The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Опубликован разбор инцидента с потерей контроля над доменом perl.com

02.03.2021 13:34

Брайан Фой (brian d foy), основатель организации Perl Mongers, опубликовал подробный разбор инцидента, в результате которого домен perl.com был захвачен посторонними лицами. Захват домена не затронул серверную инфраструктуру проекта и был совершён на уровне смены владельца и замены параметров DNS-серверов у регистратора. Утверждается, что компьютеры ответственных за домен также не были скомпрометированы и атакующие пользовались методами социальной инженерии для введения регистратора Network Solutions в заблуждение и смены данных о владельце, используя фальшивые документы для подтверждения прав на владение доменом.

Среди факторов, способствовавших атаке, также упоминаются отключение двухфакторной аутентификации в интерфейсе регистратора и использование контактного email, указывающего на тот же домен. Захват домена был совершён ещё в сентябре 2020 года, в декабре домен был переведён китайскому регистратору BizCN, а в январе для запутывания следов был передан немецкому регистратору Key-Systems GmbH.

До декабря домен оставался в Network Solutions в соответствии с требованиями ICANN, запрещающими передачу домена другому регистратору в течение 60 дней после изменения контактной информации. В случае если бы информация о захвате домена раскрылась до декабря процесс возврата домена существенно бы упростился, поэтому злоумышленники длительное время не меняли DNS-серверы и домен продолжал работать не вызывая подозрений, что помешало своевременному выявлению атаки. Проблема всплыла только в конце января, когда мошенники перенаправили трафик на свой сервер и попытались продать домен на сайте Afternic за 190 тысяч долларов.

Из связанных с языком Perl событий также можно отметить отказ архива модулей CPAN от использования зеркал в пользу применения сети доставки контента, снимающей нагрузку с основного сервера. В июне планируется полностью очистить список зеркал, в котором останется только одна запись - www.cpan.org. Возможность ручной настройки клиента CPAN для работы через явно указанное зеркало сохранится.

  1. Главная ссылка к новости (https://www.perl.com/article/t...)
  2. OpenNews: Сообщество вернуло контроль над доменом perl.com
  3. OpenNews: Посторонние получили контроль над доменом Perl.com
  4. OpenNews: Perl переходит на новую модель управления
  5. OpenNews: В Perl-пакете Module-AutoLoad выявлен вредоносный код
  6. OpenNews: Анализ рисков при воплощении в жизнь инициативы Perl 7
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54683-perl
Ключевые слова: perl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:13, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +26 +/
    > использование контактного email, указывающего на тот же домен

    pkunzip.zip

     
     
  • 2.4, Аноним (4), 14:45, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ха-ха, смешной комментарий.
     

  • 1.2, Аноним (2), 14:19, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Из связанных с языком Perl событий также можно отметить отказ архива модулей CPAN от использования зеркал в пользу применения сети доставки контента

    Ну да, в свете новости про домен ну крайне логичный шаг намеренно отказаться от децентрализованной инфраструктуры, прям сверхразум.
    Так конечно уже давно, но это ведь замнчательный толчок к действию: "после факапа такого масштаба надо намертво прикрутить еще больше единых точек отказа"

     
     
  • 2.14, Аноним (14), 15:57, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Делайте свои зеркала.

    CDN - тоже зеркало, только прозрачное. Такая вот загогулина 🙃

     
     
  • 3.19, mymedia (ok), 17:01, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А доступ на это зеркало только через один домен. Злоумышленникам теперь будет куда проще увести его. Удобно.
     
     
  • 4.38, Всем Анонимам Аноним (?), 01:04, 08/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну так файл индекса был всё-равно с одного адреса.
     
  • 3.23, Аноним (2), 18:38, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зеркало не подразумевает децентрализованной инфры. Цдн это как раз яркий пример антипода децентрализации как понятия
     

  • 1.3, Аноним (3), 14:32, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >используя фальшивые документы для подтверждения прав на владение доменом.

    Атакующие уже присели под нары?

     
     
  • 2.9, регистратор (?), 15:35, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Куда присели? Они и так сидят на скамейке ровненько, новый домен для перепродажи китайцу старательно ищут.

     

  • 1.5, Kuromi (ok), 14:49, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "отключение двухфакторной аутентификации в интерфейсе регистратора" и нахрена они это сделали?
     
     
  • 2.7, Аноним (7), 15:07, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > "отключение двухфакторной аутентификации в интерфейсе регистратора" и нахрена они это сделали?

    Это элементарно!
    Владелец домена сам же всё это и провернул, чтобы навариться на 190 тысяч долларов!

     

  • 1.6, Аноним (6), 15:07, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Регистратор идиот, но виновато почему-то "отключение двухфакторной аутентификации", кек.
     
     
  • 2.8, реистратор (?), 15:33, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "дура-не дура, а тридцатку-то в день - имею!"
    С этими - ну не прокатилло, вычеркиваем. Угу, конечно-конечно, нас ввели в заблуждение. Эй, Кумар,хватит там спать - давай еще раз нас куда-нибудь введи, а то зарплату не получишь!

    И в этот раз потрудись выбрать что-нибудь, за что покупатели заплатят, а не такой же ненужный хлам!

