Quão detectáveis ​​são os endereços IPv6 e os nomes AAAA de possíveis invasores?

26

É bastante padrão receber um número significativo de pequenas tentativas de hackers por dia, tentando nomes de usuário / senhas comuns para serviços como SSH e SMTP. Sempre presumi que essas tentativas estão usando o espaço de endereço "pequeno" do IPv4 para adivinhar os endereços IP. Percebo que não recebo nenhuma tentativa de hacking no IPv6, apesar de meu domínio ter registros AAAA Name espelhando todos os registros A Name e todos os serviços IPv4 também estarem abertos ao IPv6.

Supondo um DNS público (rota 53 da AWS) com um subdomínio obscuro apontando para um sufixo / 64 razoavelmente aleatório; Os endereços IP / 6 e / subdomínios podem ser descobertos remotamente sem tentar todos os endereços em um prefixo de / 64 bits ou todos os subdomínios em uma lista muito longa de nomes comuns?

É claro que sei que rastrear a Web procurando nomes de (sub) domínios listados é bastante simples. Também sei que máquinas na mesma sub-rede podem usar o NDP. Estou mais interessado em saber se o DNS ou os protocolos subjacentes do IPv6 permitem descobrir / listar domínios e endereços desconhecidos por controle remoto.

domain-name-system  ipv6  autodiscovery  discovery 
Philip Couling
fonte
1
Michael Hampton
1
Isso parece segurança por obscuridade ... Se sua única linha de defesa está usando (supostamente) difícil descobrir identificadores (nomes ou endereços IP), então você pode esperar ser violado em algum momento. Você pode estar relativamente seguro contra explorações genéricas / cutucadas aleatórias, mas se precisar se defender contra ataques ativos, essa linha de defesa será interrompida. Há uma tonelada de possíveis maneiras de descobrir "obscurecer" nomes, olhe para geekflare.com/find-subdomains para um começo
Patrick Mevzek
3
@patrick Se você tem apenas uma única linha de defesa, está recebendo um período violado. Ainda não quero que minhas portas trancadas sejam anunciadas para o mundo inteiro
Philip Couling 16/04
2
Não. Pela minha própria conclusão, essa não é minha única linha de segurança. Eu nunca sugeri o contrário.
Philip Couling 16/04
1
Restabelecer Monica - M. Schröder em

Respostas:

34

Bots maliciosos não adivinham mais endereços IPv4. Eles simplesmente experimentam todos eles. Nos sistemas modernos, isso pode levar apenas algumas horas.

Com o IPv6, isso não é mais possível, como você supôs. O espaço de endereço é tão maior que nem é possível varrer com força bruta uma única sub-rede / 64 durante a vida útil humana.

Os robôs precisarão ser mais criativos se quiserem continuar a varredura às cegas no IPv6 e no IPv4, e os operadores mal-intencionados de bot terão que se acostumar a esperar muito mais tempo entre encontrar qualquer máquina, quanto mais vulneráveis.

Felizmente para os bandidos e para todos os outros, a adoção do IPv6 foi muito mais lenta do que deveria. O IPv6 tem 23 anos, mas só teve uma adoção significativa nos últimos cinco anos. Mas todo mundo está mantendo suas redes IPv4 ativas, e pouquíssimos hosts são apenas IPv6, portanto, os operadores mal-intencionados de bot tiveram pouco incentivo para fazer a troca. Eles provavelmente não farão até que haja um abandono significativo do IPv4, o que provavelmente não acontecerá nos próximos cinco anos.

Espero que a adivinhação cega provavelmente não seja produtiva para bots mal-intencionados, quando eles finalmente mudarem para o IPv6, então eles terão que mudar para outros meios, como nomes DNS de força bruta ou força bruta de pequenos subconjuntos de cada sub-rede.

Por exemplo, uma configuração comum servidor DHCPv6 dá endereços no ::100meio ::1ffpor padrão. São apenas 256 endereços para tentar, de um todo / 64. A reconfiguração do servidor DHCPv6 para escolher endereços de um intervalo muito maior atenua esse problema.

