Главная » 2010 » Июнь » 13 » Сотни доменов в зоне RU оказались "угнанными"
10:21
Сотни доменов в зоне RU оказались "угнанными"
Хостинг-провайдер Net Angels сообщает о массовом "угоне" доменов зоны
RU, зарегистрированных через регистратора RU-CENTER: c 3 по 6 июня
неизвестные злоумышленники получили контроль над несколькими сотнями
доменов. Как стало известно "Вебпланете", из числа клиентов Net Angels пострадало
лишь несколько десятков человек, а вот от каждого из более крупных
провайдеров подобным образом ежесуточно "утекают" десятки доменов - эта
информация подтверждается через сервис stat.nic.ru. Таким образом,
очевидно, что общий счет идет на сотни. Провайдер описывает и схему, которой пользуются киберпреступники
(аналогичная процедура массового "угона" доменов была не раз подробно
описана в Интернете, но данный случай несколько отличается). Для начала
злоумышленники находят домены, зарегистрированные на электронные адреса
на mail.ru и bk.ru. Затем из полученного списка выбираются
неиспользуемые и освобожденные адреса, после чего преступники
регистрируют освободившиеся ящики на себя и запрашивают восстановление
пароля на сайте nic.ru.
Получив доступ к управлению доменом,
киберпреступники заменяют NS-ы для каждого домена на новые вида
ns1.имядомена.ru и ns2.имядомена.ru. Причем, оба сервера указывают на
IP-адреса в подсети 62.122.75.0/24. Именно по этим признакам можно
идентифицировать "захваченные" домены.
Ключевым отличием данной
схемы является то, что NS-ы злоумышленников для начала перенаправляют
запросы к реальным серверам хостинг-провайдера, а потому владелец домена
может вообще не заметить, что произошло неладное. В дальнейшем же в
любой произвольный момент весь трафик со всех "захваченных" доменов
может быть переадресован на сайты злоумышленников.
Некоторые
провайдеры уже отреагировали на ситуацию, не только известив своих
клиентов о проблеме, но и закрыв трафик с указанных прокси-серверов,
чтобы не допустить утечки логинов и паролей посетителей и
администраторов пострадавших сайтов.
Стоит подчеркнуть, что речи
о краже в буквальном смысле этого слова здесь не идет - домены остаются
зарегистрированными на своих настоящих владельцев, поскольку для
передачи домена другому лицу требуется бумажное заявление.
На
извечный вопрос "кто виноват" в данном случае ответить не так уж легко. С
одной стороны, следить за актуальностью регистрационной информации -
прямая обязанность владельца домена. С другой стороны, идея компании
Mail.ru удалять неиспользуемые ящики и делать их вновь доступными для
регистрации сама по себе довольно ущербна. К тому же, далеко не каждый
юзер хорошо знаком с правилами пользования ресурсом, а потому многие
даже не подозревают, что их ящик после некоторого простоя может быть
захвачен любым желающим на совершенно законных основаниях.
RU-CENTER,
предоставляющий клиентам возможность указывать два нэйм-сервера из
одной и той же подсети также открывает этим двери для подобных
злоупотреблений. Кстати, представители регистратора пока никак не
прокомментировали сложившуюся ситуацию.
(Обновлено 8.06 в 12:40)
Представители регистратора подтвердили "Вебпланете", что о проблеме им
известно. "Мы подготовили и реализовали технические меры защиты от
массового угона доменов", - заявляет также директор департамента по
связям с общественностью RU-CENTER Андрей Воробьев. На сайте
регистратора опубликован официальный комментарий в связи с инцидентом.