ארכיון תגיות: dns

להפיל אתר ולנוח

ידיעה קטנה שהתפרסמה באתר כלכליסט ובהמשך גם בטמקא (אם לא קראתם אותן כדאי מאד שתעשו זאת עכשיו, מאחר וזה פוסט תגובה) מבשרת לנו כי מספר אתרים נפלו קורבן להתקפה מצד פורצי אתרים אירניים, שחיבלו בשרת ה־DNS והפנו את התעבורה של טוויטר לאתר משלהם המציג מסרים בגנות ארה"ב. לא אתפלא אם הפריצה בוצעה בידי צוות אנשי מחשבים הנאמנים לשלטון האירני, בין היתר כדי להזהיר את המערב ואת מפעילי אתר Twitter בפרט בפני נקיטת עמדה הנוגדת את דעת השלטון האירני ותמיכה בנסיון ההפיכה באירן.

פריצה לשרתי DNS שונה מפריצה לאתר עצמו; בעוד פריצה לאתר עשויה להסתכם במסר שישלח לכלל המשתמשים או בכזה שיושתל בדף הראשי, פריצה לשרת ה־DNS מאפשרת ניתוב הגולשים לאתר חלופי, או במקרים מסויימים ביצוע הפניה סלקטיבית כדי לטשטש את העובדה שבוצעה פירצה באתר, כך שכל תעבורת הדואר האלקטרוני הנכנס לשם המתחם, למשל, תועבר דרך שרת אחר שיסנן את ההודעות וינסה לאתר בהן תוכן בעל מסר משמעותי לגורם שחיבל באתר. להמשיך לקרוא

רישומי שמות המתחם של דומיין דה נט חשופים להשתלטות?

ידיעה שעלתה הבוקר ב־ynet בישרה רעות ללקוחות אחד הבנקים הגדולים בארץ, ולאתרים נוספים כגון האתר האנגלי של ynet. מסתבר כי מישהו חיבל בשרתים של רשם הכתובות Domain The Net והגולשים הופנו לאתר בגנות ישראל במקום לאתר המבוקש.

שם המתחם של בנק דיסקונט נחטף. צילום מתוך ynet

שם המתחם של בנק דיסקונט נחטף. צילום מתוך ynet

מה שקרה בפועל הוא שהאתרים שנפרצו נרשמו בעבר דרך חברת Domain The Net, והוגדרו להם שרתי שמות בשליטת הגופים הרלונטיים. בנק דיסקונט, עם כל הכספים שהוא יוציא על אבטחת האתר והמערכות הנלוות, ועם כל מומחי האבטחה שהוא יעסיק לא יוכל למנוע השתלטות על הדומיין אם הפריצה הייתה בצד של הרשם שלו.

חברת דומיין דה נט כשלה באבטחת המערכות שלהם, ומישהו הצליח להיכנס לרישומים שלהם. גם אם נצא מנקודת הנחה שהפריצה לא הייתה לכלל מאגר השמות אלא נקודתית לכתובות מסויימות (bankdiscount.net, ynetnews.com ואולי עוד מספר אתרים שלא ידוע לנו כרגע שנפרצו באותה השיטה), יש פה פוטנציאל למחדל. כיצד רשמי השמות שלנו שומרים עלינו מפני סכנת גניבת בעלות על הכתובת? כיצד אשן בשקט אם בכל רגע גורם עויין יכול להשתלט על הכתובת שלי ללא ידיעתי ואישורי?

כאשר שרת האיחסון נפרץ ומושחת, בעלי האתרים יכולים לשחזר אותו מגיבוי ולסגור את הפרצה דרכה נכנסו הפורצים. הכתובת עצמה נשארת בבעלות שלהם, והם יכולים בכל רגע נתון להעבירה לשרת אחר מאובטח ומוגן יותר. להבדיל, כאשר גורם עויין משנה את פרטי הבעלות על הכתובת אצל הרשם עצמו, הוא הופך להיות הבעלים על הכתובת, והבעלים החוקיים למעשה ננעלים בחוץ ללא שום יכולת הגנה והתאוששות מהירה. למעשה, כלל לא בטוח שתהיה לו יכולת להוכיח את בעלותו על הכתובת בפני נציגי הרשם בפרק זמן סביר.

ואיך בכלל התאפשר לרשם הכתובות להיפרץ? האם סייבר-טרוריסטים עשו Brute Force Attack מול האתר של Domain The Net עד שהם הצליחו לגלות את סיסמת הגישה לחשבון של כל אתר ואתר? האם הם הצליחו לעשות זאת, איך שום מערכת אצל דומיין דה נט לא זיהתה את הסכנה מבעוד מועד וחסמה את הגישה שלהם בזמן?

והכי מדאיג – איך זה שלחברת דומיין דה נט לא מתפרסמת במקום בולט בדף הראשי באתר ההבטחה שלהם לאבטחת המערכות שלהם בפני השתלטות, אבל יש להם את האומץ לנסות ולמכור לנו שירות "אבטחת מותג"?

Email server details auto-discovery

One of the most annoying problems with desktop mail clients are its painful first time configuration. Even while most of our computer software are plug&play, mail clients are not, and even the advanced User would refer to gmail help to configure his gmail account with IMAP in Thunderbird mail client.

My personal PDA (Windows Mobile 2005) has one feature I was missing in other mail clients – it has an auto-discovery feature which let me define my mail accounts without requiring me to enter any detail other than my email address for that account.

How it can be made? It is not a rocket science; all you have to do is to create a centralized server capable of storing server addresses for each domain, and than each user will query for details from the account creation wizard . That's how Microsoft did that for my PDA client.

Mozilla Thunderbird currently have a way for mail service providers to put their configuration in advanced in the account wizard. You can define your gmail (POP) account with just few clicks, and can install other providers right from AMO. But still you have to manually install a specific addon in order to use your own mail account in your company, and that extension will be used just once – only for the account wizard.

ISP Account Wizard

But that's not all, let's make it distributed! Managing records for each domain and email provider worldwide is a hard, and even if we have the mechanisms to power the database we need somehow to authenticate the domain owners to let them change their records.

Thanks to DNS SRV records, domain owners can define custom services available at their domain, much like how MX records used to define the location of the SMTP server. Currently Jabber/XMPP and SIP are the most dominant services in SRV records.

$ nslookup -type=srv _xmpp-client._tcp.gmail.com
Non-authoritative answer:
_xmpp-client._tcp.gmail.com service = 5 0 5222 talk.l.google.com.
_xmpp-client._tcp.gmail.com service = 20 0 5222 talk1.l.google.com.
_xmpp-client._tcp.gmail.com service = 20 0 5222 talk2.l.google.com.
_xmpp-client._tcp.gmail.com service = 20 0 5222 talk3.l.google.com.
_xmpp-client._tcp.gmail.com service = 20 0 5222 talk4.l.google.com.

Jabber configuration for Gmail users

In order for mail providers to be able to do the auto-discovery magic we would need to define keywords for IMAP and POP for SRV RR, and to develop small changes in the mail client programs. It's not that hard if we count all the calls to the ISPs by novices just to ask them how to configure the client.

For example, if the incoming mail server of example.com sits in mail.example.com, we should have valid DNS SRV record for _imap._tcp.example.com pointing to mail.example.com:imap.

I've filled a bug report in Mozilla for this issue. You are more than a welcome to track that page.