В разгар конференции Black Hat в Лас-Вегасе, группа исследователей из watchTowr Labs совершила удивительное открытие, способное подорвать основу интернет-безопасности. Они нашли уязвимость в системе WHOIS — глобальной базе данных, которая хранит информацию о владельцах интернет-доменов. Это открытие потенциально ставит под угрозу работу центров сертификации, ответственных за защиту сайтов через проверку их подлинности.
WHOIS и опасность истекших доменов
WHOIS — это ключевой инструмент, который используется для идентификации владельцев доменов. Однако, исследователи из watchTowr обнаружили, что сервер WHOIS для домена верхнего уровня [.]mobi был изменен, а старый домен, используемый для этих данных, был оставлен без внимания.
Понимая риски, команда решила действовать. Они потратили всего 20 долларов на покупку этого истекшего домена, чтобы проверить, кто до сих пор обращается к устаревшему серверу. Как оказалось, миллионы систем по-прежнему пытались использовать старый адрес.
Что могло бы случиться?
Если бы этот домен попал в руки злоумышленников, они могли бы создать свой сервер WHOIS и начать подделывать информацию о доменах. Например хакеры могли бы использовать этот домен, чтобы отвечать на запросы миллионов устройств, включая правительственные и военные серверы, системы кибербезопасности и почтовые сервисы университетов.
Вместо этого watchTowr использовала свой сервер для изучения проблемы. С 30 августа по 4 сентября исследователи зафиксировали более 135 000 уникальных систем и свыше 2,5 миллионов запросов. Среди них были известные компании и сервисы, такие как VirusTotal, а также центры сертификации, ответственные за выдачу сертификатов безопасности для крупных сайтов, таких как google[.]mobi и microsoft[.]mobi.
Потенциальные последствия для безопасности
Центры сертификации, такие как GlobalSign, используют WHOIS для подтверждения владельцев доменов перед выдачей сертификатов безопасности TLS/SSL. Если бы злоумышленники получили контроль над доменом, они могли бы начать выдавать поддельные сертификаты, позволяя хакерам перехватывать зашифрованный интернет-трафик.
Это могло бы даже привести к подписи вредоносного ПО от имени крупных компаний, таких как Microsoft, что позволило бы вирусам обходить системы безопасности.
Как защитить интернет?
Проблема истекших доменов и одноразовой инфраструктуры на данный момент не имеет простого решения. Однако исследование watchTowr подчеркивает, что центры сертификации и другие критически важные системы нуждаются в более строгих методах защиты. Недавние события показали, что интернет-протоколы, на которые мы полагаемся, содержат серьёзные уязвимости.
Исследователи отмечают: “Нам стоит более серьезно подходить к безопасности критически важных инфраструктур, ведь она касается всех пользователей интернета.”