E o uso de endereços EUI-64 modificados para SLAAC reduz o espaço de pesquisa para 2 24 multiplicado pelo número de OUIs atribuídas. Embora esse número tenha mais de 100 bilhões de endereços, é bem menor que 2 64 . Os bots aleatórios não se incomodam em pesquisar nesse espaço, mas os agentes maliciosos em nível de estado, por ataques direcionados, especialmente se eles podem fazer palpites sobre quais placas de rede podem estar em uso, reduzir ainda mais o espaço de pesquisa. O uso de endereços de privacidade estáveis ​​do RFC 7217 para o SLAAC é fácil (pelo menos nos sistemas operacionais modernos que o suportam) e reduz esse risco.

A RFC 7707 descreve várias outras maneiras pelas quais o reconhecimento pode ser realizado em redes IPv6 para localizar endereços IPv6 e como mitigar essas ameaças.

Michael Hampton
fonte
Muitos bots já são MUITO criativos, e provavelmente existe um enorme mercado negro para os melhores, provavelmente com acesso agrupado à sua rede de bots enquanto eles estão nisso. Os bots que não são criativos devem ser facilmente bloqueados por qualquer método com o qual você os bloqueie.
BeowulfNode42 16/04
1
A maior parte do que vejo é a variedade não criativa de bot. Embora seja a variedade criativa que me mantém acordada à noite. Felizmente, tenho um cliente que me paga para perder o sono por causa deles. Dito isto, ainda estou vendo algum tráfego significativo de bot no IPv6, criativo ou não.
Michael Hampton
Sim, notei mais recentemente que as tentativas de força bruta estão espalhadas por meses (um nome de usuário ou senha por dia), sugerindo que cada nome de usuário ou senha seja tentado em todos os servidores SSH voltados para o público na Internet (IPv4) antes de passar para o próximo nome de usuário ou senha .
Philip Couling 16/04
8

Descobri que MUITOS bots atualmente não estão adivinhando, com IPv4 ou IPv6. Segurança através da obscuridade não é segurança. A obscuridade simplesmente atrasa / reduz o número de ataques por um tempo e é irrelevante.

Os hackers sabem o nome de domínio da sua empresa a partir do seu site ou endereço de e-mail, quais IPs de servidor público você publica para coisas como e-mail, SPF, servidores da web etc. Embora eles demorem um pouco mais para aprender um nome de servidor aleatório, mas eles irão adivinhar os nomes comuns, como www, mail, smtp, imap, pop, pop3, ns1, etc. e, em seguida, raspe seu site em busca de dados adicionais que possam encontrar. Eles recuperam do armazenamento de verificações anteriores seus nomes de DNS, IPs e em quais portas focar. Eles também recuperam uma lista de pares de endereço de e-mail / senha de quaisquer violações de dados que encontrarem e tentam todos esses logons, além de outros extras com os sistemas que eles pensam que você está executando em suas portas. Eles chegam ao ponto de aprender os nomes e funções de sua equipe para tentar executar um ataque de engenharia social. Nosso filtro de spam é bombardeado continuamente com tentativas de golpistas que afirmam ser alguém da gerência que precisa de uma transferência bancária urgente de fundos. Ah, eles também aprendem quem são seus parceiros de negócios e afirmam ser eles, e informando que os detalhes bancários foram alterados. Às vezes, eles sabem até quais plataformas de nuvem seus parceiros de negócios estão usando para o faturamento.

Os criminosos têm acesso a ferramentas de big data da mesma forma que todos os outros e acumularam uma quantidade surpreendentemente grande de dados. Veja este testemunho de alguns profissionais de TI do congresso americano https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

Falando sobre violações de dados, se uma empresa perder algo tão aparentemente inútil quanto um log de servidor da Web, isso conterá os endereços IP v4 ou v6 de todos os que usaram esse servidor naquele momento e quais páginas acessaram.

Em conclusão, nenhum desses métodos exige que um invasor adivinhe qual IP você está usando, eles já sabem.

Edit : Como um exercício, passei todos os 2 minutos navegando em seu site (a partir do seu perfil), tentando uma das ferramentas de verificação on-line vinculadas a outros lugares aqui, e um pouco de nslookup e descobri algumas coisas sobre você . Acho que um dos endereços obscuros de que você está falando envolve

  • um nome de planeta semelhante a um dos que você publica
  • Freeddns
  • e um endereço IPv6 que termina com 2e85: eb7a
  • e roda ssh

Como a maioria dos outros endereços IPv6 publicados termina com :: 1. Isso é apenas das informações que você publica publicamente com apenas um palpite. Isso é do IP que você deseja ocultar?

Editar 2 : outra olhada rápida, vejo você publicar seu endereço de e-mail no seu site. Verificando o site https://haveibeenpwned.com/ para saber quais violações de dados ocorreram e quais dados existem no mercado negro. Eu vejo que tem estado nas violações

  • Violação da Adobe em outubro de 2013: dados comprometidos: endereços de email, dicas de senha, senhas e nomes de usuário
  • MyFitnessPal: em fevereiro de 2018 Dados comprometidos: endereços de email, endereços IP, senhas, nomes de usuário
  • MySpace: em aproximadamente 2008 Dados comprometidos: endereços de email, senhas, nomes de usuário
  • Freaks do PHP: em outubro de 2015 Dados comprometidos: datas de nascimento, endereços de email, endereços IP, senhas, nomes de usuários, atividade no site
  • Quronic: aproximadamente no final de 2015 Dados comprometidos: datas de nascimento, endereços de email, endereços IP, senhas, nomes de usuários, atividade no site

Vendo se essa parte do nome de usuário do endereço de email é usada em outros provedores de email populares, vejo que há muito mais dados. Este seria outro pequeno palpite que um bot poderia fazer. Se parte disso se correlaciona com a parte que já é conhecida sobre você, o bot pode assumir que é tudo você, não precisa ser certo, provavelmente é suficiente. Com dados adicionais nessas violações

  • Verificações.io: em fevereiro de 2019 Dados comprometidos: datas de nascimento, endereços de e-mail, empregadores, sexos, localizações geográficas, endereços IP, cargos, nomes, números de telefone e endereços físicos
  • Lista de spam de River City Media em janeiro de 2017 Dados comprometidos: endereços de email, endereços IP, nomes, endereços físicos
  • Apollo: em julho de 2018, a startup de engajamento de vendas Dados comprometidos: endereços de email, empregadores, localizações geográficas, cargos, nomes, números de telefone, saudações, perfis de mídia social
  • Empresas B2B EUA Em meados de 2017 Dados comprometidos: endereços de email, empregadores, cargos, nomes, números de telefone, endereços físicos
  • Bitly: maio de 2014 Dados comprometidos: endereços de email, senhas, nomes de usuário
  • Coleção nº 1 (não verificada): em janeiro de 2019, uma grande coleção de listas de preenchimento de credenciais (combinações de endereços de email e senhas usadas para seqüestrar contas em outros serviços) foi descoberta sendo distribuída em um fórum popular de hackers
  • Dropbox: em meados de 2012 Dados comprometidos: endereços de e-mail, senhas
  • Exploit.In (não verificado): no final de 2016, uma enorme lista de pares de endereço de email e senha apareceu em uma "lista de combinação" conhecida como "Exploit.In"
  • HauteLook: em meados de 2018 Dados comprometidos: datas de nascimento, endereços de email, sexos, localizações geográficas, nomes e senhas
  • Pemiblanc (não verificado): em abril de 2018, uma lista de preenchimento de credenciais contendo 111 milhões de endereços de email e senhas conhecidas como Pemiblanc foi descoberta em um servidor francês
  • ShareThis: Em julho de 2018 Dados comprometidos: datas de nascimento, endereços de email, nomes e senhas
  • Ticketfly: em maio de 2018 Dados comprometidos: endereços de e-mail, nomes, números de telefone e endereços físicos

Enquanto o bot está nele, ele pode verificar o facebook e ver que uma das páginas do facebook com seu nome tem a mesma foto do seu site e agora sabe um pouco mais sobre você e seus amigos. Além disso, acho que o membro da família que você lista é sua mãe, que lista o "nome de solteira da sua mãe". No facebook, também é possível verificar qual perfil do linkedin é seu.

