Дейв Пищителло, старший технический специалист Отдела безопасности ICANN
Diigo — это социальная служба комментирования и закладок, которая ежедневно используется миллионами частных лиц, преподавателей и студентов для управления и обмена информацией, проведения исследований и совместной работы. 24 октября злоумышленник получил контроль над учетной записью домена Diigo в базе регистратора. Домен был перехвачен и попал в руки злоумышленника. При этом почти пять миллионов человек в течение более двух дней не могли использовать сервисы Diigo. Организация TechCrunch опубликовала подробный отчет об этом происшествии, который должен стать отрезвляющим напоминанием для любого лица, регистрирующего домен: ваше доменное имя является жизненно важным компонентом вашего присутствия в Интернете, и вы должны принимать меры для постоянного контроля над ним и защиты от атак, способных прервать предоставление ваших услуг, препятствовать исследовательской работе, стать причиной материального ущерба или ущерба для репутации.
Перехват доменов – явление не новое. Консультативный комитет ICANN по безопасности и стабильности (ККБС) впервые информировал об этой угрозе в 2006 году, в своем первом докладе по вопросам перехвата доменов [PDF, 400 КБ] . За период, прошедший после 2006 года, ККБС и сотрудники Отдела безопасности ICANN рекомендовали ряд мер, которые следует принимать владельцам регистраций для защиты своих учетных записей регистрации доменных имен, и варианты помощи в этом со стороны регистраторов (SAC040, SAC044).
Происшествие с доменом Diigo охватывает такие аспекты, как компрометация учетной записи пользователя, шантаж и несанкционированная передача домена. Помимо других рекомендованных мер, в упомянутых отчетах подчеркивается важность защиты учетных данных (имен пользователей и паролей), которые не должны быть легко угадываемыми или легкодоступными при использовании методов социальной инженерии. Помните: любое лицо, имеющее доступ к вашим учетным данным, вы сами, сотрудники, предоставляющие услуги хостинга для вашего веб-сайта, персонал регистратора может стать целью и жертвой психологической атаки.
В отчетах также разъясняется важность использования «блокировок» для предотвращения несанкционированной передачи. В других докладах ККБС описываются возможные способы перехвата доменного имени путем фишинговой атаки [PDF, 50 КБ]: когда злоумышленник, выдающий себя за регистратора, заманивает клиента регистратора на поддельную копию страницы входа, где клиент, не сознавая этого, раскрывает свои учетные данные злоумышленнику, который затем может сменить владельца или сам стать владельцем доменных имен, принадлежавших этому клиенту.
Наш «краткий список» мер, которые должны быть приняты всеми владельцами регистраций для защиты своих доменных имен от перехвата ил других атак, включает следующее:
- Защитите учетные данные регистрации доменных имен. Большинство порталов регистраторов защищено паролем, поэтому создайте надежные пароли и обеспечьте их безопасность. Также можно найти регистратора, предлагающего многофакторную аутентификацию (например, токены).
- Используйте протокол SSL (HTTPS) при доступе к учетной записи регистрации своего доменного имени.
- Использование услуг регистраторов, аккредитованных ICANN. Запрашивайте у регистраторов документы, подтверждающие репутацию и качество обслуживания. Если вы недостаточно удовлетворены своим регистратором, можно и нужно рассмотреть возможность передачи своего доменного имени лицу, которому вы доверяете.
- Попросите регистратора применить к вашим доменным именам блокировки регистратора. Блокировки (официальное название – коды состояния) предотвращают изменение регистрационных записей доменных имен и препятствуют попыткам передачи или удаления ваших доменных имен (см. документ SAC044, стр. 22-23). Ряд операторов реестров ДВУ предлагает блокировку на стороне реестра для предотвращения случайных изменений учетных записей в реестре. Эта услуга предлагается дополнительно к услугам блокировки на стороне регистраторов и часто включает возможность поддержки вручную (1, 2).
- Обратите внимание на «повседневную» корреспонденцию регистратора, поскольку она может оказаться фишинговыми сообщениями. В этих сообщениях электронной почты фишеры часто используют HTML для внедрения зловредных ссылок в ссылки, кажущиеся безвредными или «безопасными». Не нажимайте гиперссылку; вместо этого введите ее вручную.
- Постоянно контролируйте информацию о домене в системах WHOIS и DNS. Регулярно проверяйте сведения в обеих системах, чтобы обнаружить любые несанкционированные или подозрительные изменения (см. документ SAC044, стр. 20-22).
- Поддерживайте конфиденциальность, безопасность и возможность восстановления учетных данных владельца регистрации доменного имени.
Для получения дополнительной информации можно также ознакомиться со следующими полезными статьями:
Меры защиты регистрационных записей доменных имен и DNS (Университета) от атак
http://securityskeptic.typepad.com/the-security-skeptic/2011/07/measures-to-protect-university-domains-against-attacks.html
Подкаст: Как защитить учетные записи регистрации доменов от атак или неправомерного использования
http://securityskeptic.typepad.com/the-security-skeptic/2011/02/podcast-how-to-protect-your-domain-registration-accounts-against-attack-or-misuse.html
Для чего необходимо включить пункт «Защита доменного имени» в перечень мер безопасности
http://www.networkcomputing.com/data-protection/why-you-need-to-add-protect-domain-name/229616011
Способы самозащиты от лиц, занимающихся перехватом доменных имен
http://www.informationweek.com/how-to-protect-yourself-against-domain-n/170000337
Желаете зарегистрировать доменное имя? Простые советы потребителям
http://blog.consumerwebwatch.org/2007/12/want_to_register_a_domain_name_1.html
Десять важнейших аспектов, которые необходимо учитывать при регистрации доменного имени
http://www.consumerwebwatch.org/pdfs/domainname.pdf