अमेरिकी सरकार और कई प्रमुख सूचना सुरक्षा कंपनियों ने हाल ही में बहुत ही जटिल और व्यापक DNS अपहरण के हमलों की एक चेतावनी दी है, जो ईरान से कथित तौर पर हैकर्स को कई सरकारों और निजी कंपनियों से भारी मात्रा में ईमेल पासवर्ड और अन्य संवेदनशील डेटा प्राप्त करने की अनुमति देते हैं। लेकिन अब तक, क्या हुआ और पीड़ितों की सूची का विवरण गुप्त रखा गया है।
इस लेख में, हम हमलों के पैमाने का मूल्यांकन करने और इस अत्यंत सफल साइबर जासूसी अभियान को शुरू करने से लेकर महत्वपूर्ण इंटरनेट इन्फ्रास्ट्रक्चर प्रदाताओं में विफलताओं की एक व्यापक श्रृंखला तक तलाशने का प्रयास करेंगे।
अध्ययन में देरी करने से पहले, सार्वजनिक रूप से बताए गए तथ्यों की समीक्षा करना उपयोगी है। 27 नवंबर, 2018 को, सिस्को की तलोस अनुसंधान इकाई
ने एक उन्नत साइबर जासूसी अभियान का वर्णन करते हुए
एक रिपोर्ट प्रकाशित की, जिसे
DNSpionage कहा जाता है।
DNS
डोमेन नाम प्रणाली के लिए खड़ा है: एक डोमेन नाम प्रणाली जो एक प्रकार की इंटरनेट फोन बुक के रूप में कार्य करती है, सुविधाजनक वेबसाइट नामों (उदाहरण.कॉम) को कंप्यूटर संख्यात्मक आईपी पते में अनुवाद करती है।
तालोस विशेषज्ञों ने लिखा कि DNSpionage हमले के लिए धन्यवाद, हमलावर लेबनान और संयुक्त अरब अमीरात में कई सरकारी संगठनों और निजी कंपनियों से DNS रिकॉर्ड्स को बदलकर ईमेल और अन्य सेवाओं की साख प्राप्त करने में सक्षम थे, ताकि सभी ईमेल और आभासी निजी नेटवर्क (वीपीएन) ट्रैफ़िक थे साइबर अपराधियों द्वारा नियंत्रित आईपी पते पर पुनर्निर्देशित।
टैलो ने कहा कि डीएनएस अपहरण के लिए, हैकर्स लक्ष्य डोमेन के लिए एसएसएल एन्क्रिप्शन प्रमाण पत्र प्राप्त करने में सक्षम थे (वेबमेल.फिनेंस.जीओबीएल सहित), जिसने उन्हें ईमेल खातों और वीपीएन से यातायात को डिक्रिप्ट करने की अनुमति दी।
9 जनवरी, 2019 को, FireEye सुरक्षा सेवा प्रदाता
ने अपनी रिपोर्ट प्रकाशित की, "ग्लोबल DNS कैप्चर अभियान: DNS रिकॉर्ड्स का व्यापक हेरफेर," जिसमें ऑपरेशन कैसे किया गया था, इस बारे में बहुत अधिक तकनीकी जानकारी है, लेकिन पीड़ितों के बारे में कुछ विवरण।
उसी समय के आसपास, यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी ने एक दुर्लभ आपातकालीन निर्देश जारी किया, जिसमें इंटरनेट पर क्रेडेंशियल्स की रक्षा के लिए सभी अमेरिकी संघीय नागरिक एजेंसियों की
आवश्यकता होती है । इस जनादेश के भाग के रूप में, डीएचएस ने DNSpionage अभियान में उपयोग किए जाने वाले डोमेन नाम और इंटरनेट पते की एक छोटी सूची प्रकाशित की, हालांकि यह सूची पहले सिस्को तालोस और फायरएईई से आगे नहीं गई थी।
