Наскільки відкриті IPv6 адреси та імена AAAA потенційними зловмисниками?

Цілком стандартно щодня отримувати значну кількість незначних спроб злому, намагаючись використовувати загальні ім’я користувача / паролі для таких служб, як SSH та SMTP. Я завжди вважав, що ці спроби використовують "малий" адресний простір IPv4 для відгадування IP-адрес. Я зауважую, що я отримую нульові спроби злому на IPv6, незважаючи на те, що мій домен має записи імен AAAA, що відображає кожен запис A Name, а всі IPv4 послуги також відкриті для IPv6.

Припускаючи загальнодоступний DNS (маршрут 53 AWS) з неясним субдоменом, що вказує на досить рандомізований суфікс / 64; Чи можна віддалено виявляти адреси IPv6 та / субдомени без спроб кожної адреси в / 64-бітовому префіксі чи кожного піддомену в дуже довгому списку поширених імен?

Я, звичайно, знаю, що сканувати Інтернет, шукаючи перелічені (суб) доменні імена, досить просто. Я також знаю, що машини в одній підмережі можуть використовувати NDP. Мене більше цікавить, чи дозволяють DNS або базові протоколи IPv6 відкривати / перелічувати невідомі домени та адреси дистанційно.

Зловмисні боти вже не здогадуються про адреси IPv4. Вони просто спробують їх усіх. У сучасних системах це може зайняти всього кілька годин.

З IPv6 це вже реально неможливо, як ви вже здогадалися. Адресний простір настільки більший, що неможливо навіть сканувати грубою силою одну / 64 підмережу протягом життя людини.

Ботам доведеться бути більш творчими, якщо вони будуть продовжувати сліпе сканування на IPv6, як на IPv4, і зловмисним операторам-ботам доведеться звикати набагато довше між пошуком будь-яких машин, не кажучи вже про вразливих.

На щастя для поганих хлопців і, на жаль, для всіх інших, прийняття IPv6 пройшло набагато повільніше, ніж це було насправді. IPv6 виповнилося 23 роки, але лише протягом останніх п’яти років він зазнав значного прийняття. Але всі підтримують свою мережу IPv4 активною, і надзвичайно мало хостів є лише IPv6, тому зловмисні оператори ботів мало стимулів зробити комутацію. Вони, ймовірно, не будуть робити, поки не відбудеться істотна відмова від IPv4, що, мабуть, не відбудеться протягом наступних п’яти років.

Я очікую, що сліпе здогадування, ймовірно, не буде результативним для зловмисних ботів, коли вони, нарешті, перейдуть до IPv6, тому їм доведеться перейти на інші засоби, як, наприклад, імена DNS, що змушують жорстоко, або націлене грубе форсування невеликих підмножин кожна підмережа

Наприклад, загальна конфігурація сервера DHCPv6 видає адреси ::100через ::1ffза замовчуванням. Це всього лише 256 адрес, щоб спробувати, із цілого / 64. Переконфігурування сервера DHCPv6 для вибору адрес із значно більшого діапазону пом'якшує цю проблему.

А використання модифікованих адрес EUI-64 для SLAAC зменшує простір пошуку до 2 ^24, помножене на кількість призначених OUI. Хоча це понад 100 мільярдів адрес, це набагато менше 2 ⁶⁴ . Випадкові боти не будуть заважати шукати цей простір, але зловмисні суб'єкти на рівні держави будуть спрямовані на атаки, особливо якщо вони можуть вчитись, які NIC можуть бути використані, щоб ще більше зменшити простір пошуку. Використовувати стабільні адреси конфіденційності RFC 7217 для SLAAC дуже просто (принаймні, в сучасних операційних системах, які його підтримують) і зменшує цей ризик.

RFC 7707 описує кілька інших способів розвідки в мережах IPv6 для пошуку IPv6-адрес та способів пом'якшення проти цих загроз.

Я виявив, що БОЛЬШОГО ботів сьогодні не здогадуються, з IPv4 або IPv6. Безпека через незрозумілість - це взагалі не безпека. Непрозорість просто затримує / зменшує кількість атак на деякий час, і тоді це не має значення.

