Hoy quiero hablar sobre c贸mo, en 2012, encontr茅 una vulnerabilidad en el sistema de registro de dominios REG.RU. Muy a menudo, veo historias en las que los autores cuentan sobre vulnerabilidades y mencionan que la compa帽铆a no prest贸 suficiente atenci贸n al error encontrado durante mucho tiempo o no lo solucion贸 en absoluto. En mi caso, todo fue exactamente lo contrario, y la vulnerabilidad se elimin贸 muy r谩pidamente.
En septiembre de 2012,
REG.RU comenz贸 a registrar dominios en la zona
ru.com y envi贸 cartas a todos sus clientes ofreci茅ndoles obtener un dominio gratis durante el primer a帽o en una nueva zona con el nombre de un dominio ya registrado en las zonas
ru ,
rf ,
su ,
com ,
net .
La obtenci贸n de un dominio gratuito result贸 ser bastante simple: ten铆a que seguir el enlace de la carta, ingresar el c贸digo de activaci贸n del dominio y el dominio se registr贸 de forma gratuita durante un a帽o.
Antes de registrar un dominio, el sistema ofreci贸 familiarizarse con los detalles de contacto del dominio "original" para el que se registrar谩 el dominio de regalo, pero estos datos estaban abiertos para su visualizaci贸n sin la posibilidad de editarlos, por lo que el significado de su visualizaci贸n no estaba claro. Sin embargo, este fue el primer error: el registro de un nuevo dominio estaba disponible a trav茅s de un enlace del formulario
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX , y la ID del servicio simplemente se pod铆a enumerar al ver en qui茅n estaba registrado uno u otro dominio
Los especialistas de REG.RU hicieron que los contactos no se mostraran por completo, sino que solo se mostraran los primeros 7 caracteres de cada campo, que en teor铆a no deber铆an haber revelado completamente la informaci贸n sobre el propietario del dominio, sin embargo, por ejemplo, mi nombre y apellido ten铆an menos de 7 caracteres de longitud y apareci贸 por completo. Bueno, adem谩s de todo, si muestra los primeros 7 caracteres del nombre, a menudo puede adivinar qu茅 caracteres necesita agregar, un ejemplo simple es "Vladimi".
Este error se solucion贸 con bastante rapidez, y ahora el sistema mostraba solo los primeros 4 caracteres, lo cual era mucho mejor, aunque una persona con el nombre "Han Solo" no estar铆a muy contenta.
El siguiente error es la capacidad de registrar un dominio sin ingresar un c贸digo de activaci贸n. Para evitar que todos los propietarios de dominios se ejecuten para registrar dominios gratuitos a la vez, REG.RU decidi贸 enviar cartas no inmediatamente, sino dentro de un par de d铆as, por lo que la carga se distribuy贸 de manera uniforme. Desde un punto de vista t茅cnico, era algo como esto: en la base de datos en la tabla con los dominios, se cre贸 una nueva columna "C贸digo de autorizaci贸n" con un valor vac铆o, y de vez en cuando se enviaban cartas a los usuarios con el mismo c贸digo que llenaba este campo. Una b煤squeda simple podr铆a ir a un enlace como
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX , aumentando el ID del servicio al valor cuando el sistema a煤n no hab铆a logrado emitir un c贸digo de autorizaci贸n a dicho dominio y registrar el dominio con un espacio en blanco c贸digo
No hab铆a nada de malo en registrar un dominio de este tipo, pero despu茅s del registro se hizo posible ver los detalles de contacto completos (nombre, direcci贸n y n煤mero de tel茅fono) del propietario del dominio "original" sin caracteres ocultos. No fue dif铆cil solucionar este error, simplemente agregando un cheque para un c贸digo de autorizaci贸n no vac铆o durante el registro, que los expertos de REG.RU tambi茅n repararon r谩pidamente.
Despu茅s de un tiempo encontr茅 otro error, pero requiri贸 un poco m谩s de acci贸n que solo ordenar los ID de servicio. Para simplificar el procedimiento para registrar dominios de regalo, REG.RU hizo posible registrar un dominio sin ingresar un c贸digo de autorizaci贸n de una carta si la cuenta de correo electr贸nico en el sistema reg.ru coincid铆a con la direcci贸n de correo electr贸nico especificada como contacto en el dominio original. Fue bastante conveniente para el usuario, pero en t茅rminos de seguridad, no todo fue tan bueno.
En 2012, no hab铆a una ley sobre la protecci贸n de datos personales en la edici贸n actual, y para muchos dominios en la zona
ru , se pod铆a ver la direcci贸n de correo electr贸nico de contacto a trav茅s de Whois. En el momento de encontrar este error, la direcci贸n de correo electr贸nico ya estaba oculta, pero a trav茅s de los servicios de visualizaci贸n del historial de Whois se pod铆a ver el correo electr贸nico y, con alta probabilidad, era relevante. Despu茅s de eso, tuvo que intentar registrarse en el sistema REG.RU con esta direcci贸n de correo electr贸nico y luego, sin un c贸digo de autorizaci贸n, obtener un dominio gratuito, que a su vez abri贸 el acceso a la informaci贸n de contacto del dominio original.
Para ser breve, el procedimiento es el siguiente:
- Vamos a la p谩gina como
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX y miramos el nombre de dominio con este ID, por ejemplo, habr.ru.com . - A trav茅s del servicio de visor de historial Whois encontramos la direcci贸n de correo electr贸nico para el dominio habr.ru.
- Con esta direcci贸n de correo electr贸nico, creamos una cuenta en el sistema REG.RU (en ese momento no se requer铆a la confirmaci贸n de la propiedad de la direcci贸n de correo electr贸nico).
- Sin ingresar el c贸digo de verificaci贸n, registramos el dominio habr.ru.com y vemos los datos de contacto completos del propietario habr.ru.
Los errores cometidos por REG.RU podr铆an conducir a la p茅rdida de una gran cantidad de datos personales de los propietarios de dominios, pero todos los errores se corrigieron muy r谩pidamente. Han pasado menos de dos d铆as desde el momento en que escrib铆 la primera carta (y la escrib铆 personalmente al director ejecutivo de REG.RU) y antes de corregir todas las vulnerabilidades, que, en mi opini贸n, es un tiempo bastante corto para una empresa de este tama帽o y los t茅rminos para corregir otras vulnerabilidades en otras corporaciones.
Eche un vistazo a VPS.today , un sitio para encontrar servidores virtuales. 1400 tarifas de 120 anfitriones, una interfaz conveniente y una gran cantidad de criterios para encontrar el mejor servidor virtual.