Исследователь безопасности из компании Seralys выявил возможность подмены DNS-сервера для домена mastercard.com, используемого в инфраструктуре платёжной системы MasterCard. В настройках доменной зоны mastercard.com с июня 2020 года присутствовала опечатка - в списке обслуживающих зону DNS-серверов вместо хоста "a22-65.akam.net" (DNS-служба Akamai) был указан хост "a22-65.akam.ne". Корневая зона ".ne" закреплена за Республикой Нигер и домен "akam.ne" оказался доступен для продажи...Подробнее: https://www.opennet.me/opennews/art.shtml?num=62602
Мастеркард слишком большой чтобы извиняться.
Админам там много платят, чтобы они ошибались. Или обращать внимание на каких-то гавриков. И вообще, там все обмазано сверху до низу сертификатами да аудитами, комар носу не подточит.
обмазано сверху до низу сертификатамивряд ли у них есть сертификат встек или фсб
сертификат PCI DSS должен быть.
За что платить? За то что специнструмент испортил?
А продал бы домен в даркнете -- получил бы бабосиков. Злобные корпоридоры только так понимают, нечего их жалеть.
черные деньги нужны только идиотам. гораздо более выгодно работать на свою репутацию и получать сравнимые белые.
Потом в старости ныть про маленькую пенсию и рассказывать внукам какой ты дартаньян. А они тебя на три буквы посылать.
Значит работать надо было лучше. И да, честно.
И детей/внуков лучше воспитывать.
И как вам там живется в вашем эльфийском лесу с розовыми феями?
Да неплохо. Муравьи только весь пряничный домик изъели и зефирная кроватка жестковата.
Дай сначала определение "нищенское существование", тогда уже можно поговорить о сути.
Только не абстрактное. А с реальными примерами.
no faq2
Опыт подсказывает, что институт репутации в современном мире работает как-то по-другому. И для нашедшего уязвимость скорее это всё станет минусом. Потому что восприятии менеджеров он не благородный специалист, не давший подломить родную контору левым чувакам из Нигера, а плохой человек, который своей деятельностью бросил тень на имя конторы. Или даже, о ужас, из-за его действий кого-нибудь в родной конторе депремировали! Враг, одназначно!
а причём тут своя контора то? Репутация чуть по другому работает
За рубежом она как-то так и работает как он описал. Я думаю что люди просто боятся того в чем не разбираются. Это везение, когда менеджер понимает что вы что-то к лучшему делаете. Чаще наоборот.
Я от сейчас работаю с иностранной конторой. Сделал им за несколько месяцев то что они не могли 5 лет сделать. 5 лет, Карл. В следствии чего проект начал развиваться, тут же инвестор увеличил финансирование. И мне такой отзыв - чет я плохо работаю. У них существенно изменена архитектура в следствии чего вообще стала возможна поддержка и продвижение, но работаю я плохо. Так-что репутация работает, если ты необычной внешности, плюс если девочка и умеешь найти общий язык с начальством. Если ты выполняешь качественно свою работу и все работает как часы, то твою работу заметят разве-что после ухода и то если кто-то где-то напортачит в том что у тебя работало исправно. И то через долгое время, если разберутся.
Если мастеркард выпустит кобреднинговую карту совместно с СС, то это бросит тень на имя СС. Репутация у мастеркарда лол
Вы в его профиль смотрели? Чувак давно уже Founder/Partner, и мнение мидломпнагеров ему фиолетово
A вы в его профиль смотрели?Там все "его" фирмы на 2-5 человек с его главным участием, те он как раз и зарабатывает белым хакерством и прочим консалтингом в сфере инфобезопастности, а "его" конторы для поддержки ведение личного бизнеса.
Конечно может и миллионы платят, хз, тогда он молчит. А вот тут как раз не заплатили, и понесло парня в прессу.
Угу потом бы был арестован в каком-то аэропорту и (возможно) депортирован в федеральную тюрьму.
Отличный план, Уолтер! (с)> Злобные корпоридоры только так понимают, нечего их жалеть.
Если ты видишь упавший кошелек или дверь, которую забыли закрыть, то ты можешь об этом сказать и понадеяться на вознаграждение.
Но если ты этим воспользуешься, то ты станешь criminal scum)И вообще "Ай, Моська! знать она сильна, Что лает на ..." корпов которым ты обязан ядром линукс и кучу других открытых проектов))
если уних ты теряеш карту то ты под защитой банка как минимум два календарных/отчётных месяца - а если не уних то ты сразу сам у себя украл да тебе банк не должен ничего тк принеся их ему ты уже их лишился ... а ведь карту предлагают как защиту от потери кошелька - поэтому в дом вламываются как себе домой
В следующий раз этот товарищ найдет уязвимость посерьёзней, но добросовестно сообщать о ней не станет. Продаст тем, кто с этого может получить профит и будет счастливо жить дальше.
> и будет счастливо жить дальше..., но не долго
Потому что придет государство и его набутылит.
