Perl.com的劫持
一周以来,我们失去了对Perl.com域的控制。现在事件已经消失了,我们可以解释发生了什么事情以及我们如何处理它。此事件仅影响Perl.com的域名所有权,而社区资源没有其他妥协。该网站仍然存在,但是DNS分发了不同的IP号码。
首先,这不是不续订域名的问题。对于我们来说,这将是一个更好的情况,因为有一个宽限期。
其次,非常清楚,我只是使用Perl.com域的网站的编辑。这意味着从法律上来说我实际上并不是“受伤方”。汤姆·克里斯蒂安森(Tom Christiansen)是域名注册人,如果法律事务有所进展,我和其他任何人都没有理由知道所有详细信息。但是,我已经与参与此过程的许多人进行了交谈。
我认为我们在权力下放,志愿者事件响应方面做得很好,所以我想和您分享这个故事。您可能对形式上的响应感到高兴(或痛苦),并且可以采取多种措施来避免出现头痛和沮丧感。
1月27日凌晨,Perl NOC通过正常监控发现该域有问题。随之,人们开始报告该网站已丢失。随着全球DNS的更新,越来越多的人报告了问题。我们不知道发生了什么或为什么。
在幕后,我开始收集事件信息,并发布一条推文寻求帮助。我们只是知道效果。在回应的早期阶段,重要的是要核实已知信息和谣言,并区分谁知道什么以及谁散布谣言。与大多数情况一样,是在整个对话中占主导地位的谣言组,而且他们通常会讲一个更有趣的故事,因为他们可以推测和捏造自己喜欢的任何叙事。解决问题而无需spec测-找出您真正了解的知识以及仅是一个猜测。
我创建了一个Google文档,并邀请了相关人员。我们开始填写详细信息,并按照绿色,琥珀色或红色对所有内容进行分类。绿色是高可信度的信息,例如与注册商的直接通信,琥珀色可能不错,但未经验证,而红色则完全是错误的。所有信息都标有时间和来源。谣言控制的第一条规则是说明您从谁那里以及何时听到的。一旦将其放入文档中,其他人就会知道他们认为自己所知道的是更好的还是最近的。而且,有时候我们认为不错的信息是错误的。在这种情况下,我们会更新文档。
我们还列出了需要发生的事情,各种各样的人选择了他们可以解决的问题。例如,我们开始检查其他社区资源,因此Elaine Ashton查看了forcpan.org注册,该注册的联系信息中有一个奇怪的地方,但后来在通过电话与注册服务商联系后证明一切正常。作为Perl NOC一部分的RobertSpier能够验证各种网络方面,时间表等。 Rik Signes加紧在TopicBox上建立了一个私人邮件列表(毕竟他是CTO)。这里的窍门是不要做别人可以为您做的工作(通常比您做的更好)。同样,如果有人已经在做某事,那么您将通过重做或重新发明来浪费时间(和其他人的时间)。权力下放很好,但需要有人担任协调员。在这种情况下,原来是我,因为我在Perl.com网站上投入了大量资金,而我很容易与Tom合作,因为我们在Perl编程方面彼此合作了一年。
我的推文和Reddit评论引起了注册商方程式的注意,因此我在此过程的早期就与Network Solutions和KeySystems进行了交谈。我们很幸运,玻璃纤维是众所周知的东西,汤姆·克里斯蒂安森和我在玻璃纤维专家中都广为人知。成功的第一条规则就是已经成功。参与各种组织的人们为我们提供了帮助和指导。其他受害者不是那么幸运,也没有为他们提供帮助。而且,在某些时候,Perl可能正在运营这些组织,因此人们对过去的美好时光有些钟情。
通常,我帮助双方与汤姆·克里斯蒂安森取得联系,并帮助他管理所有球员。在许多事件中,人们对所有需要发生的事情感到不知所措,最终无所作为。他需要与注册服务商合作,所以我把我本可以做的工作从他的盘子里拿了下来,以便他可以专注于那一点。
我们很快了解到,当您将注册域用于电子邮件联系人时,当该域不再处理您的邮件时,任何人都无法与您联系。大多数麻烦是在验证人们是谁,说他们是谁,但是在域名业务中,每个人都知道真实的人是谁,这就是他们每天都在做的事情。我们确保不会过多地询问其他几个询问相同问题的人。协调与谁一起工作的人避免了N平方的沟通问题,使人们可以做他们需要做的工作,而不是重复回答相同的问题。
一旦每个需要互相交谈的人都获得了很好的联系信息,该过程就可以自理。我们不知道一切都会解决,但是随着形势的发展,我们变得更加自信。但是,我们的信心不是可报告的信息。您不会宣布自己将要发生的事情或可能发生的事情,因为经常会有延迟或打.。
我们过渡到管理公共信息和共享我们可以做的事情。我们的目标是使人们相信他们拥有正确的信息。作为一个有技巧的观众,我们经常喜欢拥有所有信息,但是几乎没有人真正需要知道。
我们在Perl NOCblog上将所有更新的信息集中在一个地方。有时我们会在发布信息之前几个小时就知道一些事情,因为我们做了额外的工作来直接验证事情。人们不必跟踪社交媒体等来了解发生了什么事情,因为他们可以记住这个地方。我们仍然在各地广播更新,但始终指向NOC博客。单点参考非常有帮助。
对于事件响应中的人员,我们制定了当前情况摘要和谈话要点。这些基本上就是我们已经证实的事情,我们可以在不损害法律程序的前提下进行披露。
我们还跟踪了人和故事。各个公司的人是谁,记者正在撰写有关此事件的信息,以及那里的讨论线程。显然,处于各种讨论线程中的一些人只是来参加lulz的会议,而其他人则有很好的细节或可操作的细节(这通常意味着他们处于情况的内部)。同样,我们使用了绿色/琥珀色/红色类别。
这不是我的第一个牛仔竞技表演,所以我进入了新闻接触的角色。尽管我们进行了艰苦的工作来验证所有内容,但许多外部人员还是捏造了东西。就是这样,我期望如此。发布格言“如果您的母亲说她爱您,请找第二个来源”在Twitter时代就不适用。您甚至都不需要第一资源。
重要的是,张一张脸(嘴巴)代表每个人正在做的勤奋工作。 “新闻”故事中有一半没有进行基础研究,其中一些记者甚至没有联系方式(真的,您无法联系到的记者吗?)。与我交谈后,一些人能够纠正他们的故事。
更改域名服务器大约一周后,我解决了这个想法,可能要花几周的时间才能解决劫持问题。由于有多个国家/地区参与实施,并且有一系列有效的法律和法规,因此事情的发展速度可能比我们期望的要慢得多。在互联网时代,明天基本上是无限遥远的。 David Farrellflolo提出了重命名站点的想法,我们开始使用perldotcom.perl.org作为临时域。罗伯特(Robert)能够迅速进行设置,而且甚至在社区的pullrequests上找到了一些我们硬编码的各种我们不应该拥有的东西的地方(任何人都可以发送关于该站点的任何东西的拉取请求!),我们甚至还做了一些不错的工作。 )。 David设置的GitHub流程对于完成所有这些工作至关重要。很高兴从社区获得最简单的请求。
然后,在2月初,我获得了一些可靠的(绿色)反向渠道信息,我们将在几天之内恢复域名。我很可疑,但实际上发生了!再次,我觉得我们很幸运,许多对Perl怀有情有独钟的人做了很多出色的工作。各方都知道,Perl.com属于汤姆,解决该问题很简单。一个相对未知的域名可能无法证明他们拥有该域名。
恢复域并不是响应的终点。当域名遭到入侵时,各种安全产品已将Perl.com列入黑名单,一些DNS服务器也将其列入黑名单。我们认为自然可以解决问题,所以我们没有立即庆祝Perl.com的到来。我们希望每个人都能回来。而且,我想我们已经完全回来了。但是,如果您对域名有疑问,请提出问题,以使我们至少知道它不适用于部分互联网。
这部分引起了一些猜测,Perl.com并不是唯一的受害者。我们认为对Network Solutions进行了社交工程攻击,包括语音文档等。 Network Solutions没有理由向我透露任何内容(再次,我不是受害方),但是我确实与其他相关的域名所有者进行了交谈,这是他们报告的基本方案。
约翰·贝里希尔(John Berryhill)在Twitter上提供了一些取证工作,表明这种妥协实际上是在9月发生的。该域已于12月转移到BizCN注册商,但名称服务器没有更改。域名于1月再次移交给了另一个注册服务商Key Systems,GmbH。此等待时间段避免了立即检测,并且通过一对注册商来弹跳该域会使恢复工作变得更加困难。
但是,请注意第一次传输的延迟时间很长。该域名在9月受到威胁,但在12月转让。原因是:ICANN有60天的规定。您不能在更新contactinfo的60天之内转让域名。我们认为,部分攻击同时更改了注册,因为攻击者将域名续签了2029年最初到期后的几年。
一旦在1月下旬转移到Key Systems,新的欺诈性注册人就会在Afternic(域名市场)上列出该域名(以及其他域名)。如果您有190,000美元,您可以购买Perl.com,这在The Register进行查询后很快就被除名。
显然,这是一个令人尴尬的情况,但这并不奇怪。该域名是在90年代初期注册的,汤姆·克里斯蒂安森(Tom Christiansen)在此之后不久就获得了该域名的控制权,并且基本上一直在支付注册费。由于这不是一个棘手的问题,因此保留了该域。两因素身份验证之类的功能可能会为我们省去很多麻烦(尽管社会工程学攻击往往会绕过安全措施)。
我已经提到了在域的联系人中使用域的问题。出现问题时,通讯渠道也会中断。至少让一位联系人去其他地方。
与“一个声音”进行交流非常重要,否则,即使他们说的是同一句话,您也可能冒着混淆不同信息的风险。您还希望投射信心和能力,以使您发布的信息得到可靠的对待;如果不同的渠道发布不同的更新,则出错的风险会增加。 Perl基金会坚持发布自己的更新,而不是使用我们准备好的声明。即使很简短,指向Perl NOC博客的链接也被中断了好几天。不要冒险。
而且,与能够帮助的人建立朋友和良好的关系总是有帮助的。 网络解决方案和关键系统部门的人员对恢复工作非常有帮助,其他几名使互联网保持运转的人也是如此。 我希望我能给他们直接的荣誉,但是我敢肯定,他们宁愿安静地做他们的工作。 Perl.com域又归汤姆·克里斯蒂安森(Tom Christiansen)掌控,我们正在研究各种安全更新,因此不会再发生这种情况。 该网站恢复到原来的样子,并且对我们获得的帮助略显乐观。 作为事件响应的一部分,Perl Foundation基础结构工作组对其他重要的社区领域进行了调查,并将努力保护这些领域。如果您有兴趣提供帮助,请与他们联系。