Хакери знають доменне ім’я вашої компанії з вашого веб-сайту чи адреси електронної пошти, які IP-адреси публічних серверів ви публікуєте для таких речей, як електронна пошта, SPF, веб-сервери тощо. Хоча це може зайняти трохи більше часу, щоб дізнатись випадкове ім’я сервера, але вони здогадаються загальні назви, такі як www, пошта, smtp, imap, pop, pop3, ns1 тощо, а потім скребте ваш веб-сайт, щоб отримати будь-які додаткові дані. Вони витягнуть з магазину попередніх сканів ваші імена DNS, IP-адреси та на порти, на яких слід зосередити увагу. Вони також отримають список адрес електронної пошти / паролів з будь-яких порушень даних, які вони можуть знайти, і спробують усі ці входи, а також деякі додаткові з будь-якими системами, на які вони вважають, що ви працюєте у своїх портах. Вони навіть знаходяться в міру того, щоб дізнатися імена та посадові ролі вашого персоналу, щоб спробувати здійснити напад на соціальну інженерію. Наш фільтр спаму постійно бомбардується спробами шахраїв, які заявляють, що хтось із менеджменту потребує термінового переказу коштів. О, вони також дізнаються, хто є вашими діловими партнерами, і заявляють, що вони є ними, і повідомляти вам, що їхні банківські дані змінилися. Іноді вони навіть знають, які хмарні платформи використовують ваші ділові партнери для виставлення рахунків.

Злочинці мають доступ до великих інструментів даних так само, як і всі інші, і вони зібрали напрочуд величезну кількість даних. Перегляньте це свідчення деяких ІТ-фахівців конгресу США https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

Якщо говорити про порушення даних, якщо компанія втрачає щось навіть таке, здавалося б, марне, як журнал веб-сервера, це буде містити IP адреси v4 або v6 всіх, хто використовував цей сервер у той час, і які сторінки вони отримували.

На закінчення, жоден із цих методів не вимагає від зловмисника здогадуватися, який IP ви використовуєте, вони вже знають.

Редагувати : Як трохи вправи, я провів усі 2 хвилини на перегляді вашого сайту (зі свого профілю), спробувавши один із інструментів онлайн-сканування, пов’язаних деінде тут, і трохи ознайомився з nslookup і дізнався про кілька речей про вас . Я здогадуюсь, що один із незрозумілих адрес, про які ви говорите, передбачає

• назва планети, схожа на одну з тих, яку ви публікуєте
• звільнені
• та IPv6-адреса, яка закінчується 2e85: eb7a
• і вона працює ssh

Оскільки більшість інших ваших опублікованих IPv6 адрес закінчується :: 1. Це лише з інформації, яку ви публічно публікуєте з 1 крихітною здогадкою. Це від IP, яку ви хотіли приховати?

Редагування 2 : Ще один швидкий погляд, я бачу, що ви публікуєте свою електронну адресу на своєму веб-сайті. Перевірка веб- сайту https://haveibeenpwned.com/ щодо виявлення порушень даних за цією адресою та яких даних на чорному ринку. Я бачу, це було в порушеннях

• Порушення Adobe в жовтні 2013 року: компромісні дані: адреси електронної пошти, підказки щодо пароля, паролі, імена користувачів
• MyFitnessPal: у лютому 2018 року. Компрометовані дані: адреси електронної пошти, IP-адреси, паролі, імена користувачів
• MySpace: приблизно у 2008 році компрометовані дані: адреси електронної пошти, паролі, імена користувачів
• PHP Freaks: у жовтні 2015 року компрометовані дані: дати народження, електронні адреси, IP-адреси, паролі, імена користувачів, активність веб-сайтів
• QuinStreet: Приблизно в кінці 2015 року Скомпрометовані дані: дати народження, електронні адреси, IP-адреси, паролі, імена користувачів, активність веб-сайту

Переглядаючи, чи використовується ця частина імені користувача електронної адреси у інших популярних постачальників електронної пошти, я бачу, що є набагато більше даних. Це був би ще один крихітний здогад, який може зробити бот. Якщо деяка частина співвідноситься з тією частиною, яка вже відома про вас, то бот може припустити, що це все ви, це не повинно бути певним, достатньо ймовірно, що це достатньо. З додатковими даними в цих порушеннях

