By 
Прежде чем перейти непосредственно к теме сегодняшней колонки, позвольте маленький мысленный эксперимент. Представьте, что вы — владелец корпоративного сайта, с адресом, скажем, xyz.ru. И ваша компания достаточно большая, чтобы появился смысл выделить из основного домена несколько дочерних адресов (a.xyz.ru, b.xyz.ru и т.д.). Ничего необычного, верно? В конце концов, у гигантов вроде IBM таких субдоменов насчитываются десятки, по одному на каждую страну, в которой она работает, отделы, офисы и прочее. Удобно! Теперь вообразите, что некто — пусть это будет ваш сотрудник или посторонний человек — пишет электронное письмо на корпоративный адрес @a.xyz.ru И чуть-чуть ошибается, к примеру, забывает точку в написании субдомена. Так что письмо отправляется по адресу @axyz.ru Бывает, что поделать! В горячке рабочего дня пропустить такую ерунду несложно. Наверное, если собрать такие ошибочные письма вместе, за год даже для небольшой компании наберётся солидная стопка. Но, внимание, вопрос: что происходит с «неправильным» сообщением дальше?
Его попытаются доставить владельцу сайта axyz.ru Конечно, если такой домен не зарегистрирован, письмо вернут отправителю. Но представим на минутку, что кто-то подсуетился и таки зарегистрировал axyz.ru Письмо попадёт в его руки — и хорошо, если человек не злонамерен. Однако для чего же ещё читать чужую почту? Разве что из научного любопытства. Двое спецов по компьютерной безопасности, основавших компанию Godai Group, заинтересовались судьбами «неправильных» писем и зарегистрировали несколько десятков доменов-двойников (как в нашем примере: для a.xyz.ru они взяли axyz.ru) для компаний из списка Fortune 500. Попробуйте угадать, какой объём ушедшей ошибочными маршрутами корреспонденции скопился у них за полгода? Без малого 120 тысяч писем, общим весом в 20 Гбайт!
Как и ожидалось, в перехваченной почте оказался полный набор вкусностей, от паролей к корпоративным серверам и деловой инсайдерской информации всех сортов до номеров кредитных карт и прочих конфиденциальных сведений о сотрудниках. Использование некоторых писем легко могло обернуться большими проблемами как для отдельных индивидов, так и настоящей информационной, либо PR-катастрофой для компаний (впрочем, вспоминая весенний взлом Sony PS Network, между информационным и PR-катаклизмом хочется поставить знак равенства).
Типичный пример электронного письма, ушедшего неправильным маршрутом. Автор не допускает даже мысли о том, что его сообщение может попасть в чужие руки, так что логин и пароль (похоже, к автодорожной системе) идут открытым текстом. Фото Godai Group/Wired.
Самый простой способ использовать такие письма — продать их конкурентам (корреспондентка Wired, видевшая образцы перехваченных посланий, приводят несколько удобных примеров, вроде перехваченного отчёта об антисанитарных условиях в известном ресторане). Но можно поступить и хитрее, внедрившись в переписку: к примеру, переправлять письма по верному адресу, меняя обратный, чтобы получить ответ.
Авторы исследования, названного Doppelganger Domains (в буквальном переводе с английского: домены-двойники), мрачно шутят: мало того, что мы не совершали ничего противозаконного, так и вообще ничего не делали, просто сидели и собирали поступающую почту. Вдобавок, абсолютное большинство невольных корреспондентов не подозревали (и даже не задумывались) о печальной судьбе ушедшего по неправильному адресу письма.
Вообще, эксплуатация доменов-двойников для извлечения прибыли — трюк не новый. Он давно разведан киберсквоттерами, а точнее их частным случаем, тайпосквоттерами (typosquatters, от англ. typo — опечатка, и squatter — незаконный поселенец). Последние специализируются на захвате адресов, незначительно отличающихся от адресов популярных веб-сайтов.
Из миллионов человек, ежедневно посещающих тот же google.com, наверняка найдутся несколько тысяч, которые ошибутся при вводе, и вместо заглавной странички известного поисковика отправятся на gogle.com или goggle.com Разместив на сайте-двойнике рекламу, можно надеяться, что некоторые посетители кликнут на баннер. Ну а дальше в игру вступает закон больших чисел.
Составить представление о масштабах индустрии тайпосквоттинга можно по следующим цифрам. Каждый из первых нескольких тысяч самых популярных ресурсов Веб окружён почти тремя сотнями сайтов-двойников. А размещаемая на «ошибочных» сайтах реклама приносит только Google, как владельцу рекламной сети, до полумиллиарда долларов в год (оценка исследователей из Гарвардского университета).
Но вернёмся к отчёту Godai. С двойниками корпоративных сайтов дело обстоит иначе, нежели с двойниками популярных веб-ресурсов. Во-первых, если Google посещают сотни миллионов человек, то сайт какой-нибудь нефтеперерабатывающей компании интересен значительно более узкой аудитории. Во-вторых, специалисты Godai призывают сосредоточиться на субдоменах, которые по определению привлекают ещё меньше внимания. Учтите оба этих обстоятельства, и вы поймёте, почему львиная доля доменов-двойников для крупных компаний всё ещё не занята.
Тайпосквоттерам адреса вроде упоминавшегося выше axyz.ru неинтересны по причине малой посещаемости, а владельцам компании XYZ хватает других забот. Отсюда и оценка: каждый третий фигурант Fortune 500 может стать потенциальной жертвой атаки с использованием доменов-двойников. Больше других опасности подвергаются банки и финансовые учреждения, телекоммуникационные компании, ИТ-провайдеры.
Чем короче URL, тем меньше шанс ошибиться при его написании — и тем меньше свободы у злоумышленников, эксплуатирующих ошибки в адресах. Но короткие адреса давно разобраны, а наличие субдоменов ещё больше облегчает атаку.
Владельцы популярных веб-ресурсов, наученные печальным опытом столкновений с тайпосквоттерами (которые рядом с рекламой часто размещают и разного рода зловредный софт), по крайней мере пытаются решать проблему. Угрозами или деньгами, в частном порядке и через суд они получают права на домены-двойники (так, gogle.com теперь принадлежит Google). Но для хозяев корпоративных сайтов эта забота пока кажется излишней. За время эксперимента Godai лишь одна компания обратилась к исследователям с требованием освободить домен-двойник. И только двое из авторов 120 тысяч «ошибочных» писем попытались понять, куда на самом деле ушли отправленные ими сообщения.
Но что же делать? Для начала исследователи рекомендуют настроить корпоративную почту, блокировав отправление писем на ошибочные адреса. Это не решит проблемы со входящей корреспонденцией, но и здесь есть выход. Скупать все домены-двойники — сумасшествие, но обнаружить зарегистрированные и потребовать их освобождения через стандартную процедуру решения доменных споров вполне возможно.
Наконец, стоит задуматься, почему крупные компании — что особенно позорно, даже те, кому полагается об этом помнить: оборонка, компьютерная безопасность, финансы — позволяют своим сотрудникам переправлять конфиденциальные сведения (пароли, номера кредиток, копии контрактов и т.п. и т.д.) в незашифрованном виде через открытую всем ветрам электронную почту. Столь грубое пренебрежение элементарными нормами безопасности допустимо для середины 90-х, но кажется диким в XXI веке.
Задумайтесь. Тем более, что в Godai, похоже, не первыми наткнулись на описанную идею. Регистрируя для своих опытов домены-двойники сайтов крупных компаний, исследователи обнаружили, что некоторые адреса уже заняты. Неизвестными лицами из Китайской Народной Республики.
Евгений Золотов http://i-business.ru/
Comments