25 जनवरी, 2019 को स्थिति बदल गई, जब क्राउडस्ट्रीक के सूचना सुरक्षा विशेषज्ञों
ने लगभग सभी आईपी पतों की
एक सूची
पोस्ट की जो आज हैकर ऑपरेशन में उपयोग किए गए थे। इस कहानी का बाकी हिस्सा खुले आंकड़ों और साक्षात्कारों पर आधारित है जिसे हमने इस असाधारण हमले के वास्तविक पैमाने पर और अधिक प्रकाश डालने के प्रयास में किया था, जो आज भी जारी है।
निष्क्रिय डीएनएस
आरंभ करने के लिए, मैंने क्राउडस्ट्राइक रिपोर्ट में उल्लिखित सभी आईपी पतों को लिया और उन्हें फ़ॉरसाइट
सिक्योरिटी एंड
सिक्योरिटीट्राईल सर्विसेस में चेक किया, जो दुनिया भर के लाखों डोमेन के साथ जुड़े DNS रिकॉर्ड परिवर्तनों पर डेटा एकत्र करते हैं।
इन आईपी पते पर वापस जाँच करने से यह सुनिश्चित हो गया कि 2018 के अंतिम कुछ महीनों में, DNSpionage हैकर्स 50 से अधिक मध्य पूर्वी कंपनियों और सरकारी एजेंसियों के लिए प्रमुख DNS बुनियादी ढांचे के घटकों से समझौता करने में कामयाब रहे, जिनमें अल्बानिया, साइप्रस, मिस्र, इराक, जॉर्डन में लक्ष्य शामिल हैं। कुवैत, लेबनान, लीबिया, सऊदी अरब और यूएई।
उदाहरण के लिए, यह "निष्क्रिय डेटा" इंगित करता है कि हमलावर
mail.gov.ae डोमेन के DNS रिकॉर्ड को बाधित करने में सक्षम थे, जो संयुक्त अरब अमीरात में सरकारी एजेंसियों के ईमेल का काम करता है। यहां कुछ अन्य दिलचस्प डोमेन हैं जिन्हें ऑपरेशन के दौरान सफलतापूर्वक समझौता किया गया था:
-nsa.gov.iq: इराकी राष्ट्रीय सुरक्षा परिषद
-webmail.mofa.gov.ae: यूएई विदेश मंत्रालय से ईमेल
-shish.gov.al: अल्बानिया की राज्य खुफिया सेवा
-mail.mfa.gov.eg: मिस्र का विदेश मंत्रालय का मेल सर्वर
-mod.gov.eg: मिस्र का रक्षा मंत्रालय
-एम्बेसी.ली: लीबिया का दूतावास
-owa.e-albania.al: अल्बानिया में ई-सरकार के लिए आउटलुक वेब एक्सेस पोर्टल
-mail.dgca.gov.kw: कुवैत नागरिक उड्डयन ब्यूरो मेल सर्वर
-gid.gov.jo: जार्डन जनरल इंटेलिजेंस एजेंसी
-adpvpn.adpolice.gov.ae: अबू धाबी पुलिस वीपीएन सेवा
-मेल.asp.gov.al: अल्बानियाई राज्य पुलिस का ईमेल
-owa.gov.cy: साइप्रस सरकार के लिए Microsoft आउटलुक वेब एक्सेस पोर्टल
-webmail.finance.gov.lb: लेबनानी वित्त मंत्रालय मेल
-मेल.पेटीक्यूशन.ओवी.गेज: मिस्र का तेल मंत्रालय
-mail.cyta.com.cy: साइप्रस दूरसंचार और इंटरनेट प्रदाता Cyta
-mail.mea.com.lb: मध्य पूर्व एयरलाइंस मेल सर्वर
फ़ॉरसाइट और सिक्योरिटीट्रैल्स से पैसिव डीएनएस डेटा भी सुराग देता है जब इनमें से प्रत्येक डोमेन "कैप्चर" होता है। ज्यादातर मामलों में, हमलावरों ने इन डोमेन के लिए जाहिरा तौर पर डीएनएस रिकॉर्ड बदल दिया (थोड़ा बाद में हम बताएंगे कि यह कैसे किया जाता है) ताकि वे यूरोप में अपने नियंत्रण में सर्वरों को इंगित करें।