Há muito mais informações on-line sobre nós do que as pessoas imaginam. A análise de big data e aprendizado de máquina é real, está aqui agora e muitos dos dados publicados ou vazados online podem ser correlacionados e usados. O que você deve saber, ao listar que concluiu o bacharelado em IA e ciência da computação em 2003-2007. As coisas percorreram um longo caminho desde então, principalmente com os avanços que o Google estava publicando desde o final de sua graduação. Sendo pessoas, a maioria só quer lucrar com você, algumas usando os dados de maneira razoável e legal, mas outras as usam da maneira que puderem.

Meu argumento com tudo isso é duplo, que publicamos mais informações do que pensamos, e o objetivo principal do DNS é publicar a conversão de nomes em endereços IP.

BeowulfNode42
fonte
6

Em relação aos registros AAAA:

O DNS tradicionalmente não é criptografado. Embora exista uma família de padrões (DNSSEC) para assinar o DNS, a criptografia dos registros DNS teve um processo de implantação muito mais casual e, portanto, geralmente é mais seguro supor que qualquer MitM possa ler todas as suas consultas DNS, a menos que você tenha ido fora do seu caminho para configurar o DNS criptografado explicitamente no lado do cliente. Você saberia se tivesse feito isso porque é uma provação .

(Além disso, seu navegador da web provavelmente está enviando SNI não criptografado no handshake TLS, depois de ter resolvido o domínio. Não é óbvio como você resolveria esse problema, pois uma VPN ou Tor ainda pode ser MitM entre a saída nó ou ponto de terminação da VPN e o servidor remoto. O pessoal da Cloudflare está trabalhando para corrigir esse problema definitivamente, mas o ESNI também dependerá da implementação do cliente, principalmente do Chrome , se for realmente necessário.

No entanto, os ataques do MitM podem ou não ser um problema, dependendo do seu modelo de ameaça. Mais importante é o simples fato de os nomes DNS serem informações públicas. Muitas pessoas (mecanismos de pesquisa, registradores de DNS etc.) coletam e publicam nomes de DNS por motivos inteiramente benignos. Os resolvedores de DNS geralmente aplicam limites de taxa, mas esses limites geralmente são bastante generosos, porque devem impedir ataques de DoS, não a enumeração de subdomínios. A criação de um certificado HTTPS geralmente envolve a publicação do nome de domínio para todos verem, dependendo da autoridade de certificação (o Let's Encrypt faz isso , e muitos outros). Na prática, é praticamente impossível manter um domínio ou subdomínio em segredo, porque quase todo mundo assume que é público e não faz nenhum esforço para escondê-lo.

Então, para responder a esta pergunta:

Estou mais interessado em saber se o DNS ou os protocolos subjacentes do IPv6 permitem descobrir / listar domínios e endereços desconhecidos por controle remoto.

Tecnicamente, não, não. Mas isso não importa, porque uma enorme quantidade de tecnologia de camada superior apenas pressupõe que seus registros DNS sejam públicos; portanto, inevitavelmente serão públicos.

Kevin
fonte
1
O SNI criptografado está em desenvolvimento. Dê um ou dois anos.
Michael Hampton
1
@ MichaelHampton: Eu acredito que a ESNI vai acontecer. Mas, considerando o histórico da indústria (DNSSEC, IPv6, DANE, ...), sou um pouco cético quanto ao fato de que "um ano ou dois" será realmente suficiente. Independentemente disso, veremos em breve.
Kevin
1
CloudFlare está pressionando, então aposto mais cedo ou mais tarde :)
Michael Hampton
Sinto-me querendo dizer "sim, mas ..." para cada um de seus exemplos específicos, no entanto, é um ponto muito bom que os nomes DNS geralmente sejam considerados informações públicas. +1
Philip Couling
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.