Perl.com的一周劫持 - 解释
一周我们丢失了对Perl.com域的控制。现在,IncidentHas Died Died,我们可以解释发生的一些事情以及我们如何处理它。这一事件只影响了Perl.com的域名所有权,并且还有社区资源的其他妥协。本网站仍在那里,但DNS正在发出不同的IP号码。
首先,这不是未更新域名的问题。这将是我们的更好的情况,因为有一个宽限期。
其次,要很清楚,我只是一个usesthe perl.com域的网站的编辑。这意味着我实际上并不是“受伤的党”是法律条款的。汤姆基督徒是域名注册人,而且应该对我来说,没有理由,也没有任何人,也不知道所有的细节。但是,我谈到了许多人参与过程。
我认为我们对分散的,志愿者的反应做出了非常好的工作,所以我想分享我们当我的故事中所做的一部分。你可能已经有福尔德响应的乐趣(或痛苦),并且有各种各样的事情,以便放弃extraheadaches和沮丧。
1月27日早上,通过普通监测,Perl Noc注意到域名出了问题。除此之外,人们开始报告该网站已经失踪了。正如DNS更新全球的那样,越来越多的人报告了问题。我们不知道正在发生或为什么。
在幕后,我开始收集事件信息,我拨出了一个推文要求帮助。这一点我们不知道发生了什么;我们刚知道了。在答复的早期阶段非常重要,以验证已知的知名和什么是谣言,并分离谁知道的东西和谁在谣言中传递。与大多数情况一样,这是罗马格组,占据谈话,他们经常有一个更容感的故事来讲述,因为他们可以推测和制作他们喜欢的任何争吵。在没有猜测的情况下工作 - 发现你真的知道,什么只是猜测。
我开始了谷歌医生并邀请了相关人员。我们在细节中开始了Tofill,根据伯登,琥珀色或红色进行分类。绿色是高信任信息,如同注册商沟通,琥珀可能很好,红,刚刚出错。所有信息都有时间和来源浪费。谣言控制的第一个规则是你听到的谁,何时。一旦这是在文件中,其他人都知道他们认为他们所知道的是更好还是潮流。而且,有时我们认为是错误的信息是错误的。在这些情况下,我们更新文档。
我们还列出了需要发生的事情,各种人员挑选他们可以解决的东西。例如,我们开始检查其他社区资源,因此Elaine Ashton查找Forcpan.org的注册,这在其联系信息中具有奇怪的奇怪,但在手机上处理了注册商后,后来会变得正常。 RobertSpier,Perl Noc的一部分,能够验证各种网络普查,时间表等。 RIK标志加紧在主题框中设置了可疑的邮件列表(毕竟是CTO)。这里的诀窍是不做一些人可以为你做的(而且经常比你能更好)。同样,如果Ormone已经在做某事,你通过重做或重新发明它来浪费你的时间(andothers'时间)。权力下放很好,但有人需要成为协调员。在这种情况下,转向我,因为我在Perl.com网站上投入了很多投资,并且我很容易与汤姆合作,因为我们在彼此与彼此合作了一年的Perl。
我的推文和我的Reddit评论引起了IntruitGistrar等式的两侧,所以我在这个过程中很早就与网络解决方案和键系统交谈。我们非常幸运地珍惜了一个已知的东西,汤姆基督徒都和我都很熟悉Perl。成功的第一个规则是已经成功了。涉及各组织内的人提供了美国帮助和守则。其他受害者并不是那么幸运,并为他们提供帮助。而且,在某些时候,Perl可能正在运行那种人,所以对好的OL的日子有一些喜爱。
大多数情况下,我帮助双方与汤姆Christiansen联系,并希望他管理所有的球员。在许多事件中,人们因需要发生的一切而且最终没有进行行动。他需要与注册商合作,所以我采取了困境的工作,所以他可以专注于那个位。
我们已经学到了很快,当您使用已注册的索取电子邮件联系时,当域NOLONGER处理您的邮件时,否无人可以联系您。大多数麻烦都是验证他们所说的人,但在域名业务中,每个人都知道真正的人是谁 - 这就是他们每天做的事情。我们确保使用询问不同的人提出同一问题的询问,我们没有过载。协调谁是谁与谁一起避免了n平方通信问题,让他们需要做的工作而不是回答相同的问题。
一旦每个需要互相交流的人都有良好的联系信息,这个过程大多都在照顾自己。我们不知道一切都应该锻炼,但随着这种情况的发展,我们变得莫西康州竞赛。但是,我们的信心不是报告信息。你没有宣布你认为会发生的事情或似乎发生的事情是因为经常有延迟或打嗝。
我们过渡到管理公共信息并分享Wecould的内容。我们的目标是让人们充满信心,他们拥有Theright Info。作为一个技术观众,我们经常喜欢拥有所有的信息,但是任何人实际需要都有很少的事情。
我们在Perl Nocblog的一个地方定居了所有更新的信息。有时我们在我们发布的信息之前几个小时内清醒了事物,因为我们做了额外的工作直接验证事情。人们并没有跟踪社交媒体等,以了解所在的事情,因为它可以记住这个地方。我们仍然在这个地方播放更新,但总是指向NOC博客。唯一的参考是非常有帮助的。
对于事件响应的人,我们制定了一系列现状和谈话点。这些基本上是我们验证的东西,我们可以在不影响法律程序的情况下披露。
我们也跟踪了人和故事。谁是各公司的谁,记者正在写入这一事件,以及那里的讨论者。有些人在各种讨论线上才能在那里才能在Lulz,而其他人有良好的或actionableTails(通常意味着它们在情况内).Again,我们使用了绿色/琥珀色/红色类别。
这不是我的第一个rodeo,我进入了pressContact的角色。尽管我们勤奋的工作来验证一切,但许多外面都刚刚制作了东西。这就是它的方式,我预期的那样。出版的马克西姆“如果你的母亲说她爱你,那么秒源”不适用于Twitter时代。您甚至不需要档次来源。
有一张脸(嘴巴)是表示每个人都在做的勤奋作业很重要。一半的“新闻”故事没有做基本研究,其中一些记者甚至没有联系信息(真的,记者你无法联系?)。在与我交谈后,一些能够纠正他的故事。
在名称服务员改变后大约一个星期,我已经安顿下来,它可能需要几个星期的时间来解开劫持。除了各种各样的法律和规则效应之外,有多种国家,事情可能比我们想要的速度慢得多。在尼特尼特时代,明天基本上无限遥远。 David FarrellFroated了重命名网站的想法,我们开始使用PerldotCom.Perl.org作为临时域名。罗伯特能够迅速地划分,我们甚至在这个社区中的拉扯Quests找到了一些很好的工作,我们发现了我们不应该拥有的硬编纂事物(任何人可以在网站上发送拉出请求! )。大卫设置的GitHub进程是制作所有这项工作的关键;很高兴能从社区中获得最迫切的拉动请求。
然后,在2月初,我得到了一些坚实的(绿色)的回通道信息,这将在几天内获得域名。我很怀疑,但它真的很满意!再次,我认为我们在这里非常幸运,很多人在他们的心中为Perl的软点做了很多良好的工作。所有方面都明白Perl.com属于汤姆,这是解决它的仿制问题。一个相对未知的Domainname可能不是票价,也不能证明他们拥有它。
恢复域不是响应的结束。虽然帖子受到损害,但各种安全产品都有BlackListedPerl.com,一些DNS服务器陷入困境。我们认为这是本身的本身,所以我们没有立即庆祝perl.com。我们希望它回来为每个人。而且,我认为我们完全回来了。但是,如果您对域有问题,请提出一个问题,以便我们至少知道它不适用于部分互联网。
这个部分地理们进入了一些猜测,而Perl.com并不是唯一的受害者。我们认为有一个关于网络解决方案的社会工程攻击,包括前部文件等。网络解决方案没有理由向我揭示任何东西(再次,我不是受伤的派对),但我确实谈论了其他域名所有者,这是他们报告的基本计划。
John Berryhill在Twitter中提供了一些法医工作,显示了九月实际发生的。该域名在12月的Bizcn注册商转移到Bizcn注册商,但未改变名称服务器。 1月份域名再次转移到另一个注册商,关键系统,GmbH。此延迟六段避免立即检测,并通过耦合降低域弹跳域使恢复更加困难。
请注意第一次转移的长滞后时间。该领域在9月份是令人难以置信的,但在12月转移。有一个原因:ICANN有一个60天的规则。你不能在更新ContactInfo的60天内转移域名。我们认为该攻击的一部分在Sametime改变了Sametime的注册,因为攻击者在2029年超过其最初的折叠时续签了几年。
一旦在1月底转移到关键系统,新的欺诈性注册人就会向域名(携带州)列出,以后(域名市场)。如果您有190,000美元,您可以购买Perl.com。该登记次询问后迅速下放。
显然这是一种令人尴尬的情况,但这不是一个不罕见的。该域名在90年代初期注册,汤姆Christiansenwas在此之后不久对其进行了控制,并且基本上一直支付在一等费用。由于它不是一个唠叨的问题,因此域名挥霍。两个因素认证的功能可能会让我们节省大部分麻烦(尽管社交工程往往往往围绕保障措施)。
我已经在域中使用域中提到了问题。当存在问题时,通信渠道Arealso Borked。至少有一个联系人去其他地方。
与“一种声音”沟通是必不可少的,否则您的风险播种播种与不同的消息播种,即使他们说同样的话。您还希望项目的信心,以及能力,使您释放的信息可信地治疗;如果不同的通道正在释放不同的更新,则错误的风险增加。 Perl基金会坚持使用我们准备好的声明释放他们的updateInstead。即使它是简短的,Perl Noc博客的Link在博客中被打破了几天。不要采取不必要的风险。
而且,它总是有助于让朋友和与人民能够提供帮助的良好关系。 网络解决方案和关键系统的人民渴望恢复,其他几个持续互联网工作的人。 我希望我能给他们直接信誉,但我难以静静地完成工作。 Perl.com域名返回Tom Christiansen的手中,我们正在Wherw上的安全更新,因此不会再发生这种情况。 WebSite回到了我们收到的帮助中的方式和略微闪电。 作为事件响应的一部分,Perl基础基础设施工作组调查了其他重要的社区域,并将努力保护这些域名。如果您有兴趣帮助,请与他们联系。