हमले की शुरुआत के तुरंत बाद - कभी-कभी हफ्तों के बाद, कभी-कभी दिनों या घंटों के दौरान - हमलावर इन डोमेन के लिए
कोमोडो और / या
लेट्स एनक्रिप्ट सर्टिफिकेट अधिकारियों से एसएसएल प्रमाणपत्र प्राप्त करने में सक्षम थे।
Crt.sh में कई हमलों की तैयारी का पता लगाया जा सकता है: खोज फ़ंक्शन के साथ सभी नए एसएसएल प्रमाणपत्रों का आधार।
आइए एक उदाहरण पर अधिक विस्तार से विचार करें। क्राउडस्ट्राइक की रिपोर्ट में आईपी पते
139.59.134 [।] 216 (ऊपर देखें) का उल्लेख किया गया है, जो कि
फ़ार्साइट के अनुसार, पिछले कुछ वर्षों में सात अलग-अलग डोमेन की मेजबानी कर चुका है। लेकिन दिसंबर 2018 में, इस पते पर दो नए लोग दिखाई दिए, जिनमें लेबनान में डोमेन और, उत्सुकता से, स्वीडन शामिल हैं।
इनमें से पहला
ns0.idm.net.lb है - लेबनानी इंटरनेट प्रदाता
IDM का सर्वर। 2014 की शुरुआत से दिसंबर 2018 तक, ns0.idm.net.lb प्रविष्टि ने लेबनानी के आईपी पते को
194.126.10 [18] बताया । लेकिन नीचे दिए गए फ़ार्साइट के स्क्रीनशॉट से पता चलता है कि 18 दिसंबर, 2018 को, जर्मनी में एक होस्टिंग प्रदाता के लिए IDM के लिए नियत ट्रैफ़िक को पुनर्निर्देशित करके इस इंटरनेट प्रदाता के DNS रिकॉर्ड बदल गए हैं (पता 139.59.134 [।] 216)।
ध्यान दें कि अन्य डोमेन इस आईपी पते पर बैठे हैं 139.59.134 [।] 216 आईडीएम डोमेन के साथ, फ़ार्स के अनुसार:
दिसंबर में डोमेन
sa1.dnsnode.net और
fork.sth.dnsnode.net के DNS रिकॉर्ड भी उनके वैध स्वीडिश पते से जर्मन होस्टर के आईपी में बदल गए। ये डोमेन
Netnod Internet Exchange , स्वीडन के सबसे बड़े वैश्विक DNS प्रदाता के स्वामित्व में हैं। नेटनॉड भी
13 रूट DNS सर्वरों में से एक का प्रबंधन करता
है : एक महत्वपूर्ण संसाधन जो वैश्विक DNS सिस्टम को रेखांकित करता है।
चलिए, थोड़ी देर बाद वापस नेतनोड लौटते हैं। लेकिन पहले, आइए CrowdStrike रिपोर्ट में दिए गए एक अन्य आईपी पते को देखें, जो DNSpionage हमले से प्रभावित बुनियादी ढांचे के हिस्से के रूप में है:
82.196.11 [।] 127 । यह डच पता डोमेन
mmfasi [।] कॉम को भी होस्ट करता है। क्राउडस्ट्राइक के अनुसार, यह हमलावर डोमेन में से एक है जिसे कुछ अपहृत डोमेन के लिए DNS सर्वर के रूप में उपयोग किया गया था।
जैसा कि आप देख सकते हैं, 82.196.11 [।] 127 ने नेतनोड DNS सर्वरों की एक और जोड़ी के साथ-साथ
ns.anycast.woodynet.net सर्वर की अस्थायी रूप से मेजबानी की। उन्हें