• Verifications.io: У лютому 2019 року Скомпрометовані дані: дати народження, електронні адреси, роботодавці, стать, географічні місця, IP-адреси, назви вакансій, імена, номери телефонів, фізичні адреси
• Список спаму для медіа Рівер-Сіті у січні 2017 року. Компрометовані дані: адреси електронної пошти, IP-адреси, імена, фізичні адреси
• Apollo: у липні 2018 року стартап із залучення продажів Скомпрометовані дані: адреси електронної пошти, роботодавці, географічні місця, назви робочих місць, імена, номери телефонів, привітання, профілі соціальних медіа
• B2B Американські компанії в середині 2017 року Компрометовані дані: адреси електронної пошти, роботодавці, назви вакансій, імена, номери телефонів, фізичні адреси
• Біт: у травні 2014 року компрометовані дані: адреси електронної пошти, паролі, імена користувачів
• Колекція №1 (неперевірена): У січні 2019 року було знайдено велику колекцію списків заповнення облікових даних (комбінації адрес електронної пошти та паролів, які використовуються для викрадення облікових записів інших служб), що розповсюджуються на популярному хакерському форумі
• Dropbox: У середині 2012 року Скомпрометовані дані: адреси електронної пошти, паролі
• Exploit.In (непідтверджено): Наприкінці 2016 року величезний список електронних адрес та пар паролів з'явився у "комбінованому списку", який називається "Exploit.In"
• HauteLook: У середині 2018 року компрометовані дані: дати народження, адреси електронної пошти, стать, географічні місця, імена, паролі
• Pemiblanc (непідтверджено): у квітні 2018 року на французькому сервері було виявлено список даних, що містять 111 мільйонів електронних адрес та паролів, відомих як Pemiblanc.
• ShareThis: У липні 2018 року Скомпрометовані дані: дати народження, електронні адреси, імена, паролі
• Ticketfly: у травні 2018 року Компрометовані дані: адреси електронної пошти, імена, номери телефонів, фізичні адреси

Поки бот у нього, він може перевірити facebook, і він може побачити, що одна з сторінок facebook з вашим ім’ям має таку ж фотографію, що і на вашому веб-сайті, і тепер він знає ще трохи про вас і ваших друзів. Плюс я здогадуюсь, що член родини, якого ви перераховуєте, - це ваша мати, яка перераховує "дівоче прізвище вашої матері". З фейсбуку він також може перевірити, який зв язаний профіль є вашим.

В Інтернеті про нас набагато більше інформації, ніж люди розуміють. Аналіз великих даних та машинного навчання справжній, він є зараз, і велика частина даних, розміщених чи витікаючих в Інтернет, можна співвіднести та використовувати. Що ви повинні знати, бачачи, як ви перераховуєте, що в 2003-2007 роках ви отримали ступінь бакалавра з AI та інформатики. З того часу справи пройшли довгий шлях, особливо з досягненнями, які Google опублікував з кінця вашого ступеня. Люди, які є людьми, більшість будуть шукати прибутку від вас, дехто використовує дані розумно та на законних підставах, а інші використовуватимуть їх будь-яким чином.

Моя думка з усього цього - вдвічі, що ми публікуємо більше інформації, ніж ми думаємо, і вся суть DNS полягає в тому, щоб опублікувати перетворення імен на IP-адреси.

Щодо записів AAAA:

DNS традиційно незашифрований. Хоча існує сімейство стандартів (DNSSEC) для підписання DNS, шифрування записів DNS мало набагато більш випадковий процес розгортання, і тому, як правило, найбезпечніше вважати, що будь-який MitM може прочитати всі ваші запити DNS, якщо ви не пішли не в змозі налаштувати зашифрований DNS явно на стороні клієнта. Ви б знали, чи зробили ви це, тому що це досить важке випробування .

(Крім того, ваш веб-браузер, ймовірно, надсилає незашифрований SNI в рукостисканні TLS, після того, як він вирішить домен. Не очевидно, як би ви почали запускати цю дірку, оскільки VPN або Tor все ще можуть бути MitM'd між виходом вузла або точки закінчення VPN та віддаленого сервера. Добрі люди в Cloudflare працюють над тим, щоб вирішити цю проблему назавжди, але ESNI також залежатиме від впровадження клієнта, особливо для Chrome , якщо він дійсно зійде з місця.)

Однак атаки MitM можуть бути або не бути проблемою, залежно від вашої моделі загрози. Більш важливим є простий факт, що імена DNS призначені для публічної інформації. Багато людей (пошукові системи, реєстратори DNS тощо) збирають та оприлюднюють імена DNS з цілком доброякісних причин. Розв’язувачі DNS зазвичай застосовують обмеження швидкості, але ці обмеження зазвичай досить щедрі, оскільки вони призначені для зупинки DoS-атак, а не перерахунку субдомену. Створення сертифіката HTTPS часто передбачає публікацію доменного імені для того, щоб усі його бачили, залежно від ЦА ( давайте шифруємо це , і так багато інших). На практиці зберегти домен чи піддомен в секреті зовсім неможливо, адже майже всі припускають, що вони є загальнодоступними, і не докладають зусиль, щоб приховати їх.

Отже, щоб відповісти на це запитання:

Мене більше цікавить, чи дозволяють DNS або базові протоколи IPv6 відкривати / перелічувати невідомі домени та адреси дистанційно.

Технічно ні, це не так. Але це не має значення, оскільки величезна кількість технологій вищого рівня просто передбачає, що ваші записи DNS є загальнодоступними, тому публічними вони неминуче будуть.