Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Попытка получения TLS-сертификатов для чужих доменов mobi, используя просроченный домен с WHOIS-сервисом"	+/–
Сообщение от opennews (ok), 11-Сен-24, 23:06
Исследователи из компании watchTowr Labs опубликовали результаты эксперимента с захватом устаревшего WHOIS-сервиса регистратора доменной зоны ".MOBI". Поводом для исследования послужило то, что регистратор поменял адрес WHOIS-сервиса, переместив его с домена whois.dotmobiregistry.net на новый хост whois.nic.mobi. При этом домен dotmobiregistry.net перестал использоваться и в декабре  2023 года был освобождён и стал доступен для регистрации... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61849
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от timur.davletshin (ok), 11-Сен-24, 23:06	+2 +/–
За попытку конечно "пять", но ICANN планирует отключить whois с января 2025 года с заменой на RDAP. Было бы интереснее, если бы начали "исследовать" возможность манипуляции новым протоколом.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #5, #6

2. Сообщение от Аноним (2), 11-Сен-24, 23:12	+/–
Что и чем можно попробовать RDAP?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 11-Сен-24, 23:44	+4 +/–
Не отключить, а перевести в разряд "необязательно держать". > ICANN has set January 28, 2025, as the WHOIS Sunset Date, after which generic TLD (gTLD) registries will no longer be required to run WHOIS servers
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10

4. Сообщение от Аноним (4), 11-Сен-24, 23:47	+/–
Не совсем понятно почему тут приплели файлтубан.. он вроде как берёт ИП и во вхоисе ищет его, а не какие то домены (mobi  или еще какие). Ну тоесть у владельцев ИП вхоиз внезапно тоже может переехать, и тогда подобную атаку можно будет реализовать, но в данном случае это мимо кассы.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 12-Сен-24, 00:20	–1 +/–
Первый раз о таком слышу, в Debian даже утилиты командной строки нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

6. Сообщение от Виктор (??), 12-Сен-24, 01:01	+1 +/–
Да не взлетел RDAP, что ожидаемо, несмотря на вбуханные деньги. А TLD без Whois есть и сейчас.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8

7. Сообщение от Аноним (-), 12-Сен-24, 02:31	+/–
> уязвимость CVE-2021-32749 в пакете Fail2Ban, позволяющая выполнить внешний код > при возвращении некорректных данных WHOIS-сервисом Прикол, питонисты закатили мастеркласс для этих, с башем, которые DHCP root устраивали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

8. Сообщение от timur.davletshin (ok), 12-Сен-24, 05:37	+/–
https://github.com/openwrt/packages/blob/master/net/banip/fi... - "Auto-add entire subnets to the blocklist Set based on an additional RDAP request with the monitored suspicious IP". Даже современный fail2ban уже переехал на RDAP, а пацаны всё ещё не в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11, #33

9. Сообщение от timur.davletshin (ok), 12-Сен-24, 05:42	+/–
>> уязвимость CVE-2021-32749 в пакете Fail2Ban, позволяющая выполнить внешний код >> при возвращении некорректных данных WHOIS-сервисом Вот поэтому и JSON в RDAP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от timur.davletshin (ok), 12-Сен-24, 05:47	+1 +/–
> Не отключить, а перевести в разряд "необязательно держать". Gopher тоже никто не запрещает, но многие пацаны о факте его существования уже даже не слышали. Если ICANN говорит, что фсё, то это значит, что фсё. Сверху отключат, а дальше всё по нисходящей. Сказано, всем пользовать RDAP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

11. Сообщение от Аноним (-), 12-Сен-24, 06:45	–3 +/–
> Даже современный fail2ban уже переехал на RDAP, а пацаны всё ещё не в курсе. А, это там CVE с ремотным выполнением кода был? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13

13. Сообщение от timur.davletshin (ok), 12-Сен-24, 06:49	+3 +/–
> А, это там CVE с ремотным выполнением кода был? :) Лишь бы чушь какую-то придумать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #21