पैकेट क्लियरिंग हाउस (PCH) के कार्यकारी निदेशक
बिल वुडकॉक का उपनाम दिया गया है।
PCH उत्तरी कैलिफोर्निया का एक गैर-लाभकारी संगठन है जो वैश्विक DNS अवसंरचना के एक महत्वपूर्ण हिस्से का प्रबंधन करता है, जिसमें 500 से अधिक शीर्ष-स्तरीय डोमेन और DNSpionage ऑपरेशन से प्रभावित मध्य-मध्य शीर्ष-स्तरीय डोमेन की संख्या शामिल है।
रजिस्ट्रार पर हमला
14 फरवरी को, हमने नेटनॉड के सीईओ लार्स माइकल योगबैक से संपर्क किया। उन्होंने पुष्टि की कि Netnod DNS बुनियादी ढांचे का हिस्सा दिसंबर 2018 के अंत में और जनवरी 2019 की शुरुआत में अपहरणकर्ताओं के रजिस्टरों खातों तक पहुंच प्राप्त करने के बाद अपहरण कर लिया गया था।
योगबेक ने 5 फरवरी को जारी
एक कंपनी के
बयान का उल्लेख किया। इसमें कहा गया है कि नेतनोद ने 2 जनवरी को हुए हमले में अपनी संलिप्तता के बारे में जाना, जिसके बाद पूरे समय में इसने सभी इच्छुक पार्टियों और ग्राहकों के साथ संपर्क में काम किया।
बयान में कहा गया है, "2 जनवरी, 2019 को अंतरराष्ट्रीय सुरक्षा सहयोग में भागीदार के रूप में, नेतनॉड को पता चला कि हम इस श्रृंखला के हमलों में उलझे हुए थे और एक प्रकार के MiTM (मैन-इन-बीच) के साथ हमला किया गया था।" - नेतनॉड हैकर्स का अंतिम लक्ष्य नहीं है। उपलब्ध जानकारी के अनुसार, उनका लक्ष्य स्वीडन के बाहर के देशों में इंटरनेट सेवाओं के लिए साख एकत्र करना है। ”
15 फरवरी को, PCH बिल वुडकॉक ने मुझे एक साक्षात्कार में स्वीकार किया कि उनके संगठन के बुनियादी ढांचे के कुछ हिस्सों से भी समझौता किया गया था।
अनधिकृत पहुंच प्राप्त करने के बाद, हैकर्स ने जर्मन डोमेन रजिस्ट्रार की-सिस्टम्स जीएमबीएच और स्वीडिश कंपनी Frobbit.se के समान सर्वरों के लिए pch.net और dnsnode.net डोमेन के रिकॉर्ड की प्रतिलिपि बनाई। उत्तरार्द्ध कुंजी सिस्टम का पुनर्विक्रेता है, और वे समान इंटरनेट बुनियादी ढांचे को साझा करते हैं।
वुडकॉक ने कहा कि फ़िशिंग हैकर्स ने उन क्रेडेंशियल्स को धोखा दिया है जो पीसीएच सिग्नलिंग संदेशों को
एक्सटेंसिबल प्रोविजनिंग प्रोटोकॉल (ईपीपी) या "एक्सटेंसिबल इन्फर्मेशन प्रोटोकॉल" के रूप में भेजने के लिए उपयोग करते हैं। यह एक अल्पज्ञात इंटरफ़ेस है, वैश्विक DNS सिस्टम के लिए एक प्रकार का बैकएंड जो डोमेन रजिस्ट्रारों को डोमेन रिकॉर्ड्स में क्षेत्रीय रजिस्ट्रियों (उदाहरण के लिए, Verisign) को सूचित करने की अनुमति देता है, जिसमें नए डोमेन का पंजीकरण, परिवर्तन और स्थानांतरण शामिल हैं।
"जनवरी की शुरुआत में, की-सिस्टम्स ने घोषणा की कि अनधिकृत व्यक्ति जो क्रेडेंशियल्स चुराते थे, उन्होंने अपने ईपीपी इंटरफ़ेस का उपयोग किया," वुडकॉक ने कहा।
