kiberbiztonság
Valaki 12 dollárt fizetett a világ legértékesebb domainjéért. Nem nyúlta le, simán megvette.
2015-ben egy egyetemista 12 dollárért vette meg a google.com-ot a Google saját rendszerében. Nem egy tűzfal omlott össze, csak elmaradt a domain megújítása.
Az internet leglátogatottabb domainje váratlanul eladóvá vált.
Tizenkét dollár.
Ennyit írt a kosárban, mint bármilyen más .com domainre.
2015 szeptemberében Sanmay Ved késő éjjel a Google Domains-t böngészte - a Google saját regisztrátorát.
Megszokásból beírta: google.com.
Öt és fél évig dolgozott a Google-nél; a rendszerek tesztelése reflex volt.
A felület zöld ikont mutatott, nem szürkét, ami a foglalt nevet jelzi.
Szabad.
Kosárba tette a világ legforgalmasabb domainjét, megadta a bankkártyaadatait, és a fizetés átment. Tizenkét dollár.
Aztán elkezdtek érkezni a visszaigazolások - nem csak a szokványos nyugtázás, hanem tulajdonosi értesítések.
A Google Search Console-ja megtelt a google.com új gazdájának szánt üzenetekkel.
Belső e-mailek érkeztek.
Körülbelül egy percig a Google legfontosabb domainjének webmesteri vezérlőpultja egy egyetemista fiókjának engedelmeskedett.
Senki sem tört fel semmit.
Nem sebezhetőséget használt ki, nem volt ellopott jelszó, nem volt kártékony kód.
A google.com-ot a saját regisztrációja védte - a hallgatólagos feltételezés, hogy a domain név a tiéd marad, mert valaki, valahol naprakészen tartja a domain regisztrációját. Ezen az útvonalon nincs tűzfal. Nincs ott semmi, amit fel lehetne törni.
Ez a feltételezés a teljes biztonsági modell. És egyetlen adminisztratív lépésen múlik minden.
Egy domain sosem a te örökös tulajdonod, hanem csak bérled. Ha elfelejted megújítani, vagy a regisztrátor rendszere hibázik, egy ilyen - amúgy óriási - érték nem veszít az árából - egyszerűen szabad prédává válik. Bárki kosárba teheti, pont olyan könnyedén, mint amikor valaki beregisztrál magának egy domaint egy sima bloghoz.
A végső védelmi vonal csupán egy megújítás - és a megújítás adminisztráció.
A döntéshozó számára ilyenkor az számít, hogy hol van a hiba a láncolatban: esetünkben az adminisztrációban volt, nem a mérnöki munkában.
A legtöbb cég azokat a dolgokat őrzi, amelyek a leginkább veszélyeztetettnek tűnnek: a szervereket, a végpontokat, a belépéseket. A domain egy regisztrátori fiókban pihen, amelynek gyakran nincs is kijelölt gazdája, nincs auditnyoma, nincs többfaktoros védelme, és egyetlen szót sem ejtenek róla a biztonsági szabályzatban. Megújítása jó esetben egy lejáró bankkártyához van kötve. Egy olyan e-mail-címtől függ, amely valakié, aki talán már két éve kilépett.
A legdrágább veszteség az infrastruktúrádban a saját megújítási naptáradból is jöhet - támadó sem kell hozzá.
Sanmay Ved jelentette az esetet. A Google 6006,13 dollárt fizetett neki - egy összeg, amely „Google”-ként olvasható, ha hunyorítasz -, majd tizenkétezer dollár fölé duplázta, amikor Ved azt kérte, hogy az összeg jótékony célra menjen.
Pedig akár egyetlen kattintással továbbléphetett volna.
A világ legértékesebb domainjét egy megújítás adminisztrációs lépése tartotta biztonságban, nem egy tűzfal vagy valamilyen többfaktoros védelem.
És ez a megújítás majdnem elmaradt.