Контрмеры: обеспечение безопасности общедоступных баз данных
Большая часть информации, хранящейся в описанных базах данных, открыта для свободного доступа. Когда организация намеревается зарегистрировать свой домен, она должна предоставить контактную информацию, сведения о выделенных ей блоке сетевых адресов и серверах DNS. Хотя для того чтоб усложнить задачу взломщикам, требуется придерживаться конкретных принципов обеспечения безопасности. Весьма типичной является ситуация, когда администратор, давно уволившийся из организации, по-прежнему может изменить регистрационную информацию об этой организации. Потому в первую очередь требуется всегда следить за тем, чтоб информация, хранящаяся в этой базе данных, была точной. При I-ой же потребности обновляйте административные, инженерные и финансовые контактные данные. Тоже, продумайте, как обезопасить себя от возможного эксплуатации злоумышленниками номеров телефонов, указанных в контактных данных (к примеру, взломщик может воспользоваться этими номерами для автопрозвона). Если есть такая возможность, воспользуйтесь номерами бесплатных телефонов (toll-free) или номерами, которые не применяются в вашей организации. Нам приходилось встречаться с организациями, которые указывали в качестве администратора вымышленное лицо, что, без условно, может выясниться западней для злоумышленника. Если любой сотрудник организации знает, что в случае получения электронного сообщения или звонка от имени человека, представляющегося администратором с указанным в регистрационных данных вымышленным именем, он должен сразу уведомить об этом службу безопасности - безусловно, затруднит задачу взломщика. Еще 1 потенциальная опасность, связанная с регистрацией доменных имен, заключается в том, что отдельные компании-регистраторы разрешают обновлять регистрационные данные. К примеру, сейчас компания Network Solutions разрешает автоматически изменять доменную информацию ч/з Internet. При этом лицо, зарегистрировавшее домен, аутентифицируется одним из следующих 3-х способов: по содержимому поля FROM электронной почты, при помощи пароля и при помощи алгоритма шифровки Pretty Good Privacy (PGP). К несчастью, изначально используется способ проверки содержимого поля FROM, который (невероятно, однако факт!) и выбирают многие администраторы сетей при регистрации своих доменных имен. Конечно, ни о какой безопасности при таком подходе говорить не приходится. Любой злоумышленник может воспользоваться электронным адресом администратора и изменить информацию о домене. (Такая ситуация заполучила наименование "доменного пиратства" (domain hijacking).) Это и случилось с фирмой AOL 16 окт. 1998 г., о чем рассказывалось в газете Washington Post. Кто-то выдал себя за служащего AOL и изменил доменную информацию AOL т.о., чтоб все запросы к их серверам отправлялись в домен autonete.net. Естественно, компания AOL с высокой скоростью восстановила работоспособность серверов, хотя этот случай весьма ярко демонстрирует, насколько иногда хрупким может оказаться все, что связано с Internet. По этой причине важно выбрать какое-то более надежное решение, защитив регистрационные данные при помощи пароля или PGP. К тому же, требуется, чтоб изменение административных или технических контактных данных выполнялось с использованием механизма аутентификации при помощи формы Contact Form узла Network Solutions.
Главная 