Jak ochránit svou doménu před chybou registrátora a neskončit jako avg.com?

Možná jste zaznamenali útok na doménu známého výrobce antivirového softwaru. Pokud ne, zde je krátké shrnutí.

Před několika dny byl palestinskou hackerskou skupinou KDSM v dopoledních hodinách změněn obsah stránky avg.com a dalších. Na stránce se objevilo politické prohlášení této skupiny, které se vztahovalo k problematice Palestiny a Izraele. Nutno dodat, že poškozených doménových jmen bylo údajně více, dalším z potvrzených je doména jiného antivirového produktu avira.com.

Prohlaseni

Prohlášení na stránce avg.com

Pro nás bezpečáky i pro držitele doménových jmen je však asi nejdůležitější vědět, co se stalo na pozadí a jak se proti takové situaci co nejlépe chránit. Podle dostupných informací se opakovala podobná situace, k jaké došlo v říjnu minulého roku u domény google.ie.

Útočníkům se tedy opět podařilo přes registrátora změnit informace o DNS serverech, na kterých je doména spravována. Na DNS serveru ovládaném útočníky pak již útočníci nasměrovali záznam na své webové stránky, tedy na stránku s již zmiňovaným prohlášením.

Podle prohlášení společnosti Avira se zdá, že v tomto případě buď zafungovalo sociální inženýrství nebo nějak selhala logika aplikace, která je u registrátora Network Solutions používaná při resetování hesel. Doufejme, že se společnost Network Solution k celé věci později vyjádří, abychom si mohli o útoku udělat co nejpřesnější obrázek.

A jak se tedy podobné chybě na straně registrátora bránit? Již v odkazovaném blogpostu o únosu domény google.ie jsem upozorňoval, že pomocí formuláře na našich stránkách je možné požádat o zablokování veškerých změn na konkrétní doméně v registru .cz domén. V té době však bylo možné blokaci i odblokování provést pouze pomocí žádosti s úředně ověřeným podpisem, či pomocí e-mailu podepsaného kvalifikovaným certifikátem. Díky nové službě doménový prohlížeč se však situace velice zjednodušila a samotnou blokaci či odblokování lze provést on-line a to dokonce nad více objekty najednou. Výhodou je, že stačí jednou validovat váš účet služby mojeID a získáte možnost kdykoliv zapnout či vypnout rozšířenou ochranu vaší domény v centrálním registru. Při původní metodě bylo potřeba se pro každou změnu autorizovat zvlášť.

Možnost zablokovat provádění změn na doméně se ve světle množících se útoků na registrátory domén ukazuje jako čím dál důležitější. Nově zavedená možnost provádět tyto změny on-line pomocí služby doménový prohlížeč usnadňuje používání této služby a přímo vybízí k jejímu většímu využívání. Pokud je pro vás vaše doména a její správné fungování důležité, měli byste využití této nově nabízené možnosti co nejdříve zvážit.

Pavel Bašta

Autor:

Komentáře (9)

  1. Petr Chocholouš říká:

    Má něco takového implementováno některý ze správců com/net/info/org domény?

  2. kalion říká:

    Nic proti, ale jak elektronický podpis, tak i úřední ověření podpisu lze snadno obejít, padělat. Projekt mojeID není spolehlivý v tom smyslu, že uživatel nemusel údaje dlouho aktualizovat a mojeID lze prolomit či unést účet (celkem snadné). Neuvažujete minimálně o zavedení dalšího stupně ochrany, ať už např. autorizace SMS, příp. certifikát? Např. nasazení Google Authenticator je celkem jednoduché.

  3. Jaromír Talíř říká:

    Petr Ch.: Nevím jak zmíněné generické domény, ale na nedávném setkání správců domén zemí evropského regionu sdružených v organizaci Centr (http://www.centr.org), kde bylo zastoupeno cca 25 domén se tématika zamykání domén probírala a asi 7 registrů to již má implementováno. Někteří další o tom uvažují.

  4. Jaromír Talíř říká:

    kalion: Troufám si nesouhlasit s vašim tvrzením, že prolomení mojeID je snadné. Co Vás k tomu vede? Jedním z důvodů je právě to co navrhujete implementovat a co již v mojeID dlouho existuje, tzn. SSL certifikáty a dvoufaktorová autentizace jednorázovým heslem přes Google Authenticator. Zodpovědný uživatel by samozřejmě neměl používat jednom hesla ale některou z těchto pokročilejších metod autentizace.

