Називи домена представљају основу на којој интернет функционише. Када говоримо о заштити информационих система на интернету веома мали број људи размишља о називима домена и DNS систему.
Талас напада базираних на злоупотреби DNS‑а током последњих годину дана се наставља, без обзира на ширење информација и јачање свести о начинима реализације напада. Извештаји компанија које се баве безбедношћу показују да је у претходних годину дана више од половине успешних напада извршено манипулацијом DNS‑а и крађом домена.
Темељ глобалне мреже
Укратко, систем назива домена, DNS, је једна од базичних услуга на интернету. Она преводи за људе читљиве називе домена у IP адресе које су неопходне рачунару да успостави комуникацију са другим рачунарима широм глобалне мреже. Крађа домена је у ствари фалсификовање DNS записа, што као резултат даје да назив домена упућује на IP адресу коју контролише нападач.
Циљеви крађе домена разликују се од случаја до случаја, али злонамерни актери ову тактику најчешће користе за преусмеравање веб или саобраћаја е‑поште ка серверима које они контролишу ради:
- Прикупљања осетљивих података од корисника назива домена;
- Прикупљања креденцијала за приступ другим сервисима;
- Испоруке злонамерног софтвера;
- Преусмеравања и прикупљања порука е‑поште.
Назив домена може бити украден на неколико начина, али је најчешћи и често најједноставнији, преузимање контроле над налогом корисника код овлашћеног регистра (компаније преко које је домен регистрован) или код хостинг провајдера, чије системе велики број корисника користи за управљање DNS записима за своје називе домена.
Анализа напада који су се догодили у последњих годину дана показује да су, на пример, нападачи променили DNS записе за mail.gov.ae, који обрађује е‑пошту владине канцеларије Уједињених Арапских Емирата. Има још занимљивих примера крађе домена:
shish.gov.al – Државна обавештајна служба Албаније
e‑albania.al – Портал за веб приступ е‑управе Албаније
mail.asp.gov.al – Сервер е‑поште за албанску државну полицију
gid.gov.jo – Централна обавештајна служба Јордана
mail.mfa.gov.eg – е‑пошта Министарства спољних послова Египта
mod.gov.eg – Министарство одбране Египта
vebmail.finance.gov.lb – Сервер е‑поште за Министарство финансија Либана
mail.dgca.gov.kv – Сервер е‑поште Бироа за цивилно ваздухопловство Кувајта
adpvpn.adpolice.gov.ae – VPN приступ за полицију у Абу Дабију
ova.gov.ci – Outlook веб приступ Владе Кипра
mail.cyta.com.cy – Cyta Internet телекомуникациони провајдер, Кипар
mail.mea.com.lb – Сервер е‑поште компаније Middle East Airlines
Занимљиво је да су нападачи одмах након промене DNS записа обезбедили и SSL сертификате за компромитоване називе домена и на тај начин обезбедили кредибилитет сервиса које они контролишу. Ипак, постоје начини да се правовремено предупреди крађа домена и они не захтевају посебна техничка знања.
Бирајте преко кога региструјете назив домена
Регистрација назива домена не подразумева само његов упис у базу надлежног регистра већ и куповину услуге. Ако вам је назив вашег домена заиста важан, онда је услуга коју добијате неупоредиво значајнија од цене коју плаћате за њега.
Много је важније да ли овлашћени регистар има online приступ сервису за измене података о домену и колико је он безбедан, да ли омогућава измене 24/7, да ли вам брзо и прецизно одговара на захтеве које сте му послали, да ли вас редовно обавештава о важним детаљима везаним за домен (истицање регистрације, измене у правилима за регистрацију назива домена, нове услуге везане за домен итд…). Такође, ако овлашћени регистар омогућава online промену података о називу домена, треба проверити да ли има имплементиране неопходне мере безбедности, као што су двофакторска ауторизација и SSL/TLS комуникација за приступ сервису за промену података.
Када год је могуће укључите вишефакторску аутентификацију
Увек када је то могуће укључите вишефакторску аутентификацију. На тај начин смањујете могућност злоупотребе компромитованих креденцијала. Чак и ако су вам корисничко име и лозинка украдени, нападач неће моћи да их искористи уколико нема одговарајући податак који је потребан за успешан приступ овако заштићеном систему.
Користите компликоване лозинке
Једноставне лозинке се лако памте, али се исто тако једноставно погађају. Употреба стандардних речи, назива места или имена чланова породице или кућних љубимаца је најчешћи узрок компромитовања корисничких налога. Употребом довољно дугачке лозинке (најмање 8 карактера, са великим и малим словима) и избегавањем стандардних речи отежаћете неауторизовани приступ порталу за управљање доменом. Немојте користити лозинке које користите за приступ другим интернет сервисима и друштвеним мрежама.
Заштитите назив домена
Захтевајте од вашег овлашћеног регистра да активира закључавање назива домена. Измене података о домену који је закључан не могу бити извршене док га ви не откључате. А међу те податке спада и његова DNS конфигурација.
Већина регистара домена највишег нивоа има имплементирану неку заштиту и неки вид закључавања домена. РНИДС својим корисницима омогућава три врсте закључавања домена и они, у зависности од потреба и значаја назива домена, могу одабрати одговарајући начин заштите. На жалост, мало корисника користи и зна за ову могућност, иако су два начина закључавања потпуно бесплатна и лако се активирају посредством овлашћеног регистра.
Ажурирајте контакт податке о називу домена
Неажурни и погрешни подаци могу проузроковати низ проблема. Много је случајева да се као регистрант назива домена пријављује запослени у компанији или лице које је развијало веб сајт. Чак и у ситуацијама када су ова лица добронамерна, то може направити озбиљан проблем у случају да оду из компаније или се преселе на други крај света.
Неажурни контакт подаци такође могу бити узрок крађе домена. Постоје бројни примери у којима је неажурна стара адреса е‑поште административног контакта била злоупотребљена и коришћена за крађу домена. Такође, ажурни контакт подаци су важни и за слање и пријем важних информација, као и у ситуацијама када овлашћени регистар или регистар мора да контактира регистранта.
Користите безбедне DNS сервере
Велики број крађа домена дешава се због небезбедних и лоше конфигурисаних DNS сервера. DNS је најзначајнији протокол на интернету и уколико је он недоступан корисници неће моћи да дођу до вашег веб сајта или сервера електронске поште.
Поведите рачуна о DNS серверима за своје домене. На интернету има много алата за проверу исправности и безбедности DNS сервера (један од њих потражите на адреси zonemaster.rs) и уколико приметите било какву грешку обавестите оператора DNS сервера и захтевајте да грешка буде што пре исправљена.
Активирајте DNSSEC заштиту за свој назив домена
DNSSEC је безбедносно проширење DNS‑а које омогућава проверу аутентичности DNS комуникације. DNSSEC пружа заштиту од многих врста напада на DNS инфраструктуру и знатно повећава безбедност назива домена који је на овај начин заштићен.
DNSSEC потписивање назива домена ипак захтева напредније техничко знање и најбоље је да, уколико немате на располагању одговарајуће DNS администраторе, то препустите DNS операторима који нуде ову услугу.
Веома је битно да називима интернет домена и DNS сервису посветите једнаку пажњу као и осталим важним елементима ваших ИКТ система. Уврстите могућност крађе или преусмеравања домена у своје планове за реакцију у кризним ситуацијама и наставак пословања (Business Continuity Planning) и кроз анализу ризика припремите адекватне кораке у случају евентуалног инцидента везаног за називе домена и DNS сервис. Немојте дозволити да значај назива интернет домена схватите на најтежи могући начин, већ предузмите потребне кораке још данас.
