Co jakiś czas przez różnorakie portale i listy dyskusyjne przewija się temat „kradzieży domen”. Proceder ten polega na tym, że na skutek działań przestępców zainteresowanych nielegalnym zarobkiem, abonent (właściciel) domeny w pewnym momencie traci nad nią kontrolę.

To zarabianie może odbywać się w dwojaki sposób: dokonuje się zmiany danych właściciela domeny (kradzież samej domeny) lub dokonuje się przekierowania domeny na inny serwer (kradzież „ruchu” generowanego do prawdziwej strony).

W pierwszym (1) wypadku po takiej zmianie danych sprawca sprzedaje „ukradzioną” domenę osobie trzeciej, zazwyczaj nieświadomej całej sprawy. W drugim (2) wypadku, sprawca/sprawcy przekierowują domenę na inny serwer, używając do tego np. oprogramowania typu malware, aby zarazić komputery niewinnych osób które nieświadomie wchodzą na taką fałszywą stronę.

Dzisiaj przeznaczę miejsce na blogu sytuacji drugiej (2). Kradzież domen w celu odsprzedaży (1) opiszę innym razem, tym bardziej że w Polsce, mechanizmy dla domen .pl (w przeciwieństwie do domen .com) wdrożone przez NASK i Partnerów NASK, dają już teraz wysoki poziom ochrony przed takimi przestępstwami.

Przekierowywanie domen na inny serwer (1)

Opisywany przez „Washington Post” na początku grudnia przypadek CheckFree.com (strona obsługująca płatności on-line; usługi dla 25 mln. klientów) jest klasycznym sposobem przejęcia kontroli nad domeną. Po (prawdopodobnym) włamaniu na komputer osoby, która posiada hasło dostępu do panelu Registrara, przestępcy logują się „w imieniu” swojej ofiary a później dokonują zmiany delegacji na uprzednio przygotowaną (fałszywą) stronę, na której znajduje się malware. W tym wypadku był to malware, ale innym, typowym sposobem jest bezpośrednio wykradanie haseł dostępu do np. bankowości elektronicznej i wykorzystywanie ich przez przestępców już na prawdziwej stronie banku lub innej instytucji finansowej

Podobny problem jak CheckFree.com może także dotknąć banki, choć trudno sobie wyobrazić, że hasła dostępu do panelu kontrolnego dla domeny banku, znajdują się niezabezpieczone np. na komputerze pracownika! Niestety w Polsce mieliśmy już raz wypadek (kilka lat temu), kiedy pracownik dużego banku (z pierwszej piątki w Polsce!), bez zachowania procedur wewnętrznych, dokonał transferu domen do innego registrara. Więc jak widać wszystko jest możliwe...

Pytanie też, czy bank, dokonując zmian danych dotyczących swoich domen, wykorzystuje proste mechanizmy user/password, czy też bardziej zaawansowane, np. z hasłami jednorazowymi? Jeśli cały proces bazuje na logowaniu przez pracownika Banku w panelu Registrara za pomocą tych dwóch statycznych elementów (user/password), to bezpieczeństwo banku i jego klientów jest bardzo (!) zagrożone.

Pamiętajmy, że po zmianie danych dotyczących domeny (np. przekierowaniu jej na inne serwery), taka zmiana w DNS jest widoczna (dotyczy DNS w Polsce) nie później niż 5 minut po dokonaniu zmian. Po co więc włamywać się do banku, podmieniać stronę itd, skoro można w prosty sposób przekierowac domenę na inny adres? I tak też było w wypadku CheckFree.com (i wielu innych domen w ten sposób zaatakowanych na przestrzeni ostatnich lat) – strona CheckFree.com była nienaruszona, ale pojawiła się druga, tym razem fałszywa. Osoby odpowiedzialne za bezpieczeństwo systemu (np. płatności on-line) mogą zrobić wszystko co jest możliwe, ale jeśli klienci będą trafiali na fałszywą stronę, to żadne zabezpieczenia banku nie będą miały już wtedy sensu.

Mam jednak nadzieję, że nasi bankowcy dobrze zabezpieczyli swoje domeny oraz pamiętają o opłacie za przedłużenie domen w terminie – bo to wielki wstyd, kiedy domena banku przestaje nagle działać, tylko dlatego że ktoś zapomniał zapłacić kilkudziesięciu złotych...

I na koniec rada dla abonentów domen – pilnujcie swoich (wartościowych) domen: strzeżcie swoich haseł lepiej niż porfela!

A wszyscy pamiętajmy, że jeśli wchodzimy na stronę na której dokonujemy transakcji finansowych, należy zawsze sprawdzać czy dana strona ma poprawny certyfikat SSL. No i wystrzegać się tych instytucji finansowych, które posługują się podstawowymi certyfikatami SSL. Obecnie standardem jest certyfikat tzw. Extended Validation (EV), a jak on wygląda można się przekonać wchodząc chociażby na stronę BRE Banku czy PKO BP.

Słowniczek dla początkujących:

Registrar – podmiot obsługujący w imieniu klienta domenę (np. Home.pl), wprowadzając zmiany w centralnym rejestrze (np. w rejestrze prowadzony w NASK dla domen .pl);

Przekierowanie domeny (inaczej zmiana delegacji) – zmiana danych technicznych domeny w DNS, np. serwerów nazw. Dzięki zmianie delegacji, informujemy klientów, że daną domenę obsługują już inne serwery bo np. doszło do zmiany dostawcy usług hostingowych.

Certyfikat SSL – umożliwia potwierdzenie tożsamości strony (czyli dowiadujemy się kto jest właścicielem danej strony) przez stronę trzecią (zaufaną) np. VeriSign, Thawte itd.

Strona tego bloga