ANTICHAT — форум по информационной безопасности, OSINT и технологиям

23.10.2007 16:27
http://www.webplanet.ru/interview/security/2007/10/23/whois_leak.html

Человек нашел себе несколько хороших и свободных доменов через сервис whois - а через день обнаружил, что эти домены уже заняты. Случайное совпадение или утечка данных об использовании whois?

Подозрения, что за такими "совпадениями" стоит хорошо налаженный бизнес киберсквоттеров, давно появляются у пользователей Интернета, в частности российского. В марте дискуссия на эту тему прошла в рассылке EZHE - один из подписчиков рассказал, что его заявка на довольно "неслучайный" домен задержалась на целый день у российского регистратора, после чего домен оказался зарегистрирован в другой компании другим человеком.

На Западе подобные проблемы возникли еще раньше. Исследователи предполагали утечки через CNet Domain Search, через VeriSign и Network Solutions, через регистратора GoDaddy и разные другие сервисы поиска свободных доменов.

На днях сайт Dailydomainer.com сообщил о случае перехвата более 50 доменов менее чем через 2 минуты после их проверки через whois. В другой примере со столь же скоростным перехватом имена проверялись через сервисы Estibot.com и Whois.sc. Представитель Estibot свалил все на Network Solutions. А что касается Whois.sc, то стоящую за ней компанию Name Intelligence уже подозревали в утечках.

"Вебпланета" обратилась за комментариями по этой проблеме в российский центр регистрации доменов RU-CENTER. Вот что рассказал нам директор департамента по связям с общественностью компании Андрей Воробьев.



- В каком месте, по вашему мнению, могут происходить утечки, описанные в этих западных публикациях?

- Подобные перехваты доменов имеют место быть, но только не в случае использования whois-сервисов аккредитованных регистраторов и администраторов доменов. Именно их мы и рекомендуем использовать при проверке домена на занятость.

В случае использования сомнительных сервисов никто не может гарантировать сохранение конфиденциальности подобных запросов. Зачастую недобросовестные лица, промышляющие захватом доменов, специально создают ресурсы, которые в дальнейшем используют именно для мониторинга интересующих пользователей доменов и их оперативного захвата.

Самый надежный вариант для проверки доменов - whois-сервис РосНИИРОС:
http://www.ripn.net:8082/nic/whois/

Техцентр домена сложно упрекнуть в заинтересованности перехвата запросов пользователей. Более того, такие запросы не видны в сети вообще.

- Возможны ли подобные утечки при использовании www.nic.ru/whois/ ?

Они сведены к возможному минимуму. Канал между клиентом и сервисом - защищенный, соответственно, все запросы шифруются. В сети подсмотреть их невозможно. Наши сотрудники - люди проверенные, человеческий фактор исключен.

- Кто еще в Рунете, хотя бы теоретически, может иметь доступ к логам сервисов whois? Многие провайдеры, например, выступают регистраторами. У них может быть такая утечка?

- У провайдеров, у партнеров регистраторов утечка может происходить. Там доступ к логам может иметь теоретически кто угодно. Это уже к вопросу организации безопасности у провайдера.

- Может ли быть причиной утечки какой-то шпионский софт - скажем, тулбары или трояны?

- Да, на пользовательских компьютерах может быть самое разнообразное шпионское ПО. И тут уже клиент должен сам беспокоится об установке антивирусов у себя на машине.

- А на компьютерах тех людей, которые обслуживают whois-сервис?

- Люди, которые обслуживают сервис whois, не имеют доступа к логам. Более того, их компьютеры надежно защищены, для самого сервиса whois разработано специальное ПО.

- Что вы могли бы посоветовать пользователю, который стал жертвой подобного перехвата? Может ли он как-то доказать, что "буквально вчера" смотрел этот домен, а сегодня его захватили? Ведь логи whois у регистратора хранятся, можно наверное посмотреть, "кто первый пришел". Или тут уже ничего нельзя сделать?

- Тут уже поздно что-либо советовать. Идеи витают в воздухе. Два добросовестных пользователя тоже могут практически одновременно подать заявку на один и тот же домен. Домен получит первый обратившийся.
===================
Я лично ни когда не встречался с таким типом "кидалова", если можно это так назвать..