Veidi enam kui kuu aega tagasi suleti turvakogukonna ühiste jõupingutuste toel üks suurimaid pahatahtlike domeenide registraatoreid Atrivo (ülevaade Atrivost, PDF, 2MB). Ent kurikaeltele tuleb au anda – selmet nina norgu lasta ja endale muud rakendust otsida, said nad raskest olukorrast hoopis inspiratsiooni uue skämmi tarbeks:
Saatja: eNomCentral Tech Support [mailto:info2@enom.com]
Saatmisaeg: 29. oktoober 2008. a. 9:16
Adressaat: XXXX
Teema: Warning: Inaccurate whois information.
Dear user,
On Wed, 29 Oct 2008 10:15:37 +0300 we received a third party complaint of invalid domain contact information in the Whois database for this domain Whenever we receive a complaint, we are required by ICANN regulations to initiate an investigation as to whether the contact data displaying in the Whois database is valid data or not. If we find that there is invalid or missing data, we contact both the registrant and the account holder and inform them to update the information.
The contact information for the domain which displayed in the Whois database was indeed invalid. On Wed, 29 Oct 2008 10:15:37 +0300 we sent a notice to you at the admin/tech contact email address and the account email address informing you of invalid data in breach of the domain registration agreement and advising you to update the information or risk cancellation of the domain. The contact information was not updated within the specified period of time and we canceled the domain. The domain has subsequently been purchased by another party. You will need to contact them for any further inquiries regarding the domain.
PLEASE VERIFY YOUR CONTACT INFORMATION – http://www.enom.com
If you find any invalid contact information for this domain, please respond to this email with evidence of the specific contact information you have found to be invalid on the Whois record for the domain name. Examples would be a bounced email or returned postal mail. If you have a bounced email, please attach or forward with your reply or in the case of returned postal mail, scan the returned letter and attach to your email reply or please send it to:
Attn: Domain Services 14455 N Hayden Rd Suite 219 Scottsdale, AZ 85260
LINK TO CHANGE INFORMATION – http://www.enom.com
Thank you,
Domain Services
[IncidentID:32225]
Ehk siis kirja saajat hirmutatakse, et keegi on nende domeeni enda nimele registreerinud, omanikuvahetusprotsess on juba käimas ning halvima vältimiseks tuleks koheselt uuendada oma kontaktandmeid. Kirjas toodud link viitab pealtnäha maailma suuruselt teisele domeeninimede jae- ja hulgimüügifirmale eNom, kuid viib tegelikult saidile, mille kohta Firefox annab niisuguse hoiatuse:
Kui hoiatusi ignoreerida, sarnaneb avanev lehekülgki eNom-i omaga. Ilmselt kasutatakse siis “andmeid täpsustavate” domeeniomanike andmeid nende domeenide tegelikuks skvottimiseks. Viimased on küllap siis ainult kergelt pahased: näh, jäingi hiljaks…
Hei
Atrivo oli siiski ISP mitte domeenide registreerija.
ESTDomainsilt, kui tuntud halbade domeenide registraatorilt võeti just ära õigus domeene registreerida – http://www.icann.org/correspondence/burnette-to-tsastsin-28oct08-en.pdf
Seda ka jah.
EstDomainsist saab lähemalt lugeda siit: http://www.f-secure.com/weblog/archives/00001522.html
Atrivo ülevaate pdf raportist võib lugeda, et Atrivo pahalastega olid ühes pundis Venemaa ISP-i Infobox (http://www.infobox.ru) domeenis olevad serverid ja arvutid. Näiteks pahavara rünnakuid teostas infobox.ru domeenis olev kodulehekülg http://77.221.133.171/
Kuidas aga seletada seda, et kuni käesoleva ajani on infobox.ru domeenis oma kakskümmend IP-i mille serveritel/arvutitel on lahtised msrpc (135/tcp) ja netbios-ssn (139/tcp, 445/tcp) pordid. 😉
Näiteks:
INFOBOX.RU (City: Saint Petersburg)
Võrguvahemik 77.221.128.0-77.221.143.255
Lahtiste msrpc ja netbios-ssn tcp portidega hostid: http://77.221.134.50/
http://77.221.134.202/ jne.
Windows operatsioonisüsteemi kasutajad peavad Internetis olema ülivalvsad kui satuvad kodulehekülgedele kus pakutakse lahkel meelel ja keelel tasuta, online keskkonnas antiviiruse jms. skaneerimise teenust. Näilise heateo taga võib peituda salakaval pahavara levitaja.
See on ehe näide, et kui usaldusväärsed on domeeninimede registraatorid-firmad. Samuti ka ISP’d.
Seega on kindlam, kui kasutatakse krüpteritud tunneldust/sidet ning kodulehed istuvad oma serveris.
Seega sftp (ssh) võtmeid suurendada.
Kodulehel ssl.
e-post samuti ssl.
chat’id ilma krüptota ja tunnelduseta on samuti nõmedad..