Угнать DNS за 60 секунд

Специалист по информационной безопасности Мэтью Брайант на время смог заполучить в свое распоряжение национальный домен верхнего уровня для Британских Территорий в Индийском Океане .io, о чем подробно рассказал в своем блоге.

Ситуация, произошедшая с доменом .io, и правда как из фильма с неожиданным поворотом событий. Конечно, добиться того, чтобы управлять 4 DNS-серверами зоны .io удалось не за 60 секунд, но сам факт, что такое стало возможно, не может не удивлять.

Работая над составлением карты путей делегирования DNS различных TLD, эксперт обнаружил, что написанный им скрипт возвращал странные ответы для доменной зоны .io. Одна из особенностей этого скрипта (под названием TrustTrees) заключается в том, что с установкой ключа API Gandi он может проверить, есть ли в цепочке делегирования доступные для регистрации сервера имен. После такой проверки оказалось, что приобрести можно было даже несколько DNS-имен зоны .io. Стоит отметить, что это не обязательно означает, что домены можно действительно зарегистрировать, так как были случаи, когда регистратуры твердили о доступности имени, но фактическую регистрацию производить не позволяли, так как оно было зарезервировано. Мэтью все же решил пойти дальше и проверить сайт регистратуры. После быстрого поиска ns-a1.io он с удивлением обнаружил, что этот домен сервера DNS таки доступен для регистрации за 90 долларов. На следующее утро Мэтью уже управлял одним из серверов имен для .io TLD.

Помимо ns-a1.io доступными для регистрации оказались еще и ns-a2.io, ns-a3.io и ns-a4.io, поэтому эксперт поспешил сообщить об этом организации, администрирующей зону .io, ведь хакеров нынче хватает. Но указанный в базе IANA адрес оказался нерабочим, следовательно, недолго думая, Мэтью зарегистрировал и остальные имена. Затем он позвонил в службу поддержки регистратуры зоны и попросил предоставить ему действительные координаты для связи. Решилось все к обеду следующего дня – проблема устранена, домены заблокированы, а потраченные средства возвращены. Да, все хорошо, что хорошо кончается. Однако сложно представить, что могло бы быть, если бы эту ошибку обнаружил не Мэтью, а злоумышленник.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*