की-सिस्टम्स ने कहानी पर टिप्पणी करने से इनकार कर दिया। उसने कहा कि वह अपने पुनर्विक्रेता ग्राहकों के व्यवसाय विवरण पर चर्चा नहीं कर रही थी।
नेतनॉड के
आधिकारिक हमले के
बयान ने सुरक्षा निदेशक पैट्रिक वेल्टस्ट्रॉम के आगे अनुरोधों को संबोधित किया, जो फ्रोबबिट के सह-मालिक भी हैं।
हमारे साथ एक पत्राचार में, वेल्टस्ट्रॉम ने कहा कि हैकर्स फ़ॉर्बिट और की सिस्टम्स की ओर से विभिन्न रजिस्ट्रियों को ईपीपी निर्देश भेजने में कामयाब रहे।
"मेरे दृष्टिकोण से, यह स्पष्ट रूप से ईपीपी पर भविष्य के बड़े हमले का प्रारंभिक संस्करण है," फेल्ट्रस्टेम ने लिखा है। - यही है, लक्ष्य सही EPP आदेशों को रजिस्ट्रियों में भेजना था। निजी तौर पर, मैं भविष्य में क्या हो सकता है, इससे बहुत डरता हूं। क्या रजिस्ट्रार को रजिस्ट्रार की सभी टीमों पर भरोसा करना चाहिए? हमारे पास हमेशा संवेदनशील रजिस्ट्रार होंगे, है ना? "
DNSSEC
इन हमलों का सबसे दिलचस्प पहलू यह है कि नेतनॉड और पीसीएच हाई-प्रोफाइल समर्थक और
डीएनएसएसईसी के अनुयायी हैं, एक ऐसी तकनीक जो विशेष रूप से उस तरह के हमलों से बचाती है जिस तरह से DNSpionage हैकर्स उपयोग करने में कामयाब रहे।
DNSSEC किसी दिए गए डोमेन या डोमेन के सेट के लिए सभी DNS प्रश्नों के लिए डिजिटल हस्ताक्षर की आवश्यकता से DNS डेटा को फ़ेक करने से अनुप्रयोगों की सुरक्षा करता है। यदि नाम सर्वर यह निर्धारित करता है कि स्थानांतरण के दौरान इस डोमेन का पता रिकॉर्ड नहीं बदला है, तो यह हल हो जाता है और उपयोगकर्ता को साइट पर जाने की अनुमति देता है। लेकिन अगर रिकॉर्ड किसी तरह बदल गया है या अनुरोधित डोमेन से मेल नहीं खाता है, तो DNS सर्वर एक्सेस को ब्लॉक कर देता है।
हालांकि DNSSEC इस तरह के हमलों को कम करने के लिए एक प्रभावी उपकरण हो सकता है, लेकिन एशिया-प्रशांत क्षेत्र के एक इंटरनेट रजिस्ट्रार APNIC के एक
अध्ययन के अनुसार, दुनिया में लगभग 20% प्रमुख नेटवर्क और साइटों ने इस प्रोटोकॉल के लिए समर्थन शामिल किया है।
योगबेक ने कहा कि DNSpionage ऑपरेशन के हिस्से के रूप में नेतनॉड इंफ्रास्ट्रक्चर को तीन बार मारा गया। पहले दो दो सप्ताह के अंतराल में 14 दिसंबर, 2018 और 2 जनवरी, 2019 के बीच हुए और उन सर्वरों के लिए लक्षित थे जो DNSSEC द्वारा संरक्षित
नहीं हैं।
हालाँकि, 29 दिसंबर से 2 जनवरी के बीच तीसरा हमला नेतनॉड इन्फ्रास्ट्रक्चर पर किया गया,
जो DNSSEC
