрофически не сломалось. В лучшем случае сайты с .cd загрузка домена могла занять немного больше времени.
Поскольку оставшийся сервер имен работал нормально, Алмрот держал домен в автономном режиме, так что всякий раз, когда пользователь Интернета пытался получить доступ к домену, который полагался на сервер имен под его контролем, он автоматически превышал время ожидания и передавал запрос оставшемуся серверу имен.
В конце концов, конголезское правительство не удосужилось попросить вернуть домен. Он создал совершенно новый домен с таким же названием – scpt-network.net – заменить тот, который сейчас находится во владении Альмрота.
Мы обратились к конголезским властям за комментариями, но не получили ответа.
ICANN, международная некоммерческая организация, отвечающая за распределение интернет-адресов, заявила, что домены верхнего уровня с кодом страны управляются их соответствующими странами, и ее роль «очень ограничена», – сказал представитель.
Со своей стороны, ICANN призвала страны следовать передовой практике и использовать DNSSEC, криптографически более безопасную технологию, которая делает практически невозможным обслуживание поддельных веб-сайтов. Один инженер по сетевой безопасности, попросивший не называть его имени, поскольку он не имеет права говорить со СМИ, спросил, будет ли вообще DNSSEC эффективен против взлома домена верхнего уровня.
По крайней мере, в этом случае календарное напоминание ничего не может решить.