Налаштування DNS-сервера за стандартами безпеки Північної Кореї

image

Мені страшно уявити, з яким стресом пов'язана робота ІТ-фахівців Кім Чен Ина, так як він, швидше за все, з тих керівників, які весь час спостерігають за твоєю роботою з-за плеча, постійно стосуються екрану і з недобрим виразом обличчя натякають на «зникнення» всіх твоїх родичів у трьох поколіннях, якщо при розгортанні виправлень буде допущена хоча б одна помилка.

Ми часто чуємо про витік даних з великих компаній, державної підтримки хакерів і розробки нестандартних методів шифрування, однак необхідно визнати, що причиною більшості виникають щодня проблем безпеки є банальні помилки в конфігурації системи.


Так і сталося з кореневими серверами DNS Корейської Народно-Демократичної Республіки (КНДР). З-за випадкової помилки в конфігурації будь-який користувач Інтернету міг запитати в домену вищого рівня повний список підключених до Інтернету серверів:
github.com/mandatoryprogrammer/NorthKoreaDNSLeak

image

Приємного в появі такої проблеми безпеки, звичайно, мало, але її все ж не можна назвати значною, так як вона не відкрила доступ до будь-яких систем. Були розкриті лише відомості про те, що ці системи існують.

У зловмисників, які зламували мережі, є безліч способів виявити внутрішні вузли в цих мережах, тому не можна сказати, що опинилися в загальному доступі дані були особливо таємними або конфіденційними. Однак є два фактори, які змушують серйозно задуматися над цим інцидентом.

Перше: це безумовно не було результатом атаки нульового дня на державу з боку елітної «червоної команди».

Друге: мережа КНДР складається всього з 28 серверів. Якщо б не цей факт, таке розкриття даних навіть у новини б не потрапило (хоча, відверто кажучи, мережа країни, в якій менше вузлів, ніж в мережі дрібної страхової компанії з Середнього Заходу, викликає тільки сміх).

Співпереживання ситуації викликає її буденність: це могло статися при реалізації практично будь-якого ІТ-проекту в компанії будь-якого розміру, будь-якої галузі і будь-якої країни.

  • Судячи з усього, фахівці КНДР намагалися перенести конфігурацію DNS на додатковий сервер або створити там її резервну копію. Точно так само це могли робити, аби не допустити відключення своїх сайтів при спробі створити подвійне підключення служб DNS до них.

  • Проблема була виявлена автоматичною системою, яка постійно відправляє запити на передавання зони всім доменам вищого рівня і багатьом корпораціям. Справжній подарунок для зловмисника.

  • Це у вищій мірі _незначительная_ проблема, яку неможливо помітити з боку. Ніхто не буде звертатися в службу підтримки з приводу раптово з'явилася можливість передавати зони поза мережі.
Перевірити, чи не була карта вашої мережі випадково експортована в Інтернет, дуже легко.
Якщо у вас включена передача зон DNS, до яких можна отримати доступ із зовнішнього адреси, виконайте такі дії.

За допомогою службової програми dig запустіть на комп'ютері поза мережі таку команду:
dig axfr yourdomain.com (довільний сервер імен). Ви повинні отримати відповідь Transfer Failed (Помилка передачі):

image

При відсутності доступу до dig можна скористатися інтернет-сканером: hackertarget.com/zone-transfer.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.