Основная причина уязвимостей – ошибки администраторов

16.01.2019

На сайте проекта «Нетоскоп» опубликованы результаты научно-исследовательских работ, проведенных в 2018 году в рамках научно-технического сотрудничества. В прошлом году были проведены два исследования, охватывающих большой спектр проблем, связанных с перехватом трафика и подменой имен.

Авторы исследования «Анализ возможности подмены DNS-зон в результате перехвата имен авторитативных NS-ов» провели анализ возможностей по перехвату управления адресацией в доменах второго уровня, размещенных в российских национальных доменах .RU и .РФ и домене .SU, путем эксплуатации ошибок делегирования. По результатам исследования авторы отмечают, что в российских доменах число доменных имен второго уровня, потенциально подверженных перехвату, невелико и не превышает 1% в каждой из зон. Основной причиной возникновения уязвимости являются ошибки администраторов доменных имен, неверно настраивающих параметры DNS, и основной мерой противодействия подобным угрозам, по мнению авторов, является информирование администраторов доменов о важности контроля корректности и актуальности настроек DNS.

В рамках второго исследования «Анализ возможности перехвата трафика электронной почты в результате подмены имен MX-серверов» была проанализирована возможность перехвата трафика электронной почты путём регистрации ошибочно указанных имён в MX-записях в доменах верхнего уровня .RU, .РФ, .SU, .MOSCOW, .TATAR, .ДЕТИ, .МОСКВА. Исследователям удалось обнаружить 232 домена второго уровня, которые потенциально подвержены перехвату. Это очень небольшое число, менее 0,01% от количества доменных имен с почтой в исследуемых TLD. При этом найденные уязвимые домены распределены по различным именам MX, среднее количество доменов на MX равно примерно 1, что делает проведение атаки на несколько доменов ещё более затруднительным. Таким образом, исследование показало, что для российских национальных зон угроза перехвата почтового трафика путем регистрации ошибочно указанного имени почтового сервера в настоящий момент незначительна.

«Исследования 2018 года наглядно продемонстрировали, что принимаемые Координационным центром доменов .RU/.РФ и Техническим центром Интернет меры по обеспечению безопасности функционирования российских национальных доменов являются достаточно эффективными и положительно влияют на общий уровень безопасности российского доменного пространства в целом. Мы и дальше будем проводить научно-исследовательскую работу в этом направлении, чтобы держать руку на пульсе и делиться с российскими интернет-пользователями интересной и полезной информацией»,– рассказал директор Координационного центра доменов .RU/.РФ Андрей Воробьев.

Напомним, что Координационный центр доменов .RU/.РФ создал исследовательскую платформу для агрегации информации о вредоносных ресурсах в национальных доменах верхнего уровня в 2012 году. Через год в интернете появился информационно-аналитический ресурс «Нетоскоп», на котором публикуются самые свежие данные о распространении киберугроз в сети и о ходе борьбы с вредоносными ресурсами. На сегодняшний день в проекте «Нетоскоп» участвуют 14 компаний – ООО «БИЗон», Group-IB, «Лаборатория Касперского», Mail.ru, Роскомнадзор, Ростелеком, RU-CERT, Технический центр Интернет, Яндекс, SURFnet, iThreat Cyber Group Inc., SkyDNS, Ассоциация участников МастерКард, Международная федерация футбола FIFA.