Nazivi domena predstavljaju osnovu na kojoj internet funkcioniše. Kada govorimo o zaštiti informacionih sistema na internetu veoma mali broj ljudi razmišlja o nazivima domena i DNS sistemu.
Talas napada baziranih na zloupotrebi DNS‑a tokom poslednjih godinu dana se nastavlja, bez obzira na širenje informacija i jačanje svesti o načinima realizacije napada. Izveštaji kompanija koje se bave bezbednošću pokazuju da je u prethodnih godinu dana više od polovine uspešnih napada izvršeno manipulacijom DNS‑a i krađom domena.
Temelj globalne mreže
Ukratko, sistem naziva domena, DNS, je jedna od bazičnih usluga na internetu. Ona prevodi za ljude čitljive nazive domena u IP adrese koje su neophodne računaru da uspostavi komunikaciju sa drugim računarima širom globalne mreže. Krađa domena je u stvari falsifikovanje DNS zapisa, što kao rezultat daje da naziv domena upućuje na IP adresu koju kontroliše napadač.
Ciljevi krađe domena razlikuju se od slučaja do slučaja, ali zlonamerni akteri ovu taktiku najčešće koriste za preusmeravanje veb ili saobraćaja e‑pošte ka serverima koje oni kontrolišu radi:
- Prikupljanja osetljivih podataka od korisnika naziva domena;
- Prikupljanja kredencijala za pristup drugim servisima;
- Isporuke zlonamernog softvera;
- Preusmeravanja i prikupljanja poruka e‑pošte.
Naziv domena može biti ukraden na nekoliko načina, ali je najčešći i često najjednostavniji, preuzimanje kontrole nad nalogom korisnika kod ovlašćenog registra (kompanije preko koje je domen registrovan) ili kod hosting provajdera, čije sisteme veliki broj korisnika koristi za upravljanje DNS zapisima za svoje nazive domena.
Analiza napada koji su se dogodili u poslednjih godinu dana pokazuje da su, na primer, napadači promenili DNS zapise za mail.gov.ae, koji obrađuje e‑poštu vladine kancelarije Ujedinjenih Arapskih Emirata. Ima još zanimljivih primera krađe domena:
shish.gov.al – Državna obaveštajna služba Albanije
e‑albania.al – Portal za veb pristup e‑uprave Albanije
mail.asp.gov.al – Server e‑pošte za albansku državnu policiju
gid.gov.jo – Centralna obaveštajna služba Jordana
mail.mfa.gov.eg – e‑pošta Ministarstva spoljnih poslova Egipta
mod.gov.eg – Ministarstvo odbrane Egipta
vebmail.finance.gov.lb – Server e‑pošte za Ministarstvo finansija Libana
mail.dgca.gov.kv – Server e‑pošte Biroa za civilno vazduhoplovstvo Kuvajta
adpvpn.adpolice.gov.ae – VPN pristup za policiju u Abu Dabiju
ova.gov.ci – Outlook veb pristup Vlade Kipra
mail.cyta.com.cy – Cyta Internet telekomunikacioni provajder, Kipar
mail.mea.com.lb – Server e‑pošte kompanije Middle East Airlines
Zanimljivo je da su napadači odmah nakon promene DNS zapisa obezbedili i SSL sertifikate za kompromitovane nazive domena i na taj način obezbedili kredibilitet servisa koje oni kontrolišu. Ipak, postoje načini da se pravovremeno predupredi krađa domena i oni ne zahtevaju posebna tehnička znanja.
Birajte preko koga registrujete naziv domena
Registracija naziva domena ne podrazumeva samo njegov upis u bazu nadležnog registra već i kupovinu usluge. Ako vam je naziv vašeg domena zaista važan, onda je usluga koju dobijate neuporedivo značajnija od cene koju plaćate za njega.
Mnogo je važnije da li ovlašćeni registar ima online pristup servisu za izmene podataka o domenu i koliko je on bezbedan, da li omogućava izmene 24/7, da li vam brzo i precizno odgovara na zahteve koje ste mu poslali, da li vas redovno obaveštava o važnim detaljima vezanim za domen (isticanje registracije, izmene u pravilima za registraciju naziva domena, nove usluge vezane za domen itd…). Takođe, ako ovlašćeni registar omogućava online promenu podataka o nazivu domena, treba proveriti da li ima implementirane neophodne mere bezbednosti, kao što su dvofaktorska autorizacija i SSL/TLS komunikacija za pristup servisu za promenu podataka.
