Play Video
Žarko Kecić, rukovodilac IKT sektora Fondacije RNIDS
Play Video

Domain hijacking – gde greše firme?

Gde greše firme, i to firme koje su svesne opasnosti i zapravo vode računa o sajber bezbednosti? Šta im promakne?

Bezbednost sistema i podataka je kompleksan zadatak kome treba pristupi sveobuhvatno i planski. Mnoge firme smatraju da su kupovinom skupe opreme i softvera rešili problem. To jeste deo rešenja, ali ima mnogo drugih aspekata o kojima se ne vodi računa. Edukacija zaposlenih, uspostavljanje i striktno poštovanje pravila i procedura je ključno za značajno podizanje nivoa bezbednosti. Internet prisustvo, bez obzira da li se radi o mejlu, veb-prezentaciji ili nekim drugim servisima, već samo po sebi predstavlja bezbednosni rizik.

Zašto mnoga preduzeća u Srbiji nisu zaštićena od krađe domena? (Famozno pitanje „zašto bi neko mene hakovao“?)

Krađa/kidnapovanje domena je tehnika koja se poslednjih dvadesetak godina obilato koristi za realizaciju različitih vrsta napada. Preusmeravanje korisnika na internet servise koje kontroliše napadač može da prouzrokuje ozbiljnu štetu kompaniji i njenim klijentima, a meta napadača su svi, bez obzira na veličinu i delatnost kompanije.

Jedan od važnih bezbednosnih rizika o kome se, skoro po pravilu, ne vodi računa, je zaštita DNS sistema i naziva domena koji na mnogo načina mogu biti zloupotrebljeni. Razlozi za takvo stanje su različiti, od minimizacije i nipodaštavanja opasnosti, do nedovoljne obaveštenosti.

Šta je u stvari krađa domena? Kako napadač preuzme domen? Šta sve može da se desi nakon što je domen preuzet od strane hakera?

Krađa domena je akt preuzimanja kontrole nad domenom čiji je cilj kontrola DNS podataka i mogućnost preusmeravanja podataka i korisnika ka internet servisima koje kontroliše napadač. Uspešna krađa domena može da bude iskorišćena za:
• Prikupljanja osetljivih podataka od korisnika naziva domena;
• Prikupljanja kredencijala za pristup drugim servisima;
• Isporuke zlonamernog softvera;
• Preusmeravanja i prikupljanja poruka e pošte.

Naziv domena može biti ukraden na nekoliko načina, ali je najčešći i često najjednostavniji, preuzimanje kontrole nad nalogom korisnika kod ovlašćenog registra (kompanije preko koje je domen registrovan) ili kod hosting provajdera, čije sisteme veliki broj korisnika koristi za upravljanje DNS zapisima za svoje nazive domena.

Kako zaštititi domen?

Zaštita domena ima dva segmenta – zaštita podataka o domenu u bazi registra i zaštita DNS servera koji su autoritativni za naziv domena.

Zaštita DNS servera podrazumeva odabir kompetentnog pružaoca DNS usluga (ISP, hosting provajder, provajder DNS usluga) i ispravnu konfiguraciju sopstvenih DNS servera.

Za korisnike srpskih nacionalnih domena, RNIDS je omogućio tri vrste zaštite – zaključavanja domena. Svaka od ovih vrsta pruža određeni nivo zaštite.
Siguran režim (Secure Mode) opciju zaštite koja podrazumeva odobrenje administrativnog kontakta za svaku promenu važnih podataka (promena DNS servera i sl.) o nazivu domena. Ako se inicira promena nekog podatka, na adresu e-pošte administrativnog kontakta stiže informacija o tome koja je promena zahtevana, i tek po potvrdi, klikom na link sa verifikacionim kodom, promena će biće izvršena.
Drugi način je Zaključavanje na strani klijenta (Client Side Lock), opcija koja zabranjuje promenu bilo kog podatka o nazivu domena, osim produženja registracije. Ovaj tip zaštite aktivira se preko ovlašćenog registra kod kog je registrovan naziv domena, a i za otključavanje se moraju oni angažovati.
Treći, najviši nivo zaštite Zaključavanje na strani registra (Registry Lock) podrazumeva da otključavanje naziva domena i zahtevane promene podataka potvrde najmanje dva od tri kontakta koji su ovlašćeni od strane registranta.

Koristite bezbedne DNS servere

Veliki broj krađa domena dešava se zbog nebezbednih i loše konfigurisanih DNS servera. DNS je najznačajniji protokol na internetu i ukoliko je on nedostupan korisnici neće moći da dođu do vašeg veb sajta ili servera elektronske pošte.
Povedite računa o DNS serverima za svoje domene. Na internetu ima mnogo alata za proveru ispravnosti i bezbednosti DNS servera (zonemaster.rs) i ukoliko primetite bilo kakvu grešku obavestite operatora DNS servera i zahtevajte da greška bude što pre ispravljena.

Aktivirajte DNSSEC zaštitu za svoj naziv domena

DNSSEC je bezbednosno proširenje DNS a koje omogućava proveru autentičnosti DNS komunikacije. DNSSEC pruža zaštitu od mnogih vrsta napada na DNS infrastrukturu i znatno povećava bezbednost naziva domena koji je na ovaj način zaštićen. Ovu vrsta zaštite domena omogućena je za naziv nacionalnih domena (.rs i .срб).

Zaštita svakog dela sistema

Veoma je bitno da nazivima internet domena i DNS servisu posvetite jednaku pažnju kao i ostalim važnim elementima vaših IKT sistema. Uvrstite mogućnost krađe ili preusmeravanja domena u svoje planove za reakciju u kriznim situacijama i nastavak poslovanja (Business Continuity Planning) i kroz analizu rizika pripremite adekvatne korake u slučaju eventualnog incidenta vezanog za nazive domena i DNS servis. Nemojte dozvoliti da značaj naziva internet domena shvatite na najteži mogući način, već preduzmite potrebne korake još danas.


Autor teksta: Žarko Kecić, rukovodilac IKT sektora Fondacije RNIDS