     

  • 1.10, universite (ok), 15:43, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как они будут бороться, если и домен cpan.org угонят?
     
     
  • 2.21, пох. (?), 17:57, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очевидно что никак (он вроде у более вменяемого регистратора чем те индусы, и этого вполне достаточно).

    И никакие зеркала от такого тебе не помогут - миленько перезапишутся пустым местом с угнанного домена.

     

  • 1.11, Аноним (11), 15:43, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > атакующие пользовались методами социальной инженерии для введения регистратора Network Solutions в заблуждение и смены данных о владельце, используя фальшивые документы для подтверждения прав на владение доменом.

    У меня был похожий инцендент. Работая в одной конторе поставил им сервак, на хостинге агаве. Сервак кретичный, вся фирма ~10 чел жила только с доходов от этого сервака. Спрашивал диски на сервере шифровать, ответили нет только ничего не шифруй, одного пароля хватит. Говорил, что такие сервера надо держать локально у себя, но не послушали. Уволился, они сменили пару гендиректоров, поругались и фирма раскололась на две или три. Начались драки за сервак и клиентов. Звонит мне чел, программист которому уволняясь передавал все дела и говорит: "вот они такие-сякие увели сервак, у меня на руках решение Суда РФ со всеми подписями и печатями, что сервак наш и они должны отдать. Клиентов кошмарят они хотят уйти, решение суда у меня есть, ты сервак ставил, настраивал ты и должен его вернуть нам." Ответил: "что этот сервер не уменя дома стоит и никакого доступа к нему нет." Они опять звонят с угрозами меня виновным сделать, я их послал к хостеру, агаве. Типа у него сервак ему и ваши решения Суда о смене собственика сервера отдавайте. Не знаю что они техподдержке хостера втирали, в конце техподдержка агавы вставила загрузочный диск и предоставила им IPKVM. Через пару дней другая часть фирмы звонит мне, говорит сервак у нас увели, незаконно, клиентов кошмарят мы сервак еле отбили у этих рейдеров помоги востановить. Пришлось помочь в восстановлении.
    Чем закончилась история не знаю.

     
     
     
    Часть нити удалена модератором

  • 3.28, Аноним (28), 21:08, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >>Пришлось помочь в восстановлении.

    Не за спасибо же..

     
     
  • 4.32, Аноним (32), 09:06, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, они сами у хостера вернули сервер. Пришёл, к ним в новый офис, познакомился с новым админом, он зашол мне на сервер по ssh. С меня просили гарантии, что с сервером все хорошо, никаких гарантий в данном случае не дал. Хотели переустановить, что в реале сделали не знаю.

    Ко мне не раз приходили с правоохранительных органов, еще и во время когда никого больше не было. Совет категорически всем отказывать и ничего не исполнять. Все требования и бумаги пусть регистрируют в приемной, потом проходят юриста, с его резолюцией гендиректора и только директор, приказом, может просить вас что-то сделать. В остальном работаете обычно по своей должностной инструкции.

    Старые установленные вами серваки, если кто просит посмотреть, пусть вызывает в свой офис и предоставляет к ним доступ со своих офисных компов. С домашнего не ходите и ничего не админьте.

     
     
  • 5.39, Аноним (-), 02:06, 11/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > С домашнего не ходите и ничего не админьте.

    На бутылку не посадили - вообещ ниачем. Тоже мне повтор шелкового пути.

     
  • 2.29, a (??), 07:33, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    sports.ru?
     

  • 1.15, Нанобот (ok), 16:12, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  для запутывания следов был передан немецкому регистратору Key-Systems GmbH

    Может вор его просто продал?

     
  • 1.16, Онан (?), 16:26, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Perl is dead
     
     
  • 2.22, Нанобот (ok), 18:33, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    My name is Vova
     
     
  • 3.24, hhg (ok), 18:55, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    .. просто Вова.
     
     
  • 4.25, acroobar (?), 19:04, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Для кого Вова, а для кого-то Владимир Владимирович
     
  • 2.34, b00by (?), 12:27, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Перлиздед
     

  • 1.17, rm_ (ok), 16:47, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > В июне планируется полностью очистить список зеркал, в котором останется только одна запись - www.cpan.org.

    # whois cpan.org
    ....
    DNSSEC: unsigned
    ...

    Сделали бы хоть нормально сначала, нормально бы было!

     
     
  • 2.18, mymedia (ok), 16:59, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    DNSSEC от угона домена не спасёт — новые ключи добавляются через панель администратора также как и A или NS записи
     
     
  • 3.36, rm_ (ok), 19:41, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > DNSSEC от угона домена не спасёт — новые ключи добавляются через панель
    > администратора также как и A или NS записи

    Да речь уже не про угон, а раз уж они концентрируют всё в рамках одного SPOF^W домена, то могли бы хотя бы воспользоваться всеми доступными инструментами чтобы всё было как надо. Тем более не просто какой-то домен, а такой с которого тысячи или миллионы людей будут скачивать и запускать софт.

     
  • 2.20, пох. (?), 17:55, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    белки-истерички должны страдать.
     

  • 1.37, Big Robert TheTables (?), 11:25, 04/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    python.com доставлял в своё время
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру