Heute möchte ich darüber sprechen, wie ich 2012 eine Sicherheitslücke im REG.RU-Domainregistrierungssystem gefunden habe. Sehr oft sehe ich Geschichten, in denen Autoren über Schwachstellen sprechen, während sie erwähnen, dass das Unternehmen dem gefundenen Fehler lange Zeit nicht genügend Aufmerksamkeit geschenkt oder ihn überhaupt nicht behoben hat. In meinem Fall war alles genau umgekehrt und die Sicherheitslücke wurde sehr schnell beseitigt.
Im September 2012 begann
REG.RU mit der Registrierung von Domains in der Zone
ru.com und sandte Briefe an alle Kunden mit dem Vorschlag, für das erste Jahr kostenlos eine Domain in einer neuen Zone mit dem Namen einer bereits registrierten Domain in den Zonen
ru ,
rf ,
su ,
com ,
net zu erhalten .
Das Erhalten einer kostenlosen Domain erwies sich als recht einfach: Sie mussten dem Link aus dem Brief folgen, den Domain-Aktivierungscode eingeben und die Domain wurde ein Jahr lang kostenlos registriert.
Vor der Registrierung einer Domain bot das System an, sich mit den Kontaktdaten der „ursprünglichen“ Domain vertraut zu machen, für die die Geschenkdomain registriert werden soll. Diese Daten waren jedoch nur zum Anzeigen ohne Bearbeitungsmöglichkeit geöffnet, sodass die Bedeutung ihrer Anzeige nicht klar war. Dies war jedoch der erste Fehler: Die Registrierung einer neuen Domain war über einen Link des Formulars
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX , und die Service-ID konnte einfach aufgelistet werden, indem festgestellt wurde, bei wem sie registriert war die eine oder andere Domain.
Die Spezialisten von REG.RU haben dafür gesorgt, dass keine Kontakte vollständig angezeigt wurden, sondern nur die ersten 7 Zeichen jedes Felds angezeigt wurden, die theoretisch keine vollständigen Informationen über den Domaininhaber enthalten sollten. Mein Name und mein Nachname waren jedoch weniger als 7 Zeichen lang und sie vollständig aufgetaucht. Wenn Sie die ersten 7 Zeichen des Namens anzeigen, können Sie häufig erraten, welche Zeichen Sie hinzufügen müssen. Ein einfaches Beispiel ist „Vladimi“.
Dieser Fehler wurde ziemlich schnell behoben und jetzt zeigte das System nur die ersten 4 Zeichen, was viel besser war, obwohl eine Person mit dem Namen "Han Solo" nicht sehr zufrieden wäre.
Der nächste Fehler ist die Möglichkeit, eine Domain ohne Eingabe eines Aktivierungscodes zu registrieren. Um zu verhindern, dass alle Domaininhaber gleichzeitig kostenlose Domains registrieren, hat REG.RU beschlossen, Briefe nicht sofort, sondern innerhalb weniger Tage zu senden, damit die Last gleichmäßig verteilt wurde. Aus technischer Sicht war es ungefähr so: In der Datenbank in der Tabelle mit den Domänen wurde eine neue Spalte „Autorisierungscode“ mit einem leeren Wert erstellt, und von Zeit zu Zeit wurden Briefe an Benutzer mit demselben Code gesendet, der dieses Feld ausfüllte. Eine einfache Suche kann zu einem Link wie
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX und die Service-ID auf den Wert erhöhen, wenn das System noch keinen Autorisierungscode für eine solche Domain ausgegeben und die Domain mit einem Leerzeichen registriert hat Code.
An der Registrierung einer solchen Domain war nichts auszusetzen, aber nach der Registrierung konnten die vollständigen Kontaktdaten (Name, Adresse und Telefonnummer) des Inhabers der „ursprünglichen“ Domain ohne versteckte Zeichen angezeigt werden. Es war nicht schwierig, diesen Fehler zu beheben, indem einfach bei der Registrierung eine Überprüfung auf einen nicht leeren Autorisierungscode hinzugefügt wurde, die auch von REG.RU-Experten umgehend behoben wurde.
Nach einer Weile fand ich einen weiteren Fehler, der jedoch etwas mehr Aktion erforderte, als nur die Service-IDs zu sortieren. Um das Verfahren zum Registrieren von Geschenkdomänen zu vereinfachen, ermöglichte REG.RU die Registrierung einer Domain ohne Eingabe eines Autorisierungscodes aus einem Brief, wenn das E-Mail-Konto im reg.ru-System mit der E-Mail-Adresse übereinstimmte, die als Kontakt in der ursprünglichen Domain angegeben wurde. Es war sehr praktisch für den Benutzer, aber in Bezug auf die Sicherheit war nicht alles so gut.
Im Jahr 2012 gab es in der aktuellen Ausgabe kein Gesetz zum Schutz personenbezogener Daten, und für viele Domains in der
Ru- Zone konnte die Kontakt-E-Mail-Adresse über Whois angezeigt werden. Zum Zeitpunkt des Auffindens dieses Fehlers war die E-Mail-Adresse bereits ausgeblendet, aber über die Whois-Verlaufsanzeigedienste konnten Sie die E-Mail anzeigen, und mit hoher Wahrscheinlichkeit war sie relevant. Danach mussten Sie versuchen, sich mit dieser E-Mail-Adresse im REG.RU-System zu registrieren, und anschließend ohne Autorisierungscode eine kostenlose Domain erhalten, die wiederum den Zugriff auf die Kontaktinformationen der ursprünglichen Domain eröffnete.
Um es kurz zu machen, das Verfahren ist wie folgt:
- Wir gehen zu einer Seite des Formulars
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX und sehen uns den Domainnamen mit dieser ID an, zum Beispiel habr.ru.com . - Über den Whois History Viewer Service finden wir die E-Mail-Adresse für die Domain habr.ru.
- Mit dieser E-Mail-Adresse erstellen wir ein Konto im REG.RU-System (eine Bestätigung des Eigentums an der E-Mail-Adresse war damals nicht erforderlich).
- Ohne Eingabe des Bestätigungscodes registrieren wir die Domain habr.ru.com und sehen die vollständigen Kontaktdaten des Eigentümers habr.ru.
Fehler, die von REG.RU gemacht wurden, konnten möglicherweise zum Verlust einer großen Menge persönlicher Daten von Domaininhabern führen, aber alle Fehler wurden sehr schnell behoben. Es sind weniger als zwei Tage vergangen, seit ich den ersten Brief geschrieben habe (und ich habe ihn persönlich an den Geschäftsführer von REG.RU geschrieben) und bevor alle Schwachstellen behoben wurden. Dies ist meiner Meinung nach für ein Unternehmen dieser Größe und der Bedingungen für die Behebung anderer Schwachstellen in anderen Unternehmen eine recht kurze Zeit.
Schauen Sie sich VPS.today an , eine Website zum Auffinden virtueller Server. 1400 Tarife von 120 Hostern, eine praktische Schnittstelle und eine Vielzahl von Kriterien, um den besten virtuellen Server zu finden.