Исследователь осуществил успешную атаку на windows.com с помощью битсквоттинга
5 марта 2021 года
Исследователю безопасности под псевдонимом Remy удалось успешно осуществить на домен Microsoft (windows.com) атаку под названием битсквоттинг.
Битсквоттинг представляет собой атаку, в рамках которой злоумышленники регистрируют поддельное доменное имя, отличающееся от оригинального одним битом. Битсквоттинг напоминает другую атаку, тайпсквоттинг, при которой регистрируются доменные имена, похожие на оригинальные ресурсы, но отличающиеся от них одним или несколькими символами. Тем не менее, в отличие от тайпсквоттинга, полагающегося на то, что при наборе адреса пользователь опечатается и не заметит ошибки, при битсквоттинге никаких действий со стороны пользователя не требуется.
Битсквоттинг основывается на концепции, известной как манипуляция битами или bit flipping, благодаря которой злоумышленники могут автоматизировать свои атаки и похищать трафик.
В мире компьютеров все данные хранятся в виде нолей и единиц (битов). То же самое касается доменов. К примеру, в энергозависимой памяти компьютера windows.com становится 01110111[...]. Но что если по какой-то причине один из битов автоматически переключится с одного состояния на другое (1 превратится в 0 или наоборот)?.
"Теперь давайте вообразим, что перегревшийся компьютер, вспышка на солнце или космическое излучение (вполне реальная штука) перевернуло бит на компьютере. О нет! Теперь хранящееся в памяти значение стало whndows.com вместо windows.com! Что произойдет, когда придет время подключаться к этому домену? Домен не разрешится в IP-адрес", - сообщил исследователь.
Обнаружив возможности "мутации" домена windows.com, Remy создал целый список таких доменов с "перевернутыми" битами. Исследователь выяснил, что из 32 действительных доменных имен, представляющих собой вариации windows.com с одним "перевернутым" битом, 14 еще не были зарегистрированы.
"Это немного странно, так как обычно их покупают компании наподобие Microsoft в целях предотвращения попыток фишинга. Поэтому я купил их. Все. Менее чем за $126", - сообщил Remy.
К большому удивлению исследователя, он зафиксировал трафик, предназначенный для windows.com, но идущий к купленным им доменам. Кроме того, он захватил UDP-трафик, предназначенный для сервера точного времени time.windows.com, и TCP-трафик, предназначенный для сервисов Microsoft, таких как Windows Push Notification Services (WNS) и SkyDrive (ранее OneDrive).
Помимо трафика, полученного с помощью битсквоттинга, Remy также обнаружил значительное количество запросов от пользователей, неправильно вводящих доменные имена. Хотя некоторые из этих запросов были явными случаями битсквоттинга, исследователь был удивлен, увидев, что часть поступавшего на его домены трафика предназначалась для тайпсквоттинговых доменов.
Источники[править]
Эта статья содержит материалы из статьи «Исследователь осуществил успешную атаку на windows.com с помощью битсквоттинга», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.