И не нужно рассказывать что ему ничего не будет, т.к. он типа не знал кому продавал.
Даже если срок не дадут, то нервы потреплют знатно.
или нети будет жить нетужить
с виза дружить - куда и перенаправил трафик
Это если он домен со своей кредитки выкупал. А если за крипту? Фиг вычислят.
Вообще-то, типовая реакция современных хелпдексов и саппортов:работать по заявке только если не получилось слить каким-либо образом.
Увы, такое частое современное IT.
Если за безопасность инфры отвечает хелпдеск - у вас в компании все совсем плохо.(в случае мастеркарда это, очевидно, именно так и есть)
Запросы из вне скорее всего падают на 1 линию... а дальше уже или хватает ума переправить по инстанции.. или "у меня www.mastercard.com" открылся, значит днс работает... заявка закрыта, +10 центов к премии,
он вряд ли звонил в справочную мастеркарда. А то что у кого-то нет специальной (и легко находимой а не мелким шрифтом на трехсотой странице) возможности для уведомления об инцидентах безопасности - как бе и говорит нам, что они - д-лы.Что-то я и не удивлен.
отловить в трафике карту дира мастер-карт (типа #00000000001 или позолотее) и сделать чтобы всем стало сразу интересно - неплохобы у домейна данные регистратора на их рук-ит сменить
> отловить в трафике карту дира мастер-карт (типа #00000000001 или позолотее)тут есть нюанс. Лет пятнадцать назад была громкая история, когда в проклятой англосаксии повязали пару рузкехакеров, одного украинца и одного англичанина-мамой-клянус.
Так вот - угадай кто всех сдал, и у кого из них была должность - "директор банка" ?
(и кто, кстати, получил по итогам самый маленький срок)А без карманного банчка напакостить-то ты - сможешь, владелец этой 00000000001 даже и не заметит, но вот сбежать с деньгами и так чтоб хрен вы меня найдете (например в стране домена .ne) - не получится, потому что как только ты приходишь с мешком за невиртуальными денежками - с тобой приходит невиртуальная задница, за которую немедленно и берут, даже в той самой вот стране.
анти баг баунти !!
ладно хоть в суд не сдала за использование ошибки и порочение славного имени. копрорасты х-вы.
Но не подменили потому что всем плевать.
по мне так автор изначальной новости открыл есчё планету или даже две тк теперь за место .net с .org будут регать .ne с .or как ранее .co заместо .com
Предполагаю, что это не уязвимость, а фича кого надо.
И наверняка провернул эту историю мой американский тезка.
В доле были и админ и какой нить топ из ЭмСи.
А через некоторое время в какой нить ДаблЮТи или ЭнВайТи в криминальной хронике появятся заметки о загадочных смертях журналюги и неизвестного хацкера. Все как мы любим смотреть в голливудских блокбастерах с каким-нибудь Брюсом, Томом, Джоном или Мэттью.
просто на клаве мембранка подвела или палец в этот момент ослаб не додавив символ а вы в конспералогию
Ох бы копнуть выяснить что админил это всё чел на аутсорсе. Через парочку прокладок. Эх, мечты...
> Неработоспособность одного из DNS-серверов с опечаткой в имени может долго оставаться незамеченной администраторами, так как отказоустойчивость обеспечивается благодаря указанию нескольких DNS-серверов.а то что нагрузки на сервере нет? ясно, админов в mastercard нет
>ясно, админов в mastercard нетНаоборот, их там 100500 - у семи нянек дитя без глазу. И все они неимоверно крутые с кучей сертификатов на всё на свете, ну а то что руки из ж, так это просто бесплатное приложение к сертификатам.
> админов в mastercard нетодни девляпсы, вот и результат, явно там выделением недокопировал последний символ.
пс: зону .net вообще надо запретить из-за столкновения с .ne
Так там же облака, белогривые лошадки... Само деплоится, само стартует, само тушится поди... Ну а то, что на одном нагрузки нет, так "все подумали, что он резервный, и мимо прошли". Так?
Из настроек видно, что зону обслуживал сервер AKAMAI и, конечно же, не одну её, так что нагрузка там была. А админы МС про нагрузка и знать ничего не могли.
У них был личный кабинет значит. А там графики с нагрузкой должны быть. 4 графика и 1 пустота. Хм...
Печально для кого-то, но мастер кард почти не имеет хождения в РФ, ну как почти, ну совсем почти, ну или почти совсем, ну или совсем, её старый протокол выкупленный имярек (Золотая корона, если что) фирмой из Ёбурга действует до сих пор, он слегка обратно несовместим, ну старый, но фирма имярек кажись отказалась от деятельности в РФ тоже, так что нет препятствий патриотам.
а могли не подменить /thread
Видимо "благодарность" MasterCard выражалась в том, что они не подали на него в суд, как минимум за "попытку" взлома (домен-то купил и настроил) и порчу репутации. Бред, да, но когда стоит вопрос больших денег, многие вещи могут начать выглядить совершенно иначе.
Ну им пока ничто не мешает таки подать в суд.. дело это не быстрое..на 10 компаний, которые хотя бы спасибо скажут, найдётся как минимум одна, которая попытается свои косяки переложить на такого изучателя.
Спасибо за статью! Сохраню в список "что почитать сидя в машине времени" )
А могли карты заблокировать или того хуже сделать перевод на один из адресов из специального списка, после чего исследовалю была гарантированна поездка в пативэне местных клоунов :)
> В итоге, компания MasterCard не только не компенсировала $300No refunds, no rewards and every shekel counts! - MonsterCard.
>Таким образом, в течение четырёх с половиной лет любой желающий мог купить домен "akam.ne", создать хост "a22-65.akam.ne", развернуть на нём DNS-сервер, завести собственный вариант DNS-зоны mastercard.com и перенаправить любой поддомен mastercard.com на свой сервер
>ошибка не представляла угрозы для инфраструктуры
>В итоге, компания MasterCard не только не компенсировала $300, потраченные на домен, но даже на словах не поблагодарила исследователя.Вот именно поэтому никто и не атаковал. Нафиг нужно. А если бы гипотетический атакующий хоть копейку увёл - из под земли бы достали. Кое-где достаточно даже гипотетическую уязвимость какой-либо финансовой организации публично обсудить - чтобы оказаться на очень неприятной беседе в определённых очень неприятных местах у внушающих страх "товарищей".
И как-то дороговато за домен.
кардеры живут же и по заграницам ездят
Кардеры не палят свои данные, как покупатель домена
но недолго
Ну как так то, самое интересное и не (пере)постите> Более того, выявлено, что с 2015 по 2018 год домен "akam.ne" был зарегистрирован и, вероятно, использовался для проведения атак.
Домен был уже зареган на Яндекс почту и вёл на немецкого хостера, на ту же подсеть что и другой домен, тоже зареганый на Яндекс почту..
темвременем многие yandex.* зареганы вообще на левых чуваков и никуда не ведут
Да а толку-то, что ты DNS подменишь.
Там все на сертификатах и ключах.
Есть шанс выпустить сертификат на себялюбимого
> Да а толку-то, что ты DNS подменишь.
> Там все на сертификатах и ключах.и тут к нам на помощь спешит (педобиржпг) летсшиткрипт и его друзья, считающие что кто владеет днс сервером тот и должен получать сертификат.
А мудрые гуглезилепль очень вовремя выпилили всякие вредящие честным бузинесам зильоные метки.
Эх... в принципе... не такая уж плохая страна нигерия. Если у тебя есть хотя бы пара миллионов честно оплаченных с чьих-то глупых карточек...
А РКН против DNSSEC, пофигу на безопасность чё.
Давно не было новостей про DNS. Сам протокол полон ошибок. К тому же он давно устарел, а нового специально не делают. Никто.> В настройках доменной зоны mastercard.com с июня 2020 года присутствовала опечатка - в списке обслуживающих зону DNS-серверов вместо хоста "a22-65.akam.net" (DNS-служба Akamai) был указан хост "a22-65.akam.ne".
Потому что так можно, вот и сделали ошибку.
Совсем-совсем не делают? Точно?А я вот этим "не сделанным" активно пользуюсь.
.
Чем?
>Компания MasterCard вначале проигнорировала сообщение о проблеме, но после того как c ней связался журналист Брайан Кребс (Brian Krebs), признала и исправила ошибкуРеакция компании MasterCard подозрительно спокойно.
>Более того, выявлено, что с 2015 по 2018 год домен "akam.ne" был зарегистрирован и, вероятно, использовался для проведения атак.
В жульничестве участвовали высшие менеджеры компании MasterCard, также возможно участие криминальных структур.
> Более того, выявлено, что с 2015 по 2018 год домен "akam.ne" был зарегистрирован и, вероятно, использовался для проведения атактам выше по тексту
> В настройках доменной зоны mastercard.com с июня 2020 года присутствовала опечатка - в списке обслуживающих зону DNS-серверов вместо хоста "a22-65.akam.net" (DNS-служба Akamai) был указан хост "a22-65.akam.ne"
ну тогда выходит атака если и была, то не на мастеркард, т.к. у них тогда небыло этой опечатки (ну или предполагается что они её там раз в несколько лет исправляют и снова делают ;) но это врядли. ), а на какого то другого клиента акамаи с подобной же очепяткой. В общем копипста, она такая. букву в конце потерять - как 2 байта об асфальт.
кстати тут https://completedns.com/dns-history/ "врут", что с 23 года, а не с 2020 они перехали на NSы акамаи. Но там еще есть домен третьего уровня, az.mastercard.com, в котором СОА подозрительно содержит в себе 2020 и тоже NSы с акаая и судя по скриншоту именно в ней и была проблема... истории по ней нет.
Ошибка если и была, то в делигировании подзоны, а не всего mastercard.com.
Таким образом, перехват трафика возможен был только для зоны az.mastercatd.com, и то, пока не точно. По крайней мере под сомнением указанные пропорции.