Этап 2. Инвентаризация сети.
Контактный запрос
Поскольку технический служащий, чьи данные указаны в регистрационных данных, может заниматься администрированием нескольких организаций, имеет смысл обратиться к базе whois с контактным запросом по пользовательскому дескриптору базы данных. В данном случае воспользуемся дескриптором WB9201, полученным в предыдущем доменном запросе. Таким образом можно выявить домен, о существовании которого вы даже не подозреваете.
[bash]$ whois "HANDLE WB9201"@whois.networksolutions.com Boyd, Woody [Network Engineer] (WB9201) woody@ACME.NET BIG ENTERPRISES 11 TOWN CENTER AVE EINSTEIN, AZ 20198 201-555-1212 (201)555-1212 (FAX) 201-555-1212
Можно также попробовать поискать записи, содержащие часть адреса @Acme.net, и получить список всех адресов электронной почты данного домена. Для краткости мы приведем лишь часть полученных данных.
[bash]$ whois "@Acme.net"@whois.internic.net Smith, Janet (JS9999) jsmith@ACME.NET (201)555-9211 (FAX) (201)555-3643 Benson, Bob (BB9999) bob@ACME.NET (201)555-0988 Manual, Eric(EM9999) ericm@ACME.NET (201)555-8484 (FAX) (201)555-8485 Bixon, Rob (RB9999) rbixonSACME.NET (201)555-8072
Контрмеры: обеспечение безопасности общедоступных баз данных
Большая часть информации, хранящейся в описанных базах данных, открыта для свободного доступа. Когда организация намеревается зарегистрировать собственный домен, она обязана предоставить контактную информацию, сведения о выделенных ей блоке сетевых адресов и серверах DNS. Однако для того чтобы усложнить задачу взломщикам, необходимо придерживаться определенных принципов обеспечения безопасности.
Очень типичной является ситуация, когда администратор, давно уволившийся из организации, по-прежнему может изменить регистрационную информацию об этой организации. Поэтому прежде всего нужно постоянно следить за тем, чтобы информация, хранящаяся в этой базе данных, была точной. При первой же необходимости обновляйте административные, технические и финансовые контактные данные. Более того, продумайте, как обезопасить себя от возможного использования злоумышленниками номеров телефонов, указанных в контактных данных (например, взломщик может воспользоваться этими номерами для автопрозвона).
Если это возможно, воспользуйтесь номерами бесплатных телефонов (toll-free) или номерами, которые не используются в вашей организации. Нам приходилось встречаться с организациями, которые указывали в качестве администратора вымышленное лицо, что, без условно, может оказаться западней для злоумышленника. Если любой сотрудник организации знает, что в случае получения электронного сообщения или звонка от имени человека, представляющегося администратором с указанным в регистрационных данных вымышленным именем, он должен немедленно уведомить об этом службу безопасности – это, безусловно, затруднит задачу взломщика.
Еще одна потенциальная опасность, связанная с регистрацией доменов, состоит в том, что некоторые компании-регистраторы разрешают обновлять регистрационные данные. Например, в настоящее время компания Network Solutions разрешает автоматически изменять доменную информацию через Internet. При этом лицо, зарегистрировавшее домен, аутентифицируется одним из следующих трех способов: по содержимому поля FROM электронной почты, с помощью пароля и с помощью алгоритма шифрования Pretty Good Privacy (PGP). К сожалению, по умолчанию используется метод проверки содержимого поля FROM, который (невероятно, но факт!) и выбирают многие администраторы сетей при регистрации своих доменов.
Естественно, ни о какой безопасности при таком подходе говорить не приходится. Любой злоумышленник может воспользоваться электронным адресом администратора и изменить информацию о домене. (Такая ситуация получила название "доменного пиратства" (domain hijacking).) Именно это и произошло с компанией AOL 16 октября 1998 года, о чем рассказывалось в газете Washington Post. Кто-то выдал себя за служащего AOL и изменил доменную информацию AOL таким образом, чтобы все запросы к их серверам отправлялись в домен autonete.net. Конечно, компания AOL быстро восстановила работоспособность серверов, однако этот случай очень ярко демонстрирует, насколько порой хрупким может быть все, что связано с Internet. Поэтому важно выбрать какое-то более надежное решение, защитив регистрационные данные с помощью пароля или PGP. Более того, необходимо, чтобы изменение административных или технических контактных данных выполнялось с использованием механизма аутентификации с помощью формы Contact Form узла Network Solutions.