07 września 2010

Ach te domeny, czyli czasem warto powtórzyć podstawy

wtorek, września 07, 2010 | Autor: \m/ojtek
Dziś rano otrzymałem bardzo intrygującą informację na temat rzekomego zhackowania globalnej usługi WHOIS. Widząc już oczyma wyobraźni bardzo interesujący wpis na tenże temat, w systemie Linux BackTrack 4R1 wydałem proste polecenie: whois microsoft.com. Oprócz oczekiwanych informacji na temat domeny microsoft.com, moim oczom ukazały się wpisy bezpardonowo kpiące z giganta z Redmond. Świetnie, mamy sensację...

Chodzi o następujące informacje zwrócone przez polecenie whois microsoft.com:
Na pierwszy rzut oka może to wyglądać tak, jakby ktoś powiązał te kompromitujące wpisy z domeną microsoft.com, która sama rzeczywiście również występuje pośród zwróconych wyników. Jest to oczywiście kompletna bzdura.

Wpisy typu:
  • Server Name: MICROSOFT.COM.SHOULD.GIVE.UP.BECAUSE.LINUXISGOD.COM
nie mają nic wspólnego z domeną microsoft.com, jak i z samym gigantem z Redmond. Wynika to po prostu z faktu, że narzędzie whois oprócz informacji dotyczących poszukiwanej domeny, wyświetla również spełniające zadany warunek rekordy NS (name server record). Stąd zaskakujące nazwy to tak naprawdę jedynie nazwy serwerów nazw związane z domenami nie mającymi zupełnie nic wspólnego z Microsoftem.

Jak się okazuje, powyższy nietypowy atak polegający na celowym zarejestrowaniu nazw mających się później pojawiać w odpowiedziach na typowe zapytania WHOIS jest już znany od bardzo dawna. Od tak dawna, że już mało kto pamięta, że jest to tzw. humorous DNS non-hack znany już od co najmniej 10 lat...

Skoro już wszyscy zgadzamy się, że to nie Microsoft zarządza nazwą:
  • MICROSOFT.COM.SHOULD.GIVE.UP.BECAUSE.LINUXISGOD.COM
oraz, że wpis ten nie ma nic wspólnego z wpisami w bazie WHOIS dotyczącymi microsoft.com, to przyjrzyjmy się kilku innym przypadkom.

Rozważmy kilka adresów internetowych:
  • http://www6.microsoft.com
  • http://microsoft.redmond.com
  • http://147.46.236.55/microsoft/microsoft.html
  • http://www.microsoft-pl.com
  • http://microsoft.com.ms.pl
  • http://wwwmicrosoft.com
  • http://www-microsoft.com
Pytanie brzmi, które z powyższych nazw mogą być rzeczywiście powiązane z Microsoftem, a które tylko starają się pod firmę z Redmond podszyć? Okazuje się, że rozpoznanie domen próbujących nas wprowadzić w błąd czasem wcale nie jest takie oczywiste. Zabiegi podobne do powyższych są więc często stosowane w celu zmylenia internautów i zachęcenia ich do odwiedzenia odnośników prowadzących tak naprawdę do złośliwych witryn internetowych (np. witryn phishingowych).

Osobiście, w ramach pokuty, wybrałem się na korepetycje do sympatycznej rybki o imieniu Phil, dzięki której możemy sobie przypomnieć podstawowe triki twórców zwodniczych domen i adresów internetowych:


Jeśli którykolwiek z powyższych adresów budzi Twoje wątpliwości, również powinieneś odwiedzić Phila!

Etykiety: ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.