A principios de esta semana se produjo un nuevo ataque atribuido al Ejército Electrónico Sirio ( SEA). Durante un periodo de alrededor de seis horas , algunos visitantes a The New York Times, dos servicios de Twitter , y sitios del Huffington Post del Reino Unido fueron redirigidos a favor de Assad contenido web político. Muchas personas asumen naturalmente que estos sitios web de alto perfil han sido hackeados y desfigurado, pero en realidad el ataque era mucho más simple - y los atacantes MAR no tenía necesidad de siquiera tocar un solo servidor que pertenecen a estas organizaciones.
A pesar de ser posiblemente el componente más crítico de la moderna Internet , muy pocas personas entienden realmente cómo y , más concretamente , el mantenimiento de dominio funciona DNS. En los últimos años , creo que las empresas con una importante presencia en Internet han llegado a apreciar algunas de las amenazas que pueden afectar a su infraestructura de DNS, pero aún tienen que invertir en sistemas adecuados y planes de respuesta que va a ayudar a mantener sus sitios y contenidos accesibles en cualquier cosa más que el más ligero toque de un hacker competente.
A diferencia de gran parte de la infraestructura utilizada por las empresas en línea para servir contenido en las transacciones por Internet o de proceso , el registro de DNS y administración de dominio se maneja casi exclusivamente por parte de terceros . En la mayoría de los casos , estos proveedores de registro DNS y dominio saben que su negocio muy bien, pero a menudo hay una gran desconexión entre la seguridad de sus operaciones y las de sus clientes más importantes .
Por ejemplo , para los sitios web que reciben 50,000 -plus de visitantes por día , o procesan más de 1.000 transacciones financieras por hora , puede estar bastante seguro de que se están ejecutando generación actual perímetro sistemas de defensa ( NGFW , IPS , DLP , etc ) , someterse a una revisión periódica de seguridad y extensas y las pruebas de penetración , y se controlan generalmente en tiempo real por un contingente de back-office de los administradores de sistemas experimentados y gerentes de producto - por los negocios propios.
Mientras tanto , DNS está alojado en una tercera parte , el registro del dominio es probablemente gestionado por otra, y ninguna de las defensas de seguridad o sistemas de alerta se alimenta de vuelta al cliente . Ah, y el proveedor de registro de dominios puede ser la misma gente que la empresa es comprado originalmente el nombre de dominio hace 15 años.
Desde la perspectiva de un hacker, ir tras la infraestructura DNS del objetivo o de un portal de gestión de dominio representa un blanco fácil .
Hackear un clúster de servidores Web moderna , subvirtiendo a su causa política , y tener ese mensaje presentado a miles de visitantes del sitio para más de cinco minutos es una tarea difícil. Hackear la infraestructura de alojamiento de un proveedor comercial de Internet o servicio principal es a menudo mucho más difícil. Mientras tanto , la focalización y subvertir un pequeño proveedor de alojamiento DNS o la obtención de las credenciales de administración para el portal de registro de dominio es una propuesta mucho más fácil - el atacante probablemente ni siquiera necesita tocar cualquier sistema de propiedad y operados por su objetivo final . Una vez que las entradas DNS clave han sido alterados, los atacantes pueden parecer que han puesto en peligro los servicios Web de la diana durante horas ( incluso días ) , ya que las entradas actualizadas se propagan por Internet .
Mientras que el efecto final es el mismo , los cortes contra el servidor DNS o el proceso de registro de dominio son técnicamente muy diferente . Hackear un servidor DNS, por un lado, es muy parecida a la piratería de cualquier otro dispositivo de la infraestructura, pero también hay una gran cantidad de vectores de ataque adicionales que se destinen específicamente a las deficiencias en la forma en que la aplicación de base de datos DNS y funciona - en busca de afectar el almacenamiento en caché glitches , explotar vulnerabilidades de servicios DNS, usurpan los controles de acceso administrativos , o simplemente adivinando una cuenta de gestión .
Hackear el sistema de registro de dominio tiende a ser una bestia diferente. En la mayoría de los casos, hacks contra el seleccionado por el sistema en la obtención de las credenciales de acceso del propietario de dominio o administrador. Por ejemplo , en el ataque SEA principios de esta semana , se dice que los atacantes han utilizado un ataque spearphishing contra el personal de un Melbourne IT distribuidor para capturar datos de la cuenta de administrador , y las han usado para editar los campos del servidor de nombres . Al cambiar los campos del servidor de nombres para los dominios específicos, el mar era capaz de redirigir todas las búsquedas de Internet para aquellos dominios de nivel superior (TLD) en particular a los servidores DNS que controlaba , y los servidores DNS , por su parte , respondió a consultas de búsqueda entrantes para hosts (y servicios) asociados con esos dominios de primer nivel con las direcciones IP de los servidores que controlaban - que sirven de contenido político a favor de Assad .