द्वारा संरक्षित है और अपने स्वयं के आंतरिक ईमेल नेटवर्क की सेवा कर रहा है। चूंकि हमलावरों के पास पहले से ही रजिस्ट्रार सिस्टम तक पहुंच थी, इसलिए वे थोड़ी देर के लिए इस सुरक्षा को बंद करने में कामयाब रहे - कम से कम यह समय
दो नेटनॉड मेल सर्वरों के एसएसएल प्रमाणपत्र प्राप्त करने के लिए पर्याप्त था।
जब हमलावरों को प्रमाण पत्र प्राप्त हुआ, तो उन्होंने लक्ष्य सर्वर पर DNSSEC को फिर से शुरू किया, शायद हमले के दूसरे चरण की तैयारी में - अपने सर्वर पर मेल ट्रैफ़िक को पुनर्निर्देशित करना। लेकिन योगबेक का कहना है कि किसी कारण से, हमलावरों ने डीएनएसएसईसी को फिर से बंद नहीं किया जब उन्होंने यातायात को पुनर्निर्देशित करना शुरू किया।
"सौभाग्य से, हमारे लिए, वे इसे बंद करना भूल गए जब MiTM हमला शुरू हुआ," उन्होंने कहा। "यदि वे अधिक योग्य होते, तो वे डीएनएसएसईसी को डोमेन से हटा देते, जो वे कर सकते थे।"
वुडकॉक का कहना है कि PCH पूरे बुनियादी ढांचे में DNSSEC की जांच करता है, लेकिन कंपनी के सभी ग्राहकों ने तकनीक को पूरी तरह से लागू करने के लिए सिस्टम को कॉन्फ़िगर नहीं किया है। यह मध्य पूर्व के देशों के ग्राहकों के लिए विशेष रूप से सच है, जिन्हें DNSpionage हमले द्वारा लक्षित किया गया है।
वुडकॉक ने कहा कि 13 दिसंबर, 2018 से 2 जनवरी, 2019 तक चार बार DNSHionage द्वारा पीसीएच इन्फ्रास्ट्रक्चर पर हमला किया गया। हर बार, हैकर्स ने लगभग एक घंटे के लिए क्रेडेंशियल्स के साथ ट्रैफ़िक को बाधित करने के लिए टूल का इस्तेमाल किया, और फिर नेटवर्क को न्यूनतम स्थिति में लौटा दिया।
एक घंटे से अधिक समय तक निगरानी निरर्थक होगी, क्योंकि अधिकांश आधुनिक स्मार्टफोन लगातार ईमेल की जांच करने के लिए कॉन्फ़िगर किए जाते हैं। इस प्रकार, केवल एक घंटे में, हैकर्स बहुत बड़ी मात्रा में क्रेडेंशियल्स एकत्र करने में सक्षम थे।
2 जनवरी, 2019 - उसी दिन जब नेटनॉड के आंतरिक मेल सर्वर पर हमला हुआ - हैकर्स ने सीधे पीसीएच पर हमला किया,
दो पीसीएच
डोमेन से कोमोडो एसएसएल प्रमाणपत्र प्राप्त किया, जिसके माध्यम से कंपनी का आंतरिक मेल भी जाता है।
वुडकॉक ने कहा कि DNSSEC की बदौलत यह हमला लगभग पूरी तरह से निष्प्रभावी हो गया था, लेकिन हैकर्स उस समय छुट्टी पर गए दो कर्मचारियों के ईमेल क्रेडेंशियल्स प्राप्त करने में सक्षम थे। उनके मोबाइल उपकरणों ने होटल में वाईफाई के माध्यम से मेल डाउनलोड किया, इसलिए (वाईफाई सेवा की शर्तों के अनुसार) उन्होंने होटल के DNS सर्वरों का उपयोग किया, न कि पीसीएच-सक्षम DNNSEC सिस्टमों का।
