Як читати пошту конкурентів, користуючись їх помилками - і хто, можливо, читає Вашу?
Рейтинг статті: / 6
НайгіршеНайкраще 
Домен-двійникПерш ніж перейти безпосередньо до теми сьогоднішньої колонки, дозвольте маленький уявний експеримент. Уявіть, що Ви - власник корпоративного сайту, з адресою, скажімо, xyz.ru…
І ваша компанія досить велика, щоб з'явився сенс виділити з основного домену кілька дочірніх адрес (a.xyz.ru, b.xyz.ru і т.д.). Нічого незвичайного, вірно? Зрештою, у гігантів на зразок IBM таких субдоменів налічуються десятки, по одному на кожну країну, в якій вона працює, відділи, офіси та інше. Зручно!
Тепер уявіть, що хтось - хай це буде Ваш співробітник або стороння людина - пише електронний лист на корпоративну адресу @a.xyz.ru І трохи помиляється, наприклад, забуває крапку в написанні субдомену. Так що лист надсилається адресі @axyz.ru. Буває, що поробиш! У гарячці робочого дня пропустити таку нісенітницю нескладно. Напевно, якщо зібрати такі помилкові листи разом, за рік навіть для невеликої компанії набереться солідна стопка. Але, увага, запитання: що відбувається з «неправильним» посланням далі?
Його спробують доставити власникові сайту axyz.ru Звичайно, якщо такий домен не зареєстрований, лист повернуть відправникові. Але уявімо на хвилинку, що хтось підметушився і таки зареєстрував axyz.ru Лист потрапить в його руки - і добре, якщо людина не має злого наміру.
Однак для чого ж ще читати чужу пошту? Хіба що з наукової цікавості. Двоє спеців з комп'ютерної безпеки, що заснували компанію Godai Group, зацікавилися долями «неправильних» листів і зареєстрували кілька десятків доменів-двійників (як у нашому прикладі: для a.xyz.ru вони взяли axyz.ru) для компаній зі списку Fortune 500. Спробуйте вгадати, який обсяг кореспонденції з помилкових маршрутів скупчився у них за півроку? Без малого 120 000 листів, загальною вагою в 20 Гбайт!
Як і очікувалося, в перехопленій пошті виявився повний набір смакоти, від паролів до корпоративних серверів та ділової інсайдерської інформації всіх сортів до номерів кредитних карт і інших конфіденційних відомостей про співробітників.
Використання деяких листів легко могло обернутися великими проблемами як для окремих індивідів, так і справжньою інформаційною, або PR-катастрофою для компаній (втім, згадуючи весняний злом Sony PS Network, між інформаційним і PR-катаклізмом хочеться поставити знак рівності).
Типовий приклад електронного листа, який пішов неправильним маршрутом. Автор не допускає навіть думки про те, що його повідомлення може потрапити в чужі руки, так що логін і пароль (схоже, до автодорожньої системиі) йдуть відкритим текстом. Фото Godai Group/Wired.
Найпростіший спосіб використовувати такі листи - продати їх конкурентам (кореспондентка Wired, яка бачила зразки перехоплених послань, наводить кілька зручних прикладів, на зразок перехопленого звіту про антисанітарні умови у відомому ресторані). Але можна поступити і хитріше, втрутившись у листування: приміром, переправляти листи за вірною адресою, міняючи зворотний, щоб отримати відповідь.
Автори дослідження, названого Doppelganger Domains (в буквальному перекладі з англійської: домени-двійники), похмуро жартують: мало того, що ми не робили нічого протизаконного, так і взагалі нічого не робили, просто сиділи і збирали пошту, що надходила. До того ж, абсолютна більшість мимовільних кореспондентів не підозрювали (і навіть не замислювалися) про сумну долю листа, який пішов за неправильною адресою.
Взагалі, експлуатація доменів-двійників для отримання прибутку - трюк не новий. Він давно розвіданий кіберсквотерами, а точніше їх окремим випадком, тайпосквоттерамі (typosquatters, від англ. typo - помилка, і squatter - незаконний поселенець). Останні спеціалізуються на захопленні адрес, які незначно відрізняються від адрес популярних веб-сайтів.
