Minulý týden došlo k velmi závažnému bezpečnostnímu incidentu v doméně .ie, což je doména Irské republiky. Podle dostupných informací se útočníkovi pravděpodobně podařilo získat přihlašovací údaje jednoho registrátora, díky nimž pak mohl v centrálním registru domény .ie změnit DNS servery domén google.ie a yahoo.ie. To mu poté umožnilo nasměrovat domény na vlastní servery, kde mohl vystavit svůj vlastní obsah či přijímat poštu pro tyto domény. Některé služby registru .ie domény jsou ještě v době psaní tohoto článku nedostupné a vyšetřování stále pokračuje. Nás samozřejmě nejvíc zajímá, zda by k podobné situaci mohlo dojít i u nás. Pojďme si tedy připomenout možnosti, kterými mohou držitelé své domény chránit před případnými neautorizovanými změnami provedenými registrátorem a možná i připomeňme, jakým způsobem je chráněn samotný centrální registr před neautorizovaným přístupem.
Nejprve tedy zkusme vysvětlit, jakým způsobem je chráněn samotný přístup do registru domény .cz. Přístup k registru je možný pouze na základě platných přihlašovacích údajů, s platným certifikátem a z předem dohodnutých IP adres. Samotná znalost přihlašovacích údajů není tedy pro přístup dostatečná. Útočník by musel proniknout na server registrátora, který má do registru povolený přístup z konkrétní IP adresy, má k dipozici platný certifikát a přihlašovací údaje. Z tohoto serveru by pak bylo možné změnu záznamů uskutečnit. V současné chvíli nemáme k dispozici informace o způsobu zabezpečení irského registru. Není tedy možné vyloučit, že irský registr má stejné zabezpečení jako ten český a že se skutečně podařilo útočníkovi proniknout na server registrátora a z něj změny uskutečnit.
I pro tento případ nabízí centrální registr domén .cz držitelům domén další stupeň zabezpečení. Na našich stránkách je možné pomocí jednoduchého formuláře požádat o zablokování transferu domény nebo dokonce zablokování provedení jakékoliv změny na objektech v doméně. V případě, kdy držitel na doméně zablokuje veškeré změny, nemůže k takovému problému, jaký nastal v doméně .ie, vůbec dojít. Na rozdíl od žádosti o heslo nelze odblokování a zablokování domény uskutečnit s pomocí registrátora. Pokud chce držitel zablokovat nebo odblokovat svou doménu, musí se obrátit přímo na naše sdružení.
Jak je vidět z příkladu incidentu v registru .ie, bylo zavedení této nadstandardní možnosti pro naši národní doménu velmi užitečným krokem. Jeho využití lze proto držitelům důležitých domén rozhodně doporučit.
Pavel Bašta
Pokud nemam zablokovany transfer domeny, kdo muze menit udaje o domene ci inicializovat transfer? Pouze registrator, pres ktereho je v soucasnosti domena spravovana, nebo libovolny registrator?
Diky za navod. Az budu potrebovat ziskat pristup do registu .cz domeny, vim jak na to.
@Santiago: Objekty v databázi může spravovat pouze určený registrátor domény (ve whoisu položka registrar:).
Děkuji za dotaz. Transfer domény může inicializovat i jiný registrátor, avšak pouze na základě Vaší žádosti. Aby však mohl doménu převést k sobě, musíte mu poskytnout tzv. Auth-ID. To Vám na požádání sdělí Váš současný registrátor.
Nedivil bych se kdyby měli v Irsku stejné zabezpečení jako vy! Buď našel chybu v jejich implementaci nebo diletantsky zapezpečené síti!
Existuje nějaká obrana proti změně v registru případným zlým pracovníkem registrátora či přímo pracovníkem cz.nic? Zejména v rámci snah posunout využití DNSSEC k důcěryhodnému nástroji pro distribuci veřejných klíčů pro ssh či ssl je to dle mne zajímavá otázka.
@Trasy Metra: To zatím nevíme. Pokud však někdo napadl systémy registrátora, tak je to samozřejmě problém. I v takovém případě by ale mohl napadnout jen domény registrované u toho konkrétního registrátora. Proto nabízíme a u zvlášť důležitých domén i důrazně doporučujeme použít jako pojistku ještě v článku zmiňovanou blokaci domény.
@go: Proti změně pracovníkem registrátora se můžete bránit pomocí mechanismu popsaného na konci článku. Pokud jde o CZ.NIC, snažíme se dodržovat všechny důležité zásady bezpečnosti, každý má přístup jen k těm datům, která potřebuje znát a má jen taková práva, která potřebuje pro svou práci. Například nyní jsme zavedli novou KSK ceremonii, která zaručuje, že pro přístup ke KSK klíčům domény .cz je vždy potřeba minimálně dvou lidí. Nedávno jsme s pomocí této ceremonie provedli podepsání zóny .enum a do konce roku bychom rádi provedli změnu KSK klíčů pro doménu .cz a zavedli tyto postupy i v naší národní doméně. Až se tak stane, určitě něco o nové KSK ceremonii napíšeme, minimálně sem na blog.
Funguje stejny system blokace tzn. http://www.nic.cz/whois/publicrequest/ i u zahranicnich registratoru a .com domen? Taky by me zajimalo jestli je mozna nejaka obrana v pripade toho ze nekdo zna prihlasovaci udaje k memu uctu u registratora, kde muze najit Transfer-ID ke kazde domene + odemknout uzamknutou domenu bez toho aby o tyto udaje/volby zadal. Mimochodem je pravda ze kdyz probiha transfer domeny tak cizi registrator nemuze tuto domenu prijmout pokud jsou udaje ve whois „private“?? Nebo to ma kazdy registrator jinak?
Jakym zpusobem je pak mozne transfer/zmeny odblokovat? Sveho registratora k tomu nevyuziju, spravne jsem to pochopil tak, ze musim nejdrive pozadat o uvolneni zmen a nasledne pres registratora udelat zmeny, pak znova zablokovat zmenu/transfer?
@Rc modely: Před prováděním změn je potřeba opět pomocí formuláře na adrese https://www.nic.cz/whois/publicrequest/ požádat o odblokování domény. Žádost je však potřeba ověřit zasláním e-mailu podepsaného kvalifikovaným certifikátem, nebo je potřeba doručit žádost s úředně ověřeným podpisem. Teprve po odblokování domény v registru může registrátor změny do registru zanést.