×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker kreeg controle over vier van zeven nameservers van io-domein

Door , 38 reacties

Beveiligingsonderzoeker Matthew Bryant was in staat om vier van de zeven nameservers van het io-domein te registreren, waarmee hij dns-verzoeken voor alle domeinnamen op het domein had kunnen omleiden.

Bryant beschrijft zijn bevindingen in een blogpost. Hij stelt dat de gevolgen groot zijn, omdat er een grote kans was dat mensen verbinding zouden maken met zijn gekaapte nameservers. Zo had hij bijvoorbeeld bezoekers van een legitieme io-site kunnen omleiden naar een kwaadaardige site. Hij legt uit dat het io-tld wel gebruikmaakt van dnssec, waardoor het versturen van aangepaste dns-info niet werkt. De ondersteuning voor de techniek onder providers is echter laag, waardoor dit niet veel had uitgemaakt, aldus Bryant.

Hij ontdekte dat hij de vier nameservers in kwestie kon registreren toen hij op een vrijdagavond verschillende tld's in kaart bracht. Via een api van registrar Gandi kreeg hij een notificatie dat een aantal io-nameservers beschikbaar waren voor registratie. Omdat hij dit vaker had meegemaakt en het doorgaans om loos alarm ging, probeerde hij een van de servers te registreren voor 90 dollar. Vervolgens kreeg hij op woensdag een notificatie dat zijn bestelling was goedgekeurd en dat zijn domeinen actief zijn.

Het bleek dat hij inderdaad de nameserver in handen had en dat hij verzoeken kreeg uit de hele wereld. Als eerste maatregel schakelde hij de BIND-server uit, waardoor de verzoeken werden afgehandeld door de andere servers. Zijn eerste poging om de beheerder van de io-domein via de beschikbare contactgegevens te bereiken, liepen nergens op uit. Als aanvullende maatregel besloot Bryant toen ook de overige nameservers te registreren. Na een telefoongesprek kreeg hij vervolgens het juiste adres om contact te leggen en werden zijn bestellingen de volgende dag teruggedraaid.

Bryant stelt dat ook een snelle respons niet alle schade zou kunnen voorkomen, omdat het vaak een tijd duurt voordat de in de cache opgeslagen resultaten uit de verschillende resolvers zouden verdwijnen.

 De bevestiging van de registratie

Door Sander van Voorst

Nieuwsredacteur

11-07-2017 • 08:12

38 Linkedin Google+

Reacties (38)

Wijzig sortering
Ik vond het een raar verhaal dat je een server zou kunnen overnemen door hem te registreren. Maar het gaat eigenlijk alleen maar om de domeinnamen van 4 van de 7 authoratieve name servers. Slordig van de legitieme beheerders.
Dat komt omdat als ik het adres van bijvoorbeeld draw.io wil achterhalen ik aan de rootservers vraag wie er verantwoordelijk is voor het .io top-level domein. Op die vraag krijg ik als antwoord "ns-a1.io. ns-a3.io. a0.nic.io. ns-a2.io. ns-a4.io. c0.nic.io. b0.nic.io.". Hiervan zijn een aantal subdomeinen van ni.io en een aantal 'normale' domeinen.

Als je die domeinen kan registreren dan kun je de DNS ervan aanpassen, als je de DNS ervan kan aanpassen kun je het naar je eigen server laten wijzen en kun je zelf bepalen hoe je reageert op DNS en heb je dus controle over de nameserver van het .io domein.

Het is dus niet 'fysiek' de controle van een server overnemen maar via de dns jouw eigen server als nameserver inzetten
Op die vraag krijg ik als antwoord "ns-a1.io. ns-a3.io. a0.nic.io. ns-a2.io. ns-a4.io. c0.nic.io. b0.nic.io
Dat is toch vreemd? Je wilt weten wie er verantwoordelijk is voor .io, en dan krijg je vervolgens een aantal .io domeinen terug... Waarvoor je eerst dus weer moet weten wie er verantwoordelijk is voor .io. Hoe kom je dan ooit bij een daadwerkelijk ip uit?
Mooi kip en ei probleem hè ;]. Dit wordt opgelost door zogenaamde 'glue' toe te voegen. Dat wil zeggen dat het antwoord waarvoor een nameserver in-bailiwick is, glue - in de vorm van IP adressen - mag toevoegen.

Dus de root nameservers zullen, wanneer je de NS records van het io domein opvraagt en er nameservers zijn die onder het io domein vallen, de IP adressen toevoegen van die nameservers.

Deze glue IP adressen zijn dan ook bij de registrar doorgegeven.

Je ziet dit ook wanneer je NS records opvraagt:

$ dig ns io @a.root-servers.net
;; AUTHORITY SECTION:
io. 172800 IN NS a0.nic.io.
io. 172800 IN NS b0.nic.io.
...

;; ADDITIONAL SECTION:
a0.nic.io. 172800 IN A 65.22.160.17
b0.nic.io. 172800 IN A 65.22.161.17
...

Alles in de additional section is dus toegevoegde glue.

[Reactie gewijzigd door zeroxcool op 11 juli 2017 10:43]

(en ook @Kees)
Deze glue IP adressen zijn dan ook bij de registrar doorgegeven.
Ok wacht, dus .io stond het niet alleen toe dat je hun nameservers kon registreren, ze stuurden de ip's die jij instelde vervolgens ook doodleuk door naar de rootservers? Wat een clusterfuck 8)7

[Reactie gewijzigd door .oisyn op 11 juli 2017 11:23]

Of het systeem van .io zó gemakkelijk was in het doorgeven van glue voor die vier top-level nameservers naar de root nameservers durf ik niet te zeggen. Bij een gemiddelde registrar is dit een automatisch proces via het EPP protocol, ik weet niet hoe de root servers dit regelen.

Het voordeel wat Bryant heeft gebruikt, is om een nameserver onder een .com domein te pakken. Waardoor de .io nameservers geen glue hiervoor mogen distribueren.
De rootnameserver stuurt ook alle IPadressen van de nameservers voor nic.io mee in een 'additional records' antwoord op je query.
Ik vind de schrijfwijze inderdaad wat verwarrend en snap wat T-MOB bedoelt. Het is niet zozeer dat de nameservers zijn geregistreerd maar dat de geregistreerde domeinen van de nameservers beschikbaar waren.

Onderaan de streep had het volgens mij hetzelfde effect. Desalniettemin heeft Bryant, als ik het goed begrijp, alsnog een eigen server moeten opzetten en die koppelen aan de overgenomen domeinnamen, om überhaupt iets met de dienst te kunnen. Al had hij de namen geregistreerd en naar 127.0.0.1 laten verwijzen waren de nameservers simpelweg "onbeschikbaar".

Toch.. ? :) (CMIIW)
Klopt, alleen heeft hij ze naar zijn eigen server laten verwijzen (en wijselijk zijn DNS resolver daar onbruikbaar gemaakt) zodat hij kon zien of het ook echt werkte.

Dat is beter dan het naar 127.0.0.1 laten verwijzen want je weet niet wat een gebruiker allemaal op zijn localhost heeft draaien en het zou zo kunnen dat voor een aantal mensen alle .io domeinen dan ineens onbereikbaar waren.
Ik vond het een raar verhaal dat je een server zou kunnen overnemen door hem te registreren. Maar het gaat eigenlijk alleen maar om de domeinnamen van 4 van de 7 authoratieve name servers. Slordig van de legitieme beheerders.
Alleen maar ...
Maar wel DE manier om een domein te bereiken.
Waarom zoiets niet op auto renew staat snap ik niet, ik heb een paar domeinen in gebruik die persé wil vasthouden.
Die staan op 10 jarige auto-renew, ik begrijp niet dat dat met zulke (nog belangrijkere) zaken gedaan wordt inderdaad
Sterker nog, waarom kun je uberhaubt die domeinen registreren? Het is niet alsof nic.io niet de volledige controle over .io domeinen heeft dus inclusief de mogelijkheid ze 'reserved' te maken en nooit te laten verlopen.
Ah, wat is slordig, kom net deze gem tegen. 8)7

#dig @8.8.8.8 dkd.sectorloket.nl

Voor Windows gebruikers:
>nslookup dkd.sectorloket.nl 8.8.8.8

Ik moest lachen.

[Reactie gewijzigd door kr4t0s op 11 juli 2017 12:47]

Lol wtf je zou denken dat private ranges toch niet toegelaten zijn ;-)
Wat is daar mis mee? Externe adressen voor lokalen ip's worden vaak zat gebruikt, helemaal als je internet domein een echte extensie geeft
Domein om werknemers eenvoudig met de webapp op het intranet te laten verbinden, maar enkel vanuit kantoor?
Domein om werknemers eenvoudig met de webapp op het intranet te laten verbinden, maar enkel vanuit kantoor?
Dat kun je ook via de routering en firewalls binnen het bedrijfsnetwerk zelf afhandelen.

Routerfabrikanten voor consumenten flikken dit zelfs. Asus, bijvoorbeeld, bakt in al hun consumentenrouters een router.asus.com subdomein in wat naar het LAN IP adres verwijst van de router zelf, zodat consumenten altijd makkelijk bij de web interface kunnen komen.

[Reactie gewijzigd door R4gnax op 12 juli 2017 08:16]

Niet elk bedrijf heeft interesse om intern een DNS server te draaien om 1 subdomein intern beschikbaar te maken, of een router welke een subdomein van een externe TLD kan verzorgen. En als je extern toch al de DNS van je domein (site) draait, waarom daar dan geen 1 extra A record? Blijft alles lekker bij elkaar, maakt het beheer later ook alleen maar makkelijker. Het geeft een klein beetje rekon weg aan crackers op zijn slechts. Verder toch niks mis mee?
8.8.8.8 is een DNS server in beheer van Google.

Waarschijnlijk gewoon een eenvoudige manier om intern de DNS server van Google te gebruiken, maar dat in de toekomst eenvoudig naar een andere server te kunnen wijzigen. zonder alle leases te hoeven renewen.

Al is een TTL van 12 uur mijn inziens dan niet helemaal logisch gekozen.


Oh hij resolved niet naar 8.8.8.8, dat is de nameserver die jij gebruikt. Hij resolved naar 192.168.73.73.
Laat maar ;)

[Reactie gewijzigd door frickY op 11 juli 2017 13:02]

Voor diegene die het net als mij niet wisten, maar .IO is het topleveldomein van Brits Indische Oceaanterritorium.

https://nl.wikipedia.org/wiki/.io
Wat veel gebruikt wordt door online games zoals splix.io blockor.io etc.
Komt vooral om het een 'hippe' domeinextensie is. (IO = Input Output)
Hip in 2015, tegenwoordig is .ai helemaal hot. Wel bijblijven hè. :+
.ai is the Internet country code top-level domain (ccTLD) for Anguilla.
Anguilla (/æŋˈɡwɪlə/ ang-GWIL-ə) is a British overseas territory in the Caribbean.[3] It is one of the most northerly of the Leeward Islands in the Lesser Antilles, lying east of Puerto Rico and the Virgin Islands and directly north of Saint Martin
Waarom dat soort eilandjes allemaal een eigen top-extensie hebben gekregen is me nog niet helemaal duidelijk. En dat terwijl er nog legio landen zijn met een .co.<land> extensie (als gemeengoed)
En dat terwijl er nog legio landen zijn met een .co.<land> extensie (als gemeengoed)
Die snap ik niet helemaal. Hoezo "en dat terwijl..."? Wat heeft dat te maken met eilandengroepen die een eigen extensie hebben? Als een land ervoor kiest dat er niet direct geregistreerd kan worden onder hun TLD dan is dat toch hun goed recht?
Alle domeinen worden afgeleid van een landcode, vast gelegd in ISO 3166-1 https://nl.wikipedia.org/wiki/ISO_3166-1

Dat jij een eilandje niet kent wil niet zeggen dat ze natuurlijk niet bestaan en nergens recht op hebben.

Verder is de .co.* een keuze die ze zelf maken. .uk had ook gewoon alle domeinen op .uk kunnen zetten. In Nederland had je vroeger zelfs dat particuliere domeinen altijd een nummer moesten hebben. Dus dan krijg je tweakers.123.nl, zie nieuws: Domeinen voor particulieren 15 november beschikbaar
Amsterdam heeft ook zijn eigen top extensie, waarom zo'n eiland niet?
amsterdam heeft een TLD gekocht, net zoals jij dat kan doen. De eilandengroep heeft hun TLD gewoon gekregen van de ICANN. Niet dat dat laatste onterecht is, maar het is dus compleet onvergelijkbaar.
Niet te vergeten: agar.io en slither.io!
Was eigenlijk ook maar een korte hype imo. Andere .io games hebben hard gefaald.
niet te vergeten dat het wordt gebruikt door criminelen voor fake phishing sites.
die vol malware zijn gestopt.

en alle zijn via deze "service/provider" aangevraagd
en hebben via whois identieke info:
http://whois.domaintools.com/whoisguard.com
-------------
weet niet tot in hoeverre het crimineel is, maar het is wel verdacht.
Wordt ook veel gebruikt voor scripts of software: bijvoorbeeld: brackets.io of atom.io (beide text editors)
En ook door Qt.io, wat aan de basis ligt van best wel veel software wereldwijd.
WhoisGuard wordt gebruikt om gebruikersinfo af te schermen, is redelijk standaard tegenwoordig. Ik wil ook niet dat al mijn info gescraped wordt dmv whois en ik platgespammed word.
en wat verklaart het dan dat veel phishing sites dan via whoisguard worden gebruikt?

waarom stopt WhoisGuard die sites dan niet?
Omdat Whois Guard niet op de stoel van een rechter gaat zitten. Als je een probleem hebt dan stuurt Whois guard dat netjes door, en als je een rechtelijk bevel hebt dan zullen ze dat ook uitvoeren. Maar die gaan zelf niet beslissen of proactief handelen.
WhoisGuard is gewoon een soort extra functie, die je krijgt bij het kopen van een domeinnaam. Natuurlijk is het fijn voor mensen die illegale dingen doen dat je niet meteen kan zien wie ze zijn (als ze al legitieme info hebben ingevuld...).
Misschien moet je gewoon even lezen wat WhoisGuard precies is: http://www.whoisguard.com/
What is WhoisGuard™?

Everyday domain owner's information is harvested by spammers from publicly available whois to send spam. WhoisGuard avoids this issues by placing our information in whois and provides an option to redirect email and regular mail to the customer's real address. During the process of transferring the email, we try to avoid obvious junk email and regular mail, thus relieving the customer from junk.
How to Obtain WhoisGuard?

WhoisGuard protection can be obtained as an addon to domains registered at our partner registrars.

How Does WhoisGuard™ Work?

We place our information in public whois so that your information is not available to spammers. We don't cut off legitimate contacts by passing on valid mail and emails.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*