15. Сообщение от Аноним (15), 12-Сен-24, 12:21	+1 +/–
>на новый хост whois.nic.mobi. При этом домен dotmobiregistry.net перестал использоваться и в декабре 2023 года был освобождён и стал доступен для регистрации. Это лишь говорит о "профессионализме" этих специалистов. Дропнуть поддержку своих клиентов (а у них есть\были клиенты, которые заказывали через них доменные имена!) на уровне "кошка бросила котят, пусть е@...." это надо постараться.
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Соль земли (?), 12-Сен-24, 13:55	+3 +/–
> Удивление вызвало то, что многие системы не переключились на новый хост whois.nic.mobi и продолжали использовать старое имя. Учёные в шоке. Как такое возможно? Наука бессильна.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

17. Сообщение от aaaaa (?), 12-Сен-24, 15:30	+4 +/–
> платформы обеспечения безопасности (..., Group-IB) все что нужно знать о качестве Ыкспертизы ... 🤣
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

18. Сообщение от Аноним (18), 12-Сен-24, 15:53	+5 +/–
Открою секрет. Вся эта тусовка кормится страхом пользователей о мнимых хакерах. А по сути 90% процентов всех взломов учеток происходит через социальную инженерию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20

20. Сообщение от Аноним (21), 12-Сен-24, 16:44	+2 +/–
Т.е. ты вот так просто и открыто заявляешь что Раст не нужен? Жди святая инквизиция за тобой уже выехала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (21), 12-Сен-24, 16:45    Скрыто ботом-модератором	+1 +/–
Правда глаза колет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #30

22. Сообщение от YetAnotherOnanym (ok), 12-Сен-24, 19:37	+/–
А ты лично следишь за изменениями имён whois-сервисов всех оегистраторов, да? То, что админы проспали момент, когда в логах посыпались ошибки о недоступности whois.dotmobiregistry.net, их, конечно, не красит, но с другой стороны, учинять расследование, почему чужой сайт не отвечает - данунах, в своём хозяйстве забот полно. Главный ганд*н здесь - это регистратор. В таких случаях приличные люди рассылают уведомления, причём не в личный кабинет своим клиентам, а в режиме "Всем! Всем! Всем!", чтобы оно по всем новостям и рассылкам прокатилось, и все, у кого в хозяйстве что-то на whois завязано, успели поменять свои настройки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #36

29. Сообщение от Аноним (-), 13-Сен-24, 03:44	+/–
Домен .mobi является первым доменом верхнего уровня посвященный интернету на мобильных устройствах. А также все что связано с мобильными устройствами. Домен .mobi является важным звеном между мобильными операторами, интернет услугами и пользователями, которые используют свои мобильные устройства для коммуникации в сети интернет. Домен .mobi может быть зарегистрирован любой компанией или частным лицом. Честно - абсолютно ненужный домен. Разделение по странам - вполне нормальная была идея, единственно локализация - ru должно быть в америке, в англии, но наоборот должно быть на других языках в других странах - сш и вб, а вот mobi это где-то в австралии, британии, штатах, но не в России (мобила или мобильный) или Китае(流动电话). Но так как очевидно что старые устройства вполне используются да и ещё особыми людьми описанными в статье, то могли бы и старый домен бесплатно владельцу оставить. А теперь жалуются что киберинциденты теперь дорого - ИБ специалистам тоже же за это придётся платить, да и неустойки у невнимательных компаний появятся. Старые устройства перестанут частично работать.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от timur.davletshin (ok), 13-Сен-24, 07:09	+/–
Одному анониму ничего не колет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

33. Сообщение от Аноним (33), 14-Сен-24, 11:55	+/–
>а пацаны всё ещё не в курсе. не доводили нам в части нас касающейся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

36. Сообщение от Аноним (-), 15-Сен-24, 04:17	+1 +/–
Тут интересный выбор - деньги или безопасность? Вроде кому-то и безопасность нужна, но за поддержку этого нужно платить. И в статье четко написано что в первую очередь это нужно компаниям использующих сервис. А кто за безопасность отвечает? Вот вы говорите регистратор, но нужно то компаниям. Хотя разгребать проблемы может совсем кто-то другой кто отвечает именно за безопасность, но по всей видимости не имеет возможности управления в частных компаниях. Или заинтересованы лица которым эхо некорректного сервиса грузит канал. И вроде всем нужно, но виноват регистратор потому что другие делали по другому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема