Человек нашел себе несколько хороших и свободных доменов через
сервис whois - а через день обнаружил, что эти домены уже заняты.
Случайное совпадение или утечка данных об использовании whois?
Подозрения, что за такими "совпадениями" стоит хорошо налаженный
бизнес киберсквоттеров, давно появляются у пользователей Интернета, в
частности российского. В марте дискуссия на эту тему прошла в рассылке
EZHE - один из подписчиков рассказал, что его заявка на довольно
"неслучайный" домен задержалась на целый день у российского
регистратора, после чего домен оказался зарегистрирован в другой
компании другим человеком.
На Западе подобные проблемы возникли еще раньше. Исследователи предполагали утечки через CNet Domain Search, через VeriSign и Network Solutions, через регистратора GoDaddy и разные другие сервисы поиска свободных доменов.
На днях сайт Dailydomainer.com сообщил о случае перехвата более 50 доменов менее чем через 2 минуты
после их проверки через whois. В другой примере со столь же скоростным
перехватом имена проверялись через сервисы Estibot.com и Whois.sc.
Представитель Estibot свалил все на Network Solutions. А что касается
Whois.sc, то стоящую за ней компанию Name Intelligence уже подозревали в утечках.
"Вебпланета" обратилась за комментариями по этой проблеме в российский центр регистрации доменов RU-CENTER. Вот что рассказал нам директор департамента по связям с общественностью компании Андрей Воробьев.
- В каком месте, по вашему мнению, могут происходить утечки, описанные в этих западных публикациях?
- Подобные перехваты доменов имеют место быть, но только не в случае
использования whois-сервисов аккредитованных регистраторов и
администраторов доменов. Именно их мы и рекомендуем использовать при
проверке домена на занятость.
В случае использования сомнительных сервисов никто не может
гарантировать сохранение конфиденциальности подобных запросов. Зачастую
недобросовестные лица, промышляющие захватом доменов, специально
создают ресурсы, которые в дальнейшем используют именно для мониторинга
интересующих пользователей доменов и их оперативного захвата.
Самый надежный вариант для проверки доменов - whois-сервис РосНИИРОС:
http://www.ripn.net:8082/nic/whois/
Техцентр домена сложно упрекнуть в заинтересованности перехвата
запросов пользователей. Более того, такие запросы не видны в сети
вообще.
- Возможны ли подобные утечки при использовании https://www.nic.ru/whois/ ?
Они сведены к возможному минимуму. Канал между клиентом и сервисом -
защищенный, соответственно, все запросы шифруются. В сети подсмотреть
их невозможно. Наши сотрудники - люди проверенные, человеческий фактор
исключен.
- Кто еще в Рунете, хотя бы теоретически, может иметь доступ
к логам сервисов whois? Многие провайдеры, например, выступают
регистраторами. У них может быть такая утечка?
- У провайдеров, у партнеров регистраторов утечка может происходить.
Там доступ к логам может иметь теоретически кто угодно. Это уже к
вопросу организации безопасности у провайдера.
- Может ли быть причиной утечки какой-то шпионский софт - скажем, тулбары или трояны?
- Да, на пользовательских компьютерах может быть самое разнообразное
шпионское ПО. И тут уже клиент должен сам беспокоится об установке
антивирусов у себя на машине.
- А на компьютерах тех людей, которые обслуживают whois-сервис?
- Люди, которые обслуживают сервис whois, не имеют доступа к логам.
Более того, их компьютеры надежно защищены, для самого сервиса whois
разработано специальное ПО.
- Что вы могли бы посоветовать пользователю, который стал
жертвой подобного перехвата? Может ли он как-то доказать, что
"буквально вчера" смотрел этот домен, а сегодня его захватили? Ведь
логи whois у регистратора хранятся, можно наверное посмотреть, "кто
первый пришел". Или тут уже ничего нельзя сделать?
- Тут уже поздно что-либо советовать. Идеи витают в воздухе. Два
добросовестных пользователя тоже могут практически одновременно подать
заявку на один и тот же домен. Домен получит первый обратившийся.
webplanet.ru/interview/security/2007/10/23/whois_leak.html
|