He encontrado constantemente el registro del dominio y el proceso administrativo que se debiliten y fortuita . En las primeras fases de una prueba de penetración , durante la fase de recopilación de información pasiva , es fácil de identificar las debilidades administrativas en los detalles de registro de dominios de incluso una búsqueda WHOIS rápida . Cuando usted comienza a enumerar qué cuentas pueden mantener una entrada de dominio (es decir , a través de la " mnt -by: " tag) , y los que todavía dependen de una contraseña de autenticación protegido por un hash MD5 humildes (es decir , "Autenticación : MD5 -PW ") , que está obligado a mover la cabeza con incredulidad.
Mi consejo para las organizaciones que buscan protegerse de ataques similares a nivel de registro DNS y dominio está , en primer orden, elija un proveedor de DNS y registro de dominios que pueden demostrar que han invertido en el nivel adecuado de los sistemas de defensa del perímetro y estrategias de respuesta - idealmente en un nivel comparable ( o mejor) que el suyo propio. En este árbol de servicio en particular de Internet , usted realmente consigue lo que usted paga.
En segundo lugar, cuando se está evaluando la seguridad de sus sitios web principales y la infraestructura de acceso a Internet , asegúrese de que sus DNS y Registradores de dominio no sólo se incluyen en la información pasiva recopilación etapas, pero también están dentro del alcance de una prueba de penetración o rojo - ejercicio de equipo .
Por último, debe " endurecer " sus procesos de administración de dominio - asegurar que está utilizando la autenticación fuerte y cambiar los procedimientos de control y , cuando sea posible , que haya bloqueado el dominio a través del "registro -lock " y las opciones de " Bloqueo de Registrador " .
Una advertencia , sin embargo: Incluso después de realizar estas acciones, los procesos de mantenimiento de DNS y dominio seguirá siendo uno de los puntos más débiles de su estatura de seguridad de Internet . Se recomienda vigilancia . Reconocer que esto es un continuo punto débil , asegúrese de que usted vigile los cambios de forma continua, y la respuesta a incidentes veterinario planea adecuadamente.
A pesar de ser posiblemente el componente más crítico de la moderna Internet , muy pocas personas entienden realmente cómo y , más concretamente , el mantenimiento de dominio funciona DNS. En los últimos años , creo que las empresas con una importante presencia en Internet han llegado a apreciar algunas de las amenazas que pueden afectar a su infraestructura de DNS, pero aún tienen que invertir en sistemas adecuados y planes de respuesta que va a ayudar a mantener sus sitios y contenidos accesibles en cualquier cosa más que el más ligero toque de un hacker competente.
A diferencia de gran parte de la infraestructura utilizada por las empresas en línea para servir contenido en las transacciones por Internet o de proceso , el registro de DNS y administración de dominio se maneja casi exclusivamente por parte de terceros . En la mayoría de los casos , estos proveedores de registro DNS y dominio saben que su negocio muy bien, pero a menudo hay una gran desconexión entre la seguridad de sus operaciones y las de sus clientes más importantes .
Por ejemplo , para los sitios web que reciben 50,000 -plus de visitantes por día , o procesan más de 1.000 transacciones financieras por hora , puede estar bastante seguro de que se están ejecutando generación actual perímetro sistemas de defensa ( NGFW , IPS , DLP , etc ) , someterse a una revisión periódica de seguridad y extensas y las pruebas de penetración , y se controlan generalmente en tiempo real por un contingente de back-office de los administradores de sistemas experimentados y gerentes de producto - por los negocios propios.
Mientras tanto , DNS está alojado en una tercera parte , el registro del dominio es probablemente gestionado por otra, y ninguna de las defensas de seguridad o sistemas de alerta se alimenta de vuelta al cliente . Ah, y el proveedor de registro de dominios puede ser la misma gente que la empresa es comprado originalmente el nombre de dominio hace 15 años.
Desde la perspectiva de un hacker, ir tras la infraestructura DNS del objetivo o de un portal de gestión de dominio representa un blanco fácil .