  5. Pavel Bašta říká:

    kalion: Kolega byl s odpovědí rychlejší. Já už tedy jen dodám, že bezpečnost není otázkou jedné linie a na to měl článek upozornit. Proč spoléhat pouze na bezpečnost registrátora, když můžu také udělat něco sám. Pochopitelně pak ale musím také dbát na bezpečnost svého počítače, na použití silného hesla nebo ještě lépe dvoufaktorovou autentizaci, certifikát, atd.
    Pokud jde o bezpečnost služby MojeID, na jejím vylepšování neustále pracujeme a pochopitelně také sledujeme nové trendy a hrozby.

  6. kalion říká:

    Na webu nemohu nalézt žádnou zmínku o možnosti se přihlašovat do aplikace pomocí G.A. (zkouším „site:mojeid.cz Google Authenticator“, nebo „site:mojeid.cz dvoufaktorová“).
    Z přihlašovacího formuláře mi vyplývá (tak ho chápu), že je možné si vybrat mezi heslem, certifikátem a heslem+OTP (to by mohl být ten Google?), ale mohu někde v nastavení zcela zakázat přihlášení pouze heslem? Mohu nastavit vynucení přihlášení výhradně certifikátem, aby jiný způsob přihlášení nefungoval? Nikde tuto možnost nevidím.
    Co se týče možností obejít mojeID, tak jsem měl na mysli zejména padělání úředně ověřeného podpisu pod prohlášením, což se bohužel může stát (ale chápu, že s tím nic nenaděláte, nejste státní orgán a nemůžete nahlížet do registru obyvatel).
    Možná by stálo za úvahu ještě zkusit propojení s datovou schránkou, i když i tu lze zneužít, pokud útočník zjistí můj login a heslo.
    Zeptám se: jak moc nákladné by bylo zavedení autentifikace pomocí SMS? Dnes jsou paušální tarify, tak snad nějaké možnosti jsou.
    Další věc, kterou byste mohli využít, je tzv. ověření identity ve smyslu §10 zákona č. 253/2008 Sb. (nahlédněte), jde o rozšířenou identifikaci osoby, kterou mohou provádět pouze notáři a obecní úřady, stojí 100 Kč a je zde dost vysoká míra spolehlivosti, co se týče ověření totožnosti (jak víte, bohužel pracovnice České pošty při ověřování podpisu moc občanky nekontrolují).
    Určitě se dají vymyslet i jiné způsoby.
    Neříkám, že právě tyto možnosti byste měli zavést povinně, ale dát to zákazníkům jako možnost – já bych využil co nejpřísnější ověření identity a co nejpřísnější zablokování domény, protože reálně mám strach o některé své domény přijít (stojí na nich můj byznys).
    S tím, že jiné možnosti (přihlášení heslem, odblokování blokace elektronickým podpisem či ověřeným podpisem) bych měl možnost v nastavení zakazát, aby se ochrana nedala prolomit či obejít. Osobně bych používal klidně zmíněnou identifikaci ve smyslu §10 zákona č. 253/2008 Sb. za 100 Kč.
    Ale samozřejmě chápu, že čím více možností, tím větší nárůst administrativy a obtížněji se ty procesy automatizují, a tomu se asi chcete vyhnout.
    Mimochodem bych neměl problém platit nějaký paušální roční poplatek za „vyšší bezpečnost“, který by navýšenou byrokracii pokryl.

  7. Ondřej Filip říká:

    kalion: Ano OTP v mojeID je GA. A ano, heslo pak lze zakazat a muzete se prihlasovat jen pres OTP nebo certifikat. Jinak diky za podnety k overovani, zamyslime se nad tim.

  8. kalion říká:

    Nevěděl jsem, co znamená zkratka OTP (musel jsem vygooglit). Ten technicistní přístup může být kontraproduktivní, ne každý kdo má doménu a mojeID je programátor.
    Teď po vašem vysvětlení jsem to už pochopil – musí se klikat na selectbox a tím se přepíná mezi různými přihlašovacími metodami.
    Jeví se mi ale srozumitelnější (pro laika) přihlašovací formulář v panelech, jako má KB a ČS – přepínání mezi panely = jiná metoda přihlášení.

  9. Ondřej Filip říká:

    kalion: V beta verzich uz prihlasovani pouziva taby. :-) Brzy to pujde ven. S tou terminologii jeste neco udelame, mate pravdu, ze OTP neni prilis bezne pouzivany pojmem.

Zanechte komentář