Kada god je moguće uključite višefaktorsku autentifikaciju
Uvek kada je to moguće uključite višefaktorsku autentifikaciju. Na taj način smanjujete mogućnost zloupotrebe kompromitovanih kredencijala. Čak i ako su vam korisničko ime i lozinka ukradeni, napadač neće moći da ih iskoristi ukoliko nema odgovarajući podatak koji je potreban za uspešan pristup ovako zaštićenom sistemu.
Koristite komplikovane lozinke
Jednostavne lozinke se lako pamte, ali se isto tako jednostavno pogađaju. Upotreba standardnih reči, naziva mesta ili imena članova porodice ili kućnih ljubimaca je najčešći uzrok kompromitovanja korisničkih naloga. Upotrebom dovoljno dugačke lozinke (najmanje 8 karaktera, sa velikim i malim slovima) i izbegavanjem standardnih reči otežaćete neautorizovani pristup portalu za upravljanje domenom. Nemojte koristiti lozinke koje koristite za pristup drugim internet servisima i društvenim mrežama.
Zaštitite naziv domena
Zahtevajte od vašeg ovlašćenog registra da aktivira zaključavanje naziva domena. Izmene podataka o domenu koji je zaključan ne mogu biti izvršene dok ga vi ne otključate. A među te podatke spada i njegova DNS konfiguracija.
Većina registara domena najvišeg nivoa ima implementiranu neku zaštitu i neki vid zaključavanja domena. RNIDS svojim korisnicima omogućava tri vrste zaključavanja domena i oni, u zavisnosti od potreba i značaja naziva domena, mogu odabrati odgovarajući način zaštite. Na žalost, malo korisnika koristi i zna za ovu mogućnost, iako su dva načina zaključavanja potpuno besplatna i lako se aktiviraju posredstvom ovlašćenog registra.
Ažurirajte kontakt podatke o nazivu domena
Neažurni i pogrešni podaci mogu prouzrokovati niz problema. Mnogo je slučajeva da se kao registrant naziva domena prijavljuje zaposleni u kompaniji ili lice koje je razvijalo veb sajt. Čak i u situacijama kada su ova lica dobronamerna, to može napraviti ozbiljan problem u slučaju da odu iz kompanije ili se presele na drugi kraj sveta.
Neažurni kontakt podaci takođe mogu biti uzrok krađe domena. Postoje brojni primeri u kojima je neažurna stara adresa e‑pošte administrativnog kontakta bila zloupotrebljena i korišćena za krađu domena. Takođe, ažurni kontakt podaci su važni i za slanje i prijem važnih informacija, kao i u situacijama kada ovlašćeni registar ili registar mora da kontaktira registranta.
Koristite bezbedne DNS servere
Veliki broj krađa domena dešava se zbog nebezbednih i loše konfigurisanih DNS servera. DNS je najznačajniji protokol na internetu i ukoliko je on nedostupan korisnici neće moći da dođu do vašeg veb sajta ili servera elektronske pošte.
Povedite računa o DNS serverima za svoje domene. Na internetu ima mnogo alata za proveru ispravnosti i bezbednosti DNS servera (jedan od njih potražite na adresi zonemaster.rs) i ukoliko primetite bilo kakvu grešku obavestite operatora DNS servera i zahtevajte da greška bude što pre ispravljena.
Aktivirajte DNSSEC zaštitu za svoj naziv domena
DNSSEC je bezbednosno proširenje DNS‑a koje omogućava proveru autentičnosti DNS komunikacije. DNSSEC pruža zaštitu od mnogih vrsta napada na DNS infrastrukturu i znatno povećava bezbednost naziva domena koji je na ovaj način zaštićen.
DNSSEC potpisivanje naziva domena ipak zahteva naprednije tehničko znanje i najbolje je da, ukoliko nemate na raspolaganju odgovarajuće DNS administratore, to prepustite DNS operatorima koji nude ovu uslugu.
Veoma je bitno da nazivima internet domena i DNS servisu posvetite jednaku pažnju kao i ostalim važnim elementima vaših IKT sistema. Uvrstite mogućnost krađe ili preusmeravanja domena u svoje planove za reakciju u kriznim situacijama i nastavak poslovanja (Business Continuity Planning) i kroz analizu rizika pripremite adekvatne korake u slučaju eventualnog incidenta vezanog za nazive domena i DNS servis. Nemojte dozvoliti da značaj naziva internet domena shvatite na najteži mogući način, već preduzmite potrebne korake još danas.