Sute de subdomenii aparținând zeci de universități de renume au fost preluate de escroci.
Site-urile unor universități prestigioase din întreaga lume afișează conținut pornografic explicit și malware, după ce escrocii au profitat de gestionarea defectuoasă a înregistrărilor de către administratorii acestor site-uri, a descoperit recent un cercetător.
Printre site-urile afectate se numără berkeley.edu, columbia.edu și washu.edu, domeniile oficiale pentru University of California, Berkeley, Columbia University și Washington University din St. Louis. Subdomenii precum hXXps://causal.stat.berkeley.edu/ymy/video/xxx-porn-girl-and-boy-ej5210.html, hXXps://conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn și hXXps://provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf difuzează conținut pornografic explicit și, în cel puțin un caz, un site de înșelătorie care pretinde fals că computerul vizitatorului este infectat și îi sfătuiește să plătească o taxă pentru eliminarea unui malware inexistent. În total, cercetătorul Alex Shakhov a afirmat că sute de subdomenii aparținând cel puțin 34 de universități sunt exploatate. Rezultatele căutărilor efectuate pe Google indică mii de pagini preluate de escroci.
Shakhov, fondatorul SH Consulting, a explicat că escrocii — pe care un alt cercetător i-a asociat cu un grup cunoscut sub numele de Hazy Hawk — profită de o eroare administrativă a administratorilor site-urilor universităților afectate. Când aceștia înregistrează un subdomeniu, cum ar fi provost.washu.edu, ei creează un înregistrare CNAME, care atribuie un subdomeniu unui domeniu „canonic”. Când subdomeniul este în cele din urmă dezactivat — lucru care se întâmplă frecvent din diverse motive — înregistrarea nu este eliminată. Escrocii precum Hazy Hawk profită apoi de această neglijență, preluând înregistrarea veche.
Astfel, ei reușesc să preia subdomeniul respectivei universități. Având în vedere reputația universităților, interogările de căutare ajung rapid în fruntea rezultatelor Google.
Problema de bază este simplă: organizațiile creează înregistrări DNS și nu le curăță niciodată. O înregistrare CNAME nu are dată de expirare. Nimeni nu primește o alertă atunci când ținta nu mai răspunde. Și majoritatea departamentelor IT ale universităților nu mențin un inventar cuprinzător al subdomeniilor lor și al destinațiilor acestora.
Aceasta este amplificată de modul în care funcționează universitățile — acestea sunt foarte descentralizate. Departamentele individuale, laboratoarele, grupurile de cercetare și organizațiile studențești pot solicita adesea subdomenii independent. Când oamenii pleacă, nu există un proces de dezactivare a înregistrărilor DNS pe care le-au creat.
Identificarea subdomeniilor preluate este simplă. Oamenii trebuie doar să introducă site:[universitate].edu “xxx” sau site:[universitate].edu “porn” pentru o instituție afectată, și vor apărea zeci de rezultate. În unele cazuri, subdomeniile nu mai duc la site-uri pornografice, dar vineri dimineața multe încă o făceau.
Lecția aici este clară: orice organizație cu un site web ar trebui să compileze un inventar actualizat al tuturor subdomeniilor împreună cu scopul fiecărui subdomeniu și înregistrarea CNAME corespunzătoare. Apoi, personalul ar trebui să auditeze regulat această listă în căutarea erorilor.
Sursa: Ars Tehnica Technology
Poll: Care dintre următoarele măsuri ar trebui adoptate în mod urgent de către universități pentru a preveni preluarea subdomeniilor de către escroci?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply