bezpieczeństwo domeny

Dlaczego warto zadbać o bezpieczeństwo domeny

W tym artykule przypomnimy sobie podstawy działania systemu DNS i zwrócimy uwagę na kilka kwestii związanych z bezpieczeństwem nazw domenowych. Jeśli wasza firma bądź instytucja świadczy usługi głównie za pośrednictwem strony internetowej bądź poczty, a ich niedostępność może być powodem poważniejszych problemów, zapoznajcie się koniecznie przynajmniej z sekcją „Zagrożenia”.

Trochę historii

Przeglądanie Internetu za pomocą adresów IP, np: 142.250.185.227 byłoby dość kłopotliwe. Przed rokiem ’83 do mapowania nazw serwerów z adresami IP wykorzystywano plik hosts, który do dziś znajdziemy w każdym systemie operacyjnym. Jego zawartość wygląda najczęściej tak:

# Komentarz do pliku hosts (np. opis budowy pliku)
127.0.0.1 localhost loopback
::1 localhost

W pliku tym pierwsza kolumna zawiera adres IP, a kolejne – przypisane do niego nazwy domen lub hostów (serwerów). W powyższym przykładzie wartość ::1 to również adres IP, ale w wersji IPv6. Dodając do tego pliku nazwę jakiejś znanej domeny (np. facebook.com) i przypisując jej nieprawdziwy adres IP możemy spowodować, że użytkownik komputera zostanie przekierowany na fałszywą stronę. Stanie się tak ponieważ plik ten jest domyślnie sprawdzany przed wysłaniem zapytania do serwera DNS. Była to cecha często swego czasu wykorzystywana przez złośliwe oprogramowanie.

Pomysł z plikiem odwzorowującym nazwy wydawał się wystarczający, ale wraz z rozwojem sieci pojawiała się coraz większa liczba wpisów. Rozmiar pliku zaczął rosnąć, a jego aktualizacja i dystrybucja stała się uciążliwa. W ’83 roku lista wpisów wynosiła 4791 natomiast w ’85 było już ich 13252 (ok. 138KB). Aktualnie zarejestrowanych domen mamy grubo ponad 367,33 mln (stan na 2019 rok), a plik o takiej ilości wpisów zajmowałby około 10GB!. Dla zainteresowanych historią Internetu poniżej wersje papierowe pliku hosts (kiedyś można je było wydrukować w całości):

Tak oto w 1983 roku został opracowany protokół DNS, którego głównym, ale nie jedynym zadaniem jest określenie adresu IP na podstawie nazwy hosta/domeny.

Jak działa DNS?

DNS, czyli Domain Name System umożliwia “tłumaczenie” przyjaznych dla człowieka nazw domenowych na adresy IP. Odwzorowanie odbywa się przez odczytywanie odpowiednich rekordów DNS z serwera i przebiega mniej więcej następująco:

  • Po w pisaniu adresu strony w przeglądarce internetowej wysyłane jest zapytanie do serwera DNS zdefiniowanego w naszej sieci (np. na routerze) o rekord A, czyli adres IP danej domeny (załóżmy dla przykładu, że będzie to jakas-nazwa.pl),
  • Jeśli nasz serwer DNS nie posiada informacji o danej domenie, odsyła zapytanie do jednego z serwerów głównych domeny .pl (w tym wypadku są to serwery DNS utrzymywane przez Naukowo Akademicką Sieć Komputerową),
  • Serwer główny domeny .pl sprawdza do jakiego serwera delegowana jest obsługa domeny jakas-nazwa.pl (czyli jaki serwer pełni rolę serwera DNS dla tej domeny) i tam przekierowywane jest zapytanie,
  • W końcu serwer DNS domeny jakas-nazwa.pl odpowiada rekordem A (adresem IP) naszemu serwerowi DNS, a ten zwraca nam otrzymany adres,
  • Nasz lokalny serwer DNS po przekazaniu odpowiedzi zapamiętuje ją w swojej pamięci cache przez czas zdefiniowany w rekordzie SOA danej domeny. Dzięki temu na kolejne zapytanie o tę domenę będzie w stanie odpowiedzieć już samemu (chyba, że czas ważności odpowiedzi wygasł, wówczas ponowi zapytanie do serwera głównego).

Za co jeszcze odpowiada DNS?

Rekord A, czyli adres IP to nie jedyna informacja, którą przechowuje serwer DNS dla nazwy domeny. Do innych, najczęściej używanych rekordów należą:

  • Rekord A – rekord odwzorowywania adresu IP (ivp4) serwera, na który wskazuje domena.
  • Rekord NS – definiuje jaki serwer DNS przechowuje informacje na temat danej domeny
  • Rekord CNAME – kanoniczna (ogólnie przyjęta) nazwa mapująca alias na rzeczywistą nazwę domeny np. www.moja-domena.pl może wskazywać na moja-domena.pl.
  • Rekord SOA – przechowuje informacje konfiguracyjne pliku strefy (czyli danej domeny) takie jak nazwa serwera, e-mail administratora, numer seryjny pliku strefy czy interwały czasowe odpowiedzialne za częstotliwość odświeżania wpisów (przechowywania ich w cache’u innych serwerów)
  • Rekord SRV – wskazuje dodatkowe informacje o usługach działających na serwerze np. port i rodzaj protokołu używany dla serwera poczty email czy usługi Jabber.
  • Rekord WKS – używany jest do opisywania usług działających w ramach protokołów TCP i UDP na danym adresie IP, w dzisiejszych czasach raczej nie używany ze względów bezpieczeństwa
  • Rekord PTR – tłumaczy adres IP na nazwę domeny bądź nazwę hosta (tzw. odwrotny DNS – revDNS). Umożliwia wyszukanie nazwy hosta po jego adresie IP.
  • Rekord MX – wskazuje serwery odpowiedzialne za odbieranie poczty dla danej domeny (MX=mail exchange)
  • Rekord TXT – zawiera dodatkowe informacje na temat domeny (np. definicję SPF, która mówi jakie serwery mogą wysyłać pocztę w jej imieniu lub sygnaturę DKIM, która pozwala zweryfikować autentyczność wiadomości email). Rekord TXT może być również wykorzystywany do tego by potwierdzić prawa do domeny (usługodawcy jak Google czy Microsoft mogą prosić o umieszczenie w nim określonego klucza w celu potwierdzenia, że domena należy do nas)

Zagrożenia

Wiemy już, że serwer DNS ma krytyczny wpływ na działanie naszej domeny. Utrata dostępu do niego może się wiązać nie tylko z niedostępnością usług, ale również z ryzykiem podszycia się intruzów pod naszą markę, przejęcia ruchu i wyłudzenia poufnych danych. W branży e-commerce bezpieczeństwo domeny i serwera DNS powinno być priorytetem. Przyjrzyjmy się zatem zagrożeniom, które powinniśmy wziąć pod uwagę myśląc o bezpieczeństwie naszej domeny.

Czy domena na pewno należy do nas?

Jednym z pojawiających się czasem problemów jest fakt nieposiadania praw do własnej domeny. Jak to możliwe? Za usługi internetowe związane z rejestracją domeny, budową strony www czy konfiguracją DNS-a często odpowiadają zewnętrzne podmioty. Mogą to być firmy marketingowe, czy nawet drobni usługodawcy specjalizujący się tworzeniu stron www. Jeśli nie zadbamy o własne interesy, to może się tak zdarzyć, że pośrednik dla własnej wygody, z pośpiechu lub nawet świadomie w celu przywiązania do siebie klienta zarejestruje domenę na siebie. Wydaje nam się, że wszystko jest ok, usługi działają, ale któregoś dnia dowiadujemy się, że cały nasz biznes zależy od nazwy domeny, która należy do kogoś innego.

Jak możemy zweryfikować czy domena rzeczywiście została zarejestrowana na nas? Służy do tego usługa WHOIS. Dla domen .pl najwiarygodniejszym źródłem informacji będzie serwis dns.pl. Z menu na głównej stronie przechodzimy do zakładki WHOIS -> Baza WHOIS:

strona DNS.PL - baza WHOIS dla domeny .pl
strona DNS.PL – baza WHOIS dla domeny .pl

Następnie w formularzu wyszukiwania wpisujemy interesującą nas nazwę domeny, zaznaczamy checkbox „Nie jestem robotem” i klikamy przycisk „Szukaj w bazie WHOIS”:

formularz wyszukiwania w bazie WHOIS
formularz wyszukiwania w bazie WHOIS

Jeżeli nazwa domeny została prawidłowo podana i znajduje się w bazie, wyświetlone zostaną nam wyniki podobne do poniższych (przykład dla domeny allegro.pl):

wyniki wyszukiwania WHOIS dla domeny allegro.pl
wyniki wyszukiwania WHOIS dla domeny allegro.pl

Najbardziej interesująca nas sekcja w wynikach wyszukiwania, to pole „Abonent” – w nim właśnie powinny się pojawić dane abonenta, czyli właściciela domeny. Jeśli tak nie jest, to mamy problem. Co możemy wówczas zrobić? Nakłonić aktualnego abonenta domeny do tzw. cesji, czyli przekazania nam praw do posiadanej nazwy. Jeśli droga polubowna okaże się niemożliwa, to pozostaje nam jedynie procesowanie się z aktualnym abonentem domeny (o czym więcej napiszemy poniżej).

Dla domen zagranicznych, takich jak .com informacji szukać musimy natomiast w globalnych wyszukiwarkach. W Internecie możemy ich znaleźć sporo, my dla przykładu posłużymy się serwisem who.is. Na stronie głównej wpisujemy nazwę domeny w polu wyszukiwania:

strona who.is - globalna wyszukiwarka WHOIS
strona who.is – globalna wyszukiwarka WHOIS

W przypadku domen globalnych zdarza się jednak, że wyświetlane nam wyniki nie zawierają szczegółowych informacji o właścicielu domeny:

wyniki wyszukiwania ukryte przez rejestratora
wyniki wyszukiwania ukryte przez rejestratora

Powyżej widzimy informację, iż dane o właścicielu zostały ukryte z powodu przepisów dotyczących ochrony danych osobowych (GDPR). Może się tak zdarzyć jeśli właścicielem domeny jest osoba fizyczna. Jest to z resztą możliwe również w przypadku domen .pl – abonent będący osobą fizyczną może zażądać ukrycia swoich danych.

W przypadku domen .com zdarza się jednak, że i dane firm nie są wyświetlane. Wynika to z faktu, że rejestratorów domen globalnych jest wielu i posługują się oni własnymi regulaminami. W takim wypadku pozostaje nam upewnić się u źródła, czyli u dostawcy bądź pośrednika przez którego rejestrowaliśmy naszą domenę. Informacje te powinniśmy znaleźć w panelu konfiguracyjnym na naszym koncie hostingowym (o ile mamy do niego dostęp, a to też powinno być przedmiotem naszej troski, o czym w punkcie kolejnym).

Kradzież danych dostępowych

W praktyce bezpieczeństwo naszej domeny i odpowiedzialnego za nią serwera DNS zależy od bezpieczeństwa kont służących do zarządzania nimi. W najprostszym możliwym wypadku, gdy rejestrujemy domenę u dostawcy takiego jak np. home.pl czy nazwa.pl musimy założyć konto, którym logować się będziemy do panelu hostingowego. W panelu tym znajdziemy wszystkie opcje związane z konfiguracją domeny. Dlatego też dostępu do tego konta powinniśmy strzec przynajmniej tak samo, jak np. konta administratora naszej lokalnej domeny Active Directory.

Dla zabezpieczenia się przed odgadnięciem hasła (np. w ataku słownikowym lub siłowym) albo użyciem hasła pochodzącego z wycieku danych zdecydowanie powinniśmy zabezpieczyć konto uwierzytelnianiem wieloskładnikowym (2FA/MFA). Jeśli mamy wybór to lepszą formą będzie aplikacja z kodami (np. Google Authenticator) niż kod przesyłany SMS-em (zob. ataki SIM swap).

W niektórych przypadkach jednak serwer DNS obsługujący naszą domenę znajduje się poza panelem hostingodawcy. Dzieje się tak w przypadku gdy delegowaliśmy obsługę domeny do zewnętrznego serwera (np. w celu integracji z innymi usługami, bądź zabezpieczenia swoich usług u dostawców takich jak Cloudflare). Wówczas zadbać musimy również o dane dostępowe do tego serwera. Możliwość jego przejęcia nie spowoduje co prawda przejęcia samej domeny, ale pozwoli na przekierowanie usług na fałszywe serwery.

Odnowienie domeny

Kolejne zagrożenie, które musimy wziąć pod uwagę to nieodnowienie domeny, czyli brak opłaty przedłużającej prawo do dysponowania nazwą. Każdy rejestrator przypomina swoim klientom o wygasających usługach – jest to w jego interesie. Jeśli jednak podaliśmy przy rejestracji adres e-mail lub numer telefonu, który uległ zmianie informacja ta może do nas nie dotrzeć. Zorientujemy się z opóźnieniem gdy już przestaną nam działać usługi www i poczty. W zależności od operatora będziemy wówczas mieli pewien czas na naprawienie swojego błędu zanim domena trafi do puli wolnych nazw. Home.pl daje swoim klientom 35 dodatkowych dni na opłacenie odnowienia. W przypadku nazwa.pl również istnieje możliwość przywrócenia domeny:

  • polskiej do 30 dni po zakończeniu daty ważności,
  • europejskiej do 40 dni
  • globalnej aż do 70 dni.