वुडकॉक ने कहा, "उस समय दोनों पीड़ित अपने iPhones के साथ छुट्टी पर थे, और उन्हें मेल प्राप्त करते समय समझौता पोर्टल्स से गुजरना पड़ा।" “जब वे पहुंच गए, तो उन्हें हमारे नाम सर्वर को डिस्कनेक्ट करना पड़ा, और इस दौरान उनके मेल क्लाइंट ने नए मेल के लिए जाँच की। इसके अलावा, DNSSEC ने हमें कुल कब्जा से बचाया। ”
चूंकि PCH DNSSEC के साथ अपने डोमेन की सुरक्षा करता है, इसलिए मेल इंफ्रास्ट्रक्चर को हैक करने का व्यावहारिक प्रभाव यह था कि लगभग एक घंटे तक किसी भी दो कर्मचारियों को पत्र नहीं मिला।
"वास्तव में, हमारे सभी उपयोगकर्ताओं के लिए, मेल सर्वर कुछ समय के लिए अनुपलब्ध था," वुडकॉक ने कहा। - लोग बस फोन को देखते थे, नए अक्षर नहीं देखते थे और सोचते थे: अजीब है, मैं बाद में जांच करूंगा। और जब उन्होंने अगली बार जाँच की, तो सब कुछ ठीक रहा। हमारे कर्मचारियों के एक समूह ने मेल सेवा के अल्पावधि बंद होने पर ध्यान दिया, लेकिन यह बहुत गंभीर नहीं था कि एक चर्चा शुरू हो या किसी को टिकट दर्ज करने के लिए समस्या हो। "
लेकिन DNSpionage हैकर्स ने इसे बंद नहीं किया। ग्राहकों के लिए एक समाचार पत्र में, पीसीएच ने कहा कि जांच ने 24 जनवरी को एक उपयोगकर्ता डेटाबेस के साथ एक साइट को हैक किया। डेटाबेस में उपयोगकर्ता नाम, bcrypt पासवर्ड हैश, ईमेल, पते और कंपनी के नाम शामिल हैं।
रिपोर्ट में कहा गया है, "हमें इस बात का सबूत नहीं है कि हमलावरों ने डेटाबेस को एक्सेस किया है।" "इसलिए, हम इस जानकारी को पारदर्शिता और सावधानी के लिए रिपोर्ट कर रहे हैं, न कि इसलिए कि हम डेटा को समझौता मानते हैं।"
उन्नत स्तर
इस कहानी के संबंध में हमने जिन कई विशेषज्ञों का साक्षात्कार लिया, उन्होंने अपने DNS ट्रैफ़िक की सुरक्षा में संगठनों की पुरानी समस्याओं का उल्लेख किया। कई लोग इसे दिए गए के रूप में देखते हैं, लॉग नहीं रखते हैं और डोमेन रिकॉर्ड में बदलाव की निगरानी नहीं करते हैं।
यहां तक कि उन कंपनियों के लिए जो संदिग्ध परिवर्तनों के लिए अपने DNS बुनियादी ढांचे की निगरानी करने की कोशिश कर रहे हैं, कुछ निगरानी सेवाएं DNS रिकॉर्ड को निष्क्रिय रूप से या केवल दिन में एक बार जांचती हैं। वुडकॉक ने पुष्टि की कि PCH तीन निगरानी प्रणालियों से कम नहीं पर निर्भर करता था, लेकिन उनमें से किसी ने भी PCH सिस्टम को हिट करने वाले DNS रिकॉर्डों के प्रति घंटा चोरी की चेतावनी दी थी।
वुडकॉक ने कहा कि तब से पीसीएच ने प्रति घंटे कई बार अपने स्वयं के डीएनएस बुनियादी ढांचे की निगरानी प्रणाली को लागू किया है, जो तुरंत किसी भी बदलाव की चेतावनी देता है।
योगबेक ने कहा कि नेटनॉड ने सभी उपलब्ध डोमेन इन्फ्रास्ट्रक्चर सुरक्षा विकल्पों को लागू करने के लिए निगरानी और पुनर्वितरण के प्रयासों को भी कड़ा किया है। उदाहरण के लिए, इससे पहले कि कोई कंपनी अपने सभी डोमेन के लिए रिकॉर्ड