Hackear un clúster de servidores Web moderna , subvirtiendo a su causa política , y tener ese mensaje presentado a miles de visitantes del sitio para más de cinco minutos es una tarea difícil. Hackear la infraestructura de alojamiento de un proveedor comercial de Internet o servicio principal es a menudo mucho más difícil. Mientras tanto , la focalización y subvertir un pequeño proveedor de alojamiento DNS o la obtención de las credenciales de administración para el portal de registro de dominio es una propuesta mucho más fácil - el atacante probablemente ni siquiera necesita tocar cualquier sistema de propiedad y operados por su objetivo final . Una vez que las entradas DNS clave han sido alterados, los atacantes pueden parecer que han puesto en peligro los servicios Web de la diana durante horas ( incluso días ) , ya que las entradas actualizadas se propagan por Internet .
Mientras que el efecto final es el mismo , los cortes contra el servidor DNS o el proceso de registro de dominio son técnicamente muy diferente . Hackear un servidor DNS, por un lado, es muy parecida a la piratería de cualquier otro dispositivo de la infraestructura, pero también hay una gran cantidad de vectores de ataque adicionales que se destinen específicamente a las deficiencias en la forma en que la aplicación de base de datos DNS y funciona - en busca de afectar el almacenamiento en caché glitches , explotar vulnerabilidades de servicios DNS, usurpan los controles de acceso administrativos , o simplemente adivinando una cuenta de gestión .
Hackear el sistema de registro de dominio tiende a ser una bestia diferente. En la mayoría de los casos, hacks contra el seleccionado por el sistema en la obtención de las credenciales de acceso del propietario de dominio o administrador. Por ejemplo , en el ataque SEA principios de esta semana , se dice que los atacantes han utilizado un ataque spearphishing contra el personal de un Melbourne IT distribuidor para capturar datos de la cuenta de administrador , y las han usado para editar los campos del servidor de nombres . Al cambiar los campos del servidor de nombres para los dominios específicos, el mar era capaz de redirigir todas las búsquedas de Internet para aquellos dominios de nivel superior (TLD) en particular a los servidores DNS que controlaba , y los servidores DNS , por su parte , respondió a consultas de búsqueda entrantes para hosts (y servicios) asociados con esos dominios de primer nivel con las direcciones IP de los servidores que controlaban - que sirven de contenido político a favor de Assad .
He encontrado constantemente el registro del dominio y el proceso administrativo que se debiliten y fortuita . En las primeras fases de una prueba de penetración , durante la fase de recopilación de información pasiva , es fácil de identificar las debilidades administrativas en los detalles de registro de dominios de incluso una búsqueda WHOIS rápida . Cuando usted comienza a enumerar qué cuentas pueden mantener una entrada de dominio (es decir , a través de la " mnt -by: " tag) , y los que todavía dependen de una contraseña de autenticación protegido por un hash MD5 humildes (es decir , "Autenticación : MD5 -PW ") , que está obligado a mover la cabeza con incredulidad.
Mi consejo para las organizaciones que buscan protegerse de ataques similares a nivel de registro DNS y dominio está , en primer orden, elija un proveedor de DNS y registro de dominios que pueden demostrar que han invertido en el nivel adecuado de los sistemas de defensa del perímetro y estrategias de respuesta - idealmente en un nivel comparable ( o mejor) que el suyo propio. En este árbol de servicio en particular de Internet , usted realmente consigue lo que usted paga.
En segundo lugar, cuando se está evaluando la seguridad de sus sitios web principales y la infraestructura de acceso a Internet , asegúrese de que sus DNS y Registradores de dominio no sólo se incluyen en la información pasiva recopilación etapas, pero también están dentro del alcance de una prueba de penetración o rojo - ejercicio de equipo .
Por último, debe " endurecer " sus procesos de administración de dominio - asegurar que está utilizando la autenticación fuerte y cambiar los procedimientos de control y , cuando sea posible , que haya bloqueado el dominio a través del "registro -lock " y las opciones de " Bloqueo de Registrador " .
Una advertencia , sin embargo: Incluso después de realizar estas acciones, los procesos de mantenimiento de DNS y dominio seguirá siendo uno de los puntos más débiles de su estatura de seguridad de Internet . Se recomienda vigilancia . Reconocer que esto es un continuo punto débil , asegúrese de que usted vigile los cambios de forma continua, y la respuesta a incidentes veterinario planea adecuadamente.