A co się stanie gdy jednak nie odnowimy naszej domeny? Może się tak zdarzyć w sytuacji, gdy mamy wiele domen i nie w każdej z nich korzystamy z poczty. Wówczas możemy nie zauważyć, że jakaś nazwa nie funkcjonuje od dłuższego czasu. Scenariusz teoretycznie trudny do zrealizowani ale możliwy. Jakiś czas temu głośno było o domenie Klubu Parlamentarnego Prawa i Sprawiedliwości (kppis.pl), która wygasła i została przejęta przez… Klub Przyjaciół Pieczywa i Sera.

Zapominalskich znajdziemy również w kancelarii Sejmu. Pod adresem przyjaznepanstwo.pl relacjonowane były prace komisji sejmowej o tej samej nazwie. Domena jednak wygasła a jej nowy nabywca pod powyższym adresem uruchomił blog, na którym nieprzychylnie rozpisywał się o rządzących w latach 2010-2016. Obecnie domena wystawiona jest na sprzedaż.

Kolejny ciekawy przykład to domena loteriaparagonowa.pl, która była wykorzystywana przez Ministerstwo Finansów w ramach kampanii zachęcającej do rejestracji paragonów fiskalnych. Po zakończeniu całej akcji domena została jednak porzucona, a jej nowy nabywca uruchomił pod tym adresem serwis pornograficzny. Obecnie domena również wystawiona jest na sprzedaż.

W przypadku powyższych domen trudno stwierdzić, czy ich wygaśnięcie i przejęcie wynikało z roztargnienia, czy po prostu z faktu, że nie były one już dłużej potrzebne poprzednim właścicielom. Ze względów wizerunkowych warto chyba zadbać aby domeny, które były kojarzone z naszą marką nie trafiały do publicznego obiegu. Koszt ok. 100 zł rocznie to nie jest duży wydatek dla firmy, a na pewno nie tak duży jak koszt nadszarpniętego wizerunku.

Jednak nie tylko organizacje rządowe zaliczają wpadki. Swego czasu (2008 rok) zdarzyło się to również firmie Empik. W 2016 natomiast wystarczyło 12 dolarów i można było stać się właścicielem domeny google.com. Nowy posiadacz cieszył się jednak tym faktem tylko przez około minutę gdyż przyczyną tego zdarzenia były problemy techniczne.

Cybersquatting, domainsquatting

Cybersquatting jako piractwo domenowe to praktyka polegająca na rejestrowaniu domen, których nazwa odnosi się wprost do znanej firmy, osoby, instytucji bądź marki. Batalię trwającą około 5 lat toczyła firma Google o domenę gmail.pl z Grupą Młodych Artystów i Literatów, którzy zarejestrowali tę nazwę w 2006 roku. Po pięciu latach domena została odzyskana za pośrednictwem Mark Monitor działającej w imieniu Google12.

Kolejną dużą ofiarą cybersquattingu w Polsce była firma Microsoft. W 2001 roku właściciel sklepu z ziołami postanowił zarejestrować nazwy microsoft.pl oraz microsoft.com.pl zakładając, że będą się idealnie nadawały do prowadzenia biznesu. Po jakimś czasie jednak Sąd Okręgowy w Łodzi przyznał prawa do domeny firmie Microsoft i zakazał posługiwania się tą nazwą pomysłowemu przedsiębiorcy.

Warto zatem pamiętać, że rejestrator domeny nie weryfikuje czy abonent (osoba rejestrująca domenę) posiada prawo do posługiwania się określoną nazwą. Sprytny pirat może więc zarejestrować domenę przed nami (np. wiedząc, że planujemy rozwój naszej działalności w innym kraju). Prawo do nazwy może nam później zostać przyznane jeśli nazwa domeny wiąże się jednoznacznie np. z marką czy znakiem towarowym, jednak będzie to wymagało długotrwałej batalii sądowej.

Podsumowanie

Jeśli chcesz mieć pewność, że Twój biznes nie ucierpi w wyniku niespodziewanych problemów z nazwą domeny wykonaj poniższe kroki:

  • zweryfikuj na kogo rzeczywiście zarejestrowana jest domena
  • sprawdź kto ma hasła do konta hostingowego i serwera DNS twojej domeny
  • zabezpiecz powyższe konta za pomocą uwierzytelniania dwuskładnikowego
  • sprawdź kiedy wygasa twoja domena i ustaw w kalendarzu przypomnienie o jej odnowieniu
  • pomyśl czy nie warto zarejestrować innych domen (np. globalnej .com lub w innych krajach) z nazwą twojej firmy/marki

Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

(autorzy: janiczek.blog, Jakub Staśkiewicz)

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.