Координационный центр доменов .RU/.РФ (КЦ) изучил проблемы, связанные с перехватом трафика и подменой имен в Рунете. Эксперты заключили, что в настоящий момент в российском доменном пространстве нет серьезных угроз, способных нарушить работу веб-ресурсов. Результаты исследований размещены на информационно-аналитическом портале «Нетоскоп», который публикует данные о борьбе с сетевыми киберугрозами.

Первая работа посвящена подмене DNS-зон в результате перехвата управления адресацией в доменах второго уровня, размещенных в зонах .RU, .РФ и .SU. Это становится возможным при возникновении ошибок делегирования — отнесения доменных имен к некорректным серверам (NS, name server).

Как пояснили авторы, каждую доменную зону поддерживает собственный набор из двух и более NS. Их контроль организован через сохранение в вышестоящей зоне DNS записи с соответствующими символьными именами. Например, имя test.ru может быть делегировано на серверы ns1.example.com и ns2.example.com.

В практике управления доменами встречаются ситуации, когда посторонние лица могут перехватить один или несколько серверов имен. В приведенном выше примере злоумышленник может дождаться окончания действия домена example.com и зарегистрировать его на себя. Записи делегирования, сохраненные в вышестоящей зоне DNS, при этом не меняются, что открывает новому администратору доступ к управлению test.ru.

Ситуацию усугубляет тот факт, что в большинстве случаев настройки DNS перед делегированием не проверяются. Кроме того, даже самый строгий контроль не защищает администраторов от опечаток, которые могут ошибочно отнести ту или иную зону к «чужому» NS. В этом случае неточность может оставаться незамеченной сколь угодно долго, пока технический сбой не выведет сервер из строя, обвалив привязанный к нему сайт и заставив администраторов проверить настройки.

Эксперты применили собственную методику, чтобы установить риск неправомерного контроля над именами второго уровня в российских доменах. Как выяснилось, этой угрозе подвержено не более 1% сайтов Рунета.

Второе исследование рассматривает проблему перехвата электронной почты в результате подмены имен MX-серверов (mail exchanger). Специалисты проанализировали ситуацию в доменах .RU, .РФ, .SU, .MOSCOW, .TATAR, .ДЕТИ, .МОСКВА.

Техника, о которой пишут авторы, использует один из базовых механизмов электронной почты, который позволяет серверам корректно адресовать поступающие сообщения. В каждой доменной зоне за распределение писем отвечают релеи, прописанные в специальных DNS-записях. Администраторы могут выделить для этой задачи несколько серверов, у каждого из которых будет свой приоритет.

Создатели этой технологии также не предусмотрели защиту от человеческой ошибки. Если администратор зоны example.com указывает в качестве релея имя mx.exanple.com и если такой узел есть в DNS, то вся входящая почта будет доставляться именно туда.

При отсутствии указанного сервера в DNS преступник может перехватить почтовый трафик. Для этого ему достаточно зарегистрировать соответствующий домен и разместить в нем MX-запись. Далее злоумышленник может, например, прочитать конфиденциальную информацию или выпустить поддельные TLS-сертификаты.

Эта угроза оказалась еще менее существенной для Рунета — специалисты признали уязвимыми менее 0,01% доменных имен с почтой. Эксперты подчеркивают, что вероятность атаки маленькая, поскольку эти адреса распределены по различным MX-именам.

«Исследования 2018 года продемонстрировали, что принимаемые Координационным центром доменов .RU/.РФ и Техническим центром Интернет меры по обеспечению безопасности российских национальных доменов положительно влияют на общий уровень безопасности [Рунета] в целом», — подытожил директор КЦ Андрей Воробьев.

Категории: Аналитика, Главное, Кибероборона