З мільйонів людей, які щодня відвідують той же google.com, напевно знайдуться кілька тисяч, які помиляться при введенні, і замість великої сторінки відомого пошуковика вирушать на gogle.com або goggle.com Розмістивши на сайті-двійника рекламу, можна сподіватися, що деякі відвідувачі клацають на банер. Ну а далі в гру вступає закон великих чисел.
Скласти уявлення про масштаби індустрії тайпосквоттінга можна з наступних цифр. Кожен з перших кількох тисяч найпопулярніших ресурсів Веб оточений майже трьома сотнями сайтів-двійників. А реклама, що розміщується на «помилкових» сайтах, приносить тільки Google, як власнику рекламної мережі, до півмільярда доларів на рік (оцінка дослідників з Гарвардського університету).
Але повернемося до звіту Godai. З двійниками корпоративних сайтів справа йде інакше, ніж з двійниками популярних веб-ресурсів. По-перше, якщо Google відвідують сотні мільйонів людей, то сайт якої-небудь нафтопереробної компанії цікавий значно вужчій аудиторії. По-друге, фахівці Godai закликають зосередитися на субдоменах, які за визначенням залучають ще менше уваги. Врахуйте обидві ці обставини, і Ви зрозумієте, чому левова частка доменів-двійників для великих компаній все ще не зайнята.
Тайпосквоттерам адреси на зразок згадуваного вище axyz.ru нецікаві з причини малої відвідуваності, а власникам компанії XYZ вистачає інших турбот. Звідси і оцінка: кожен третій фігурант Fortune 500 може стати потенційною жертвою атаки з використанням доменів-двійників. Більше за інших на небезпеку наражаються банки і фінансові установи, телекомунікаційні компанії, ІТ-провайдери.
Чим коротше URL, тим менше шанс помилитися при його написанні - і тим менше свободи у зловмисників, які експлуатують помилки в адресах. Але короткі адреси давно розібрані, а наявність субдоменів ще більше полегшує атаку.
Власники популярних веб-ресурсів, навчені сумним досвідом зіткнень з тайпосквоттерами (які поряд з рекламою часто розміщують і різного роду шкідливий софт), принаймні намагаються вирішувати проблему. Погрозами або грошима, в приватному порядку і через суд вони отримують права на домени-двійники (так, gogle.com тепер належить Google). Але для господарів корпоративних сайтів ця турбота поки що здається зайвою. За час експерименту Godai лише одна компанія звернулася до дослідників з вимогою звільнити домен-двійник. І тільки двоє з авторів 120000 «помилкових» листів спробували зрозуміти, куди насправді пішли їх повідомлення.
Але що ж робити? Для початку дослідники рекомендують налаштувати корпоративну пошту, блокувавши відправлення листів на помилкові адреси. Це не вирішить проблеми з вхідною кореспонденцією, але і тут є вихід. Скуповувати всі домени-двійники - божевілля, але виявити зареєстровані й вимагати їх звільнення через стандартну процедуру розв'язання доменних спорів цілком можливо.
Нарешті, варто замислитися, чому великі компанії - що особливо ганебно, навіть ті, кому належить про це пам'ятати: оборонка, комп'ютерна безпека, фінанси - дозволяють своїм співробітникам переправляти конфіденційні відомості (паролі, номери кредиток, копії контрактів і т.п. і т. д.) в незашифрованому вигляді через відкриту всім вітрам електронну пошту. Таке грубе нехтування елементарними нормами безпеки допустимо для середини 90-х, але здається диким в XXI столітті.
Задумайтесь. Тим більше, що в Godai, схоже, не першими натрапили на описану ідею. Реєструючи для своїх дослідів домени-двійники сайтів великих компаній, дослідники виявили, що деякі адреси вже зайняті. Невідомими особами з Китайської Народної Республіки.
(Джерело RU: i-business.ru)
 
>
КнигаНовиниПрактика пошукуПартнериПро нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting