Исследователи из компании watchTowr Labs опубликовали результаты эксперимента с захватом устаревшего WHOIS-сервиса регистратора доменной зоны ".MOBI". Поводом для исследования послужило то, что регистратор поменял адрес WHOIS-сервиса, переместив его с домена whois.dotmobiregistry.net на новый хост whois.nic.mobi. При этом домен dotmobiregistry.net перестал использоваться и в декабре 2023 года был освобождён и стал доступен для регистрации...Подробнее: https://www.opennet.me/opennews/art.shtml?num=61849
За попытку конечно "пять", но ICANN планирует отключить whois с января 2025 года с заменой на RDAP. Было бы интереснее, если бы начали "исследовать" возможность манипуляции новым протоколом.
Что и чем можно попробовать RDAP?
Не отключить, а перевести в разряд "необязательно держать".> ICANN has set January 28, 2025, as the WHOIS Sunset Date, after which generic TLD (gTLD) registries will no longer be required to run WHOIS servers
> Не отключить, а перевести в разряд "необязательно держать".Gopher тоже никто не запрещает, но многие пацаны о факте его существования уже даже не слышали. Если ICANN говорит, что фсё, то это значит, что фсё. Сверху отключат, а дальше всё по нисходящей. Сказано, всем пользовать RDAP.
Первый раз о таком слышу, в Debian даже утилиты командной строки нет.
Да не взлетел RDAP, что ожидаемо, несмотря на вбуханные деньги. А TLD без Whois есть и сейчас.
https://github.com/openwrt/packages/blob/master/net/banip/fi... - "Auto-add entire subnets to the blocklist Set based on an additional RDAP request with the monitored suspicious IP".Даже современный fail2ban уже переехал на RDAP, а пацаны всё ещё не в курсе.
> Даже современный fail2ban уже переехал на RDAP, а пацаны всё ещё не в курсе.А, это там CVE с ремотным выполнением кода был? :)
> А, это там CVE с ремотным выполнением кода был? :)Лишь бы чушь какую-то придумать.
Правда глаза колет.
Одному анониму ничего не колет.
>а пацаны всё ещё не в курсе.не доводили нам в части нас касающейся
Не совсем понятно почему тут приплели файлтубан.. он вроде как берёт ИП и во вхоисе ищет его, а не какие то домены (mobi или еще какие). Ну тоесть у владельцев ИП вхоиз внезапно тоже может переехать, и тогда подобную атаку можно будет реализовать, но в данном случае это мимо кассы.
> уязвимость CVE-2021-32749 в пакете Fail2Ban, позволяющая выполнить внешний код
> при возвращении некорректных данных WHOIS-сервисомПрикол, питонисты закатили мастеркласс для этих, с башем, которые DHCP root устраивали.
>> уязвимость CVE-2021-32749 в пакете Fail2Ban, позволяющая выполнить внешний код
>> при возвращении некорректных данных WHOIS-сервисомВот поэтому и JSON в RDAP.
>на новый хост whois.nic.mobi. При этом домен dotmobiregistry.net перестал использоваться и в декабре 2023 года был освобождён и стал доступен для регистрации.Это лишь говорит о "профессионализме" этих специалистов.
Дропнуть поддержку своих клиентов (а у них есть\были клиенты, которые заказывали через них доменные имена!) на уровне "кошка бросила котят, пусть е@...." это надо постараться.
> Удивление вызвало то, что многие системы не переключились на новый хост whois.nic.mobi и продолжали использовать старое имя.Учёные в шоке. Как такое возможно? Наука бессильна.
А ты лично следишь за изменениями имён whois-сервисов всех оегистраторов, да?
То, что админы проспали момент, когда в логах посыпались ошибки о недоступности whois.dotmobiregistry.net, их, конечно, не красит, но с другой стороны, учинять расследование, почему чужой сайт не отвечает - данунах, в своём хозяйстве забот полно.
Главный ганд*н здесь - это регистратор. В таких случаях приличные люди рассылают уведомления, причём не в личный кабинет своим клиентам, а в режиме "Всем! Всем! Всем!", чтобы оно по всем новостям и рассылкам прокатилось, и все, у кого в хозяйстве что-то на whois завязано, успели поменять свои настройки.
Тут интересный выбор - деньги или безопасность? Вроде кому-то и безопасность нужна, но за поддержку этого нужно платить. И в статье четко написано что в первую очередь это нужно компаниям использующих сервис. А кто за безопасность отвечает? Вот вы говорите регистратор, но нужно то компаниям. Хотя разгребать проблемы может совсем кто-то другой кто отвечает именно за безопасность, но по всей видимости не имеет возможности управления в частных компаниях. Или заинтересованы лица которым эхо некорректного сервиса грузит канал. И вроде всем нужно, но виноват регистратор потому что другие делали по другому.
> платформы обеспечения безопасности (..., Group-IB)все что нужно знать о качестве Ыкспертизы ... 🤣
Открою секрет. Вся эта тусовка кормится страхом пользователей о мнимых хакерах.
А по сути 90% процентов всех взломов учеток происходит через социальную инженерию.
Т.е. ты вот так просто и открыто заявляешь что Раст не нужен? Жди святая инквизиция за тобой уже выехала.
Домен .mobi является первым доменом верхнего уровня посвященный интернету на мобильных устройствах.
А также все что связано с мобильными устройствами. Домен .mobi является важным звеном между мобильными операторами, интернет услугами и пользователями, которые используют свои мобильные устройства для коммуникации в сети интернет. Домен .mobi может быть зарегистрирован любой компанией или частным лицом.Честно - абсолютно ненужный домен. Разделение по странам - вполне нормальная была идея, единственно локализация - ru должно быть в америке, в англии, но наоборот должно быть на других языках в других странах - сш и вб, а вот mobi это где-то в австралии, британии, штатах, но не в России (мобила или мобильный) или Китае(流动电话). Но так как очевидно что старые устройства вполне используются да и ещё особыми людьми описанными в статье, то могли бы и старый домен бесплатно владельцу оставить. А теперь жалуются что киберинциденты теперь дорого - ИБ специалистам тоже же за это придётся платить, да и неустойки у невнимательных компаний появятся. Старые устройства перестанут частично работать.