Домены. Все, что нужно знать о ключевом элементе Интернета
Шрифт:
Что угрожает администратору домена? Самая серьезная угроза – «угон» домена, то есть неправомерный переход домена под контроль злоумышленников. Как ни странно, «угон» может быть произведен с помощью разнообразных инструментов, причем некоторые из них вовсе не требуют использования высоких интернет-технологий.
Например, злоумышленники могут подделать нужные документы (заявления, доверенности) и выполнить процедуру смены администратора домена. Именно с целью предотвращения подобных проблем регистраторы в домене RU и требуют представления довольно большого количества бумаг и личного присутствия администратора домена в офисе. В некоторых случаях при сомнительных операциях по раскрученным и хорошо известным доменам регистратор может провести и
Одна из самых больших проблем, создающих серьезные риски, – неверное делегирование полномочий по управлению доменом внутри компаний и официальных организаций.
Хрестоматийный пример касается корпоративных сайтов. Сейчас даже самая небольшая фирма считает нужным иметь свой сайт. У маленьких компаний нет ни юридического департамента, ни службы ИТ, поэтому корпоративный сайт поручают изготовить и запустить тому сотруднику, который, по мнению руководителя фирмы, наиболее близок к Интернету. Нередки случаи, когда эта «почетная обязанность» достается секретарше директора, умеющей «поискать в Интернете». Также кандидатами на создание сайта часто оказываются «обобщенные программисты», дизайнеры, заместители директора по техническим вопросам, так называемые эникейщики и др. Несложно догадаться, что создание сайта достается случайному сотруднику, никак с сайтостроением не связанному.
Что в итоге? В итоге сотрудник, получивший задачу создать корпоративный сайт и выяснивший, что для этого потребуется домен второго уровня, регистрирует подходящий домен на себя. Как показывает практика, в подавляющем большинстве случаев сотрудник вовсе не имеет злого умысла – он просто желает избежать лишней бумажной волокиты. Более того, обычно он получает одобрение руководства на такую регистрацию: «Ну ты же будешь сайтом заниматься, вот и регистрируй на себя».
Некоторое время с новоиспеченным «корпоративным» доменом все хорошо. Под ним работает корпоративный сайт, который при нынешних темпах роста Интернета вполне способен в скором времени стать важнейшей «витриной» компании. Но однажды сотрудник, зарегистрировавший домен, увольняется.
С этого момента с доменом начинаются большие проблемы. Он, по сути, находится «в угоне». Внести изменения в параметры работы домена, продлить его регистрацию – эти операции должны осуществлять либо сам администратор домена, либо его доверенное лицо. Оказывается, фирма не имеет практического контроля над «корпоративным» доменом, который уже стал важным элементом повседневного делового оборота (электронная почта, визитки, обмен прайс-листами и др.). Доменом может управлять только уволившийся сотрудник, и никаким способом нельзя убедить компанию-регистратора, что «на самом деле это наш корпоративный домен». Ведь регистратор действует согласно Правилам доменной зоны, а они четко прописывают роль администратора домена.
Администратор домена может просто не оплатить продление регистрации (действительно, зачем, если он уже не работает в компании?) – в результате домен будет освобожден, а фирма останется без корпоративного сайта.
Обиженный сотрудник, оказавшийся администратором «корпоративного» домена, может попытаться отомстить с его помощью, например, сделав с корпоративного сайта перенаправление на сайт конкурентов компании или (случай из жизни) разместив вместо корпоративного сайта веб-страницу, сообщающую изумленным клиентам и партнерам, заглянувшим по привычному адресу: «Извините, наша компания находится в процессе банкротства, а офис более не работает».
Мне не раз и не два приходилось помогать владельцам небольших компаний решать подобные «доменные проблемы». В каких-то случаях удавалось договориться с бывшим сотрудником компании (которого еще нужно было разыскать), являвшимся администратором домена, и
На корпоративном уровне возможен спланированный «угон» домена директором компании. Так, если смена администратора домена может быть проведена регистратором на основании письма от генерального директора (или просто директора) компании, то ничто не мешает наемному директору «угнать» домен у владельцев компании. Для этого директор, действуя от имени юридического лица, производит смену администратора домена и передает домен либо себе, либо своему сообщнику. В результате владельцы компании, для которой доменное имя может являться важным, а иногда единственным ценным активом, его лишаются. Оспорить подобную операцию довольно трудно, если, опять же, имя домена не совпадает с фирменным обозначением или зарегистрированной торговой маркой.
Если для «угона» домена часто требуются бумажные документы, то перехватить управление можно и по «безбумажной технологии». Так, регистраторы предоставляют своим клиентам веб-интерфейс, служащий для оперативного управления доменами через Интернет с помощью веб-браузера. Обычно доступ к веб-интерфейсу производится с авторизацией пользователя по паролю (используется пара логин/пароль; логин – системное имя, присвоенное данному клиенту). Злоумышленник, которому стал известен пароль (и логин) клиента регистратора для доступа к веб-интерфейсу, получает возможность перехватить управление веб-интерфейсом. Соответственно, все операции с доменами клиента, доступные через веб-интерфейс и не требующие дополнительной авторизации, оказываются в распоряжении злоумышленника.
Предположим, что добропорядочный клиент размещает под доменом свой сайт. Злоумышленник, получив управление доменом через веб-интерфейс, может изменить записи DNS для домена таким образом, что домен будет указывать на другой сайт, например на интернет-ресурс, находящийся под контролем хакеров. Для чего это нужно злоумышленнику? В некоторых случаях лишь для того, чтобы потешить самолюбие, разместив под перехваченным доменом страничку с информацией о хакерской группировке, которая взломала сайт. Однако в более изощренных планах перехваченный домен может служить платформой для сложной атаки с подменами сайтов, состоящей из нескольких ступеней и имеющей своей целью вполне конкретные способы извлечения прибыли (незаконные, конечно).
Раскрытие пароля к веб-интерфейсу также возможно с помощью целой палитры наработанных методов. Во-первых, администратор домена может самостоятельно разгласить пароль, записав его на листке бумаги, прикрепленном к компьютеру: «Мой пароль для доменов: 31415926». Во-вторых, пароль можно узнать, используя электронную почту: либо просматривая почтовый трафик (если пароль пересылался в незашифрованном сообщении), либо перехватив управление почтовым ящиком атакуемого клиента и запросив пароль у сервера регистратора с помощью популярных механизмов напоминания пароля. В-третьих, пароль можно подобрать, задействовав автоматические программы, работающие с применением словаря (не у всех регистраторов есть эффективная защита от массовой проверки пользовательских паролей злоумышленниками). Существуют и другие способы.