O

podstawach działania narzędzia whois oraz jego dobrym działaniu jako źródle informacji pisałem nie raz. W aktualnej publikacji zajmiemy się zupełnie innym zastosowaniem tego narzędzia, a mianowicie eksfiltracją danych – znaną również jako wykradanie lub eksport danych do lokalizacji kontrolowanej przez atakującego. Słowem małego przypomnienia whois to prosty protokół żądania i odpowiedzi, powszechnie używany do przeszukiwania baz danych zawierających zarejestrowanych użytkowników obiektów internetowych, takich jak nazwy domenowe lub adresy IP. Ze względu na mnogość opcji oferowanych przez plik binarny tego narzędzia może zostać on użyty do przesłania dowolnego pliku z zaatakowanej maszyny na system atakującego za pośrednictwem jawnego połączenia TCP.
[ czytaj całość… ]

J

akiś czas temu zapoznaliśmy się z danymi rejestracyjnymi nazw domenowych WHOIS. Ich odwrotnością są bazy, które oprócz nazw domenowych indeksują inne metadane, aby później na ich podstawie zidentyfikować inne domeny. Tak działają właśnie bazy reverse whois – odnoszą się do pobierania wszystkich dostępnych informacji o określonej nazwie domeny. Możemy na przykład użyć dowolnej informacji zwykle widocznej w typowym rekordzie WHOIS (np. nazwisko właściciela domeny, nazwę firmy, adres e-mail itp.), aby wyszukać wszystkie nazwy domen, które mają te same metadane. Pomyślmy o tym w ten sposób: nie musimy już grzebać w rekordach DNS, aby ustalić jakie inne domeny należą do firmy „X”. Wystarczy, że znamy jej główną domenę. Za pomocą polecenia whois dla tej domeny możemy skupić się na charakterystycznej informacji i sprawdzić z jakimi innymi domenami jest ona jeszcze powiązana. Przykład:

whois hackergathering.com
...
Registrant Organization: Cyber Illuminati
Registrant Country: PL
...

Jeśli teraz przeszukamy bazy reverse whois szukając wartości rekordu: Cyber Illuminati w polu Owner name / Company name to powinniśmy otrzymać wszystkie inne domeny, które zostały założone przez organizację CI. Przykład – John Smith jest właścicielem 45,755 domen. Z kolei po adresie e-mail rejestratora Aftermarket możemy zobaczyć domeny za jakie jest odpowiedzialny, czy jakie domeny posiada firma OVH.

Więcej informacji: Whoxy, WhoisXML, DomainTools, ViewDNS, ReverseWhois

D

ane rejestracyjne nazw domenowych, powszechnie nazywane WHOIS są od dziesięcioleci przedmiotem różnych dyskusji w ICANN. Grupy robocze w ICANN pracowały nad skomponowaniem zasad, według których dane powinny być wymagane od rejestrujących nazwy domen, czy dane rejestracji nazw domen powinny być prywatne i jak powinny być dostępne. Niezależnie od rozstrzygnięcia wielu rozmów, szersza społeczność ICANN od dawna zgadza się w jednej kwestii: dane rejestracyjne nazw domenowych powinny być przynajmniej sformatowane w spójny sposób. Rozmowy na ten temat rozpoczęły się już w 2002 roku, ale dopiero od 26 sierpnia 2019 roku rejestry nazw domen i rejestratorzy są zobowiązani do korzystania z RDAP (ang. Registration Data Access Protocol, RDAP) jako protokołu wyjściowego danych rejestracyjnych.
[ czytaj całość… ]

F

acebook będzie teraz wyświetlał reklamy nawet użytkownikom, którzy nie są zarejestrowani w jego sieci społecznościowej. Może by tak zablokować ich całą sieć? Jak to zrobić najprościej? Wystarczy znaleźć system autonomiczny danej firmy i wyciągnąć z niego całe bloki sieci, które można dodać do reguł blokujących na ścianie ogniowej.
[ czytaj całość… ]