ब्लॉक नहीं करती थी। यह सुरक्षा रिकॉर्ड में कोई भी बदलाव करने से पहले अतिरिक्त प्रमाणीकरण प्रदान करती है।
"हमें बहुत खेद है कि हमने अपने ग्राहकों के लिए अधिकतम सुरक्षा प्रदान नहीं की, लेकिन हम खुद हमलों की श्रृंखला में शिकार बन गए," योगबेक ने कहा। - लूट के बाद, आप सबसे अच्छा महल स्थापित कर सकते हैं और आशा करते हैं कि अब इस तरह की बात को दोहराना मुश्किल हो जाएगा। मैं वास्तव में कह सकता हूं कि हमने इस हमले का शिकार बनकर बहुत कुछ सीखा है, और अब हम पहले की तुलना में बहुत अधिक आत्मविश्वास महसूस करते हैं। ”
वुडकॉक चिंतित है कि नए प्रोटोकॉल और अन्य बुनियादी सुविधाओं की सेवाओं को लागू करने के लिए जिम्मेदार लोग डीएनएस हमलों के वैश्विक खतरे को गंभीरता से नहीं लेते हैं। उन्हें विश्वास है कि DNSpionage हैकर्स आने वाले महीनों और वर्षों में कई और कंपनियों और संगठनों को क्रैक करेंगे।
"लड़ाई अभी चल रही है," उन्होंने कहा। "ईरानी अल्पकालिक प्रभाव के लिए इन हमलों को अंजाम नहीं दे रहे हैं।" वे किसी भी समय जो चाहते हैं उसे पूरा करने के लिए इंटरनेट के बुनियादी ढांचे को काफी गहराई तक घुसाने की कोशिश कर रहे हैं। वे भविष्य में युद्धाभ्यास के लिए खुद को अधिक से अधिक विकल्प प्रदान करना चाहते हैं। ”
सिफारिशें
जॉन क्रेन आईसीएएनएन में सुरक्षा, स्थिरता और अपमान के प्रमुख हैं, जो एक गैर-लाभकारी संगठन है जो वैश्विक वैश्विक उद्योग उद्योग की देखरेख करता है। उनका कहना है कि कई रोकथाम और संरक्षण के तरीके जो हमलावरों के लिए डोमेन या डीएनएस बुनियादी ढांचा संभालने में मुश्किल कर सकते हैं, एक दशक से अधिक समय से ज्ञात हैं।
"बहुत डाटा स्वच्छता के लिए नीचे आता है," क्रेन ने कहा।
- न तो बड़े संगठन, न ही सबसे छोटे व्यवसाय, कुछ बहुत ही सरल सुरक्षा विधियों पर ध्यान देते हैं, जैसे बहु-कारक प्रमाणीकरण। आजकल, यदि आपके पास उप-सुरक्षा है, तो आपको हैक किया जाएगा। यह आज की वास्तविकता है। हम इंटरनेट पर बहुत अधिक परिष्कृत विरोधियों को देखते हैं, और यदि आप बुनियादी सुरक्षा प्रदान नहीं करते हैं, तो वे आपको मारेंगे। ”संगठनों के लिए कुछ सर्वोत्तम सुरक्षा प्रथाएँ हैं:- DNSSEC का उपयोग करें (हस्ताक्षर और सत्यापन दोनों प्रतिक्रियाओं के लिए)
- डोमेन नाम रिकॉर्ड को बदलने से बचाने में मदद करने के लिए पंजीकरण सुविधाओं जैसे रजिस्ट्री लॉक का उपयोग करें
- एप्लिकेशन, इंटरनेट ट्रैफ़िक और निगरानी के लिए एक्सेस कंट्रोल लिस्ट का उपयोग करें
- , ,
- , , Certificate Transparency Logs