Исследователь «купил» 270 000 доменов.io всего за сто долларов

1 комментарий
Исследователь «купил» 270 000 доменов.io всего за сто долларов

Специалист по безопасности Мэтью Браент получил потенциальную возможность контролировать 270 тысяч доменов .io, сообщает The Register.

Читать далее

Иллюстрация: dev.by

Браент случайно обнаружил, что несколько адресов полномочных серверов доменных имён доступны для регистрации. Он попробовал купить их, и попытка увенчалась успехом. В результате специалист по безопасности оказался владельцем четырёх из семи серверов имён, жизненно важных для функционирования всего домена: ns-a1.io, ns-a2.io, ns-a3.io, и ns-a4.io.

Владельцами всех этих адресов должны выступать операторы домена .io — именно с их помощью происходит преобразование запроса из браузера в публичный IP-адрес для осуществления связи. Контроль над доменами позволяет перенаправлять трафик с любого домена .io на сервер, выбранный злоумышленником.

Хотя Браент сразу же связался с поддержкой и сообщил о найденной бреши, он продолжал контролировать купленные домены в течение суток. Криминальный потенциал этой истории огромен: злоумышленники, получившие контроль над доменами, могли бы провести масштабную акцию по отправке пользователей на подменные сайты и установке зловредного ПО на компьютеры жертв. Неизвестно, как быстро брешь была бы обнаружена, если бы Браент не сообщил о ней.

Ситуация стала возможной из-за несогласованных действий в процессе передачи прав на управление доменом от компании TLD стороннему подрядчику Afilias. В результате последний заблокировал важные домены имён A0.nic.io, B0.nic.io, C0.nic.io, но оставшиеся четыре домена оказались доступны для регистрации. 

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

hoster.by пытался взломать dev.by
hoster.by пытался взломать dev.by

hoster.by пытался взломать dev.by

Разработчики сайта были к этому готовы: hoster.by тестировал нас на проникновение, три дня искал уязвимости в системе безопасности. Теперь рассказывает, что удалось и как не попасть под хакерскую атаку.
13 комментариев
Чем опасна удалёнка? 6 советов, как защитить себя и коллег
Чем опасна удалёнка? 6 советов, как защитить себя и коллег

Чем опасна удалёнка? 6 советов, как защитить себя и коллег

Планы обеспечения непрерывности бизнеса и восстановления после сбоев разрабатываются для тех случаев, когда организации необходимо быстро приостановить процесс нормальной работы из офиса в случае возникновения факторов, которые могут сделать небезопасным перемещение сотрудников к месту работы — отключение электричества, распространение болезней или стихийное бедствие. Такой план должен включать в себя возможность быстрого перевода сотрудников на удаленный формат работы.
«13 тыс. атак». Как Group-IB будет бороться с киберпреступностью в 2020
«13 тыс. атак». Как Group-IB будет бороться с киберпреступностью в 2020

«13 тыс. атак». Как Group-IB будет бороться с киберпреступностью в 2020

1 комментарий
Cloudflare собирает бесплатные инструменты для удалённой работы
Cloudflare собирает бесплатные инструменты для удалённой работы

Cloudflare собирает бесплатные инструменты для удалённой работы

1 комментарий

Обсуждение

2

Заголовок всё-таки довольно серьёзно бьётся с содержанием.

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже