Битсквоттинг: необычный вариант тайпосквоттинга Битсквоттинг — регистрация доменных имён, которые отличаются на один бит от оригинальных. По аналогии с тайпосквоттингом, когда регистрируются домена, отличающиеся на один символ от оригинальных. Тайпосквоттеры рассчитывают на опечатку пользователя при вводе URL в адресную строку или осуществляют фишинговую атак, когда пользователь может просто не заметить отличия в один символ. Битсквоттинг по форме похож на тайпосквоттинг, но придуман совершенно для других целей. Здесь расчёт идёт не на человеческую, а на аппаратную ошибку. Не секрет, что в различном оборудовании постоянно происходят случайные сбои. Битсквоттинг делает ставку на то, что какое-нибудь из подключённых к интернету устройств случайно ошибётся и изменит один нужный бит в DNS-запросе, так что трафик пойдёт вместо оригинального сайта на сайт злоумышленника. Это похоже на лотерею, и шансы на «правильную» ошибку в конкретном устройстве чрезвычайно малы, но нужно учитывать, что к сети подключено более 5 миллиардов устройств, а сбои в RAM происходят постоянно на каждом устройстве. Например, вот бинарное представление адреса cnn.com. Code: 01100011 01101110 01101110 0101110 01100011 01101111 01101101 c n n . c o m Если из-за ошибки в памяти всего один поменяется с 0 на 1, то запрос пойдёт к другому домену con.com. Это может быть ошибка в стеке TCP/IP, в памяти маршрутизатора, в браузере и т.д., на любом этапе обработки запроса. Code: 01100011 01101111 01101110 0101110 01100011 01101111 01101101 c o n . c o m Теоретически, к такой атаке уязвимы абсолютно все платформы и все версии ОС, и не требуется написание эксплойтов. Идею выдвинул хакер Артём Динабург (Artem Dinaburg), к прошлогодней конференции Blackhat он подготовил доклад. В Сети есть также слайды его презентации с Defcon 19, ниже — видеозапись презентации по этим слайдам. https://www.youtube.com/watch?v=lZ8s1JwtNas&feature=player_embedded Автор объясняет, что для такого типа атаки нужно выбирать домены CDN и рекламных сетей, контент с которых подгружается на тысячи популярных сайтов. Это такие домены, как fbcdn.net, 2mdn.net и akamai.com. Для проверки своей теории Динабург зарегистрировал 32 домена методом битсквоттинга — и оказалось, что теория вполне работает. К сайтам действительно поступали DNS-запросы и HTTP-запросы, и подключались сторонние устройства. За семь с половиной месяцев эксперимента поступило в общей сложности 52317 запросов с 12949 уникальных IP-адресов. В среднем, запросы шли с 59 уникальных IP-адресов в день. Список адресов, которые принимали участие в эксперименте: ikamai.net, aeazon.com, a-azon.com, amazgn.com, microsmft.com, micrgsoft.com, miarosoft.com, iicrosoft.com, microsnft.com, mhcrosoft.com, eicrosoft.com, mic2osoft.com, micro3oft.com, li6e.com, 0mdn.net, 2-dn.net, 2edn.net, 2ldn.net, 2mfn.net, 2mln.net, 2odn.net, 6mdn.net, fbbdn.net, fbgdn.net, gbcdn.net, fjcdn.net, dbcdn.net, roop-servers.net, doublechick.net, do5bleclick.net. Артём выложил в открытый доступ запись всего DNS-трафика (PCAP), поступившего на его серверы в ходе эксперимента: dnslogs.tar.7z (зеркало). Оттуда можно понять, что битсквоттинг работает и на внутренней DNS-адресации, свидетельством чему являются поступившие запросы к адресам вроде таких: dnshostprobe.redmond.corp.micrgsoft.com dubitsmsema01.europe.corp.micrgsoft.com l32web.redmond.corp.micro3oft.com ls2web.redmond.corp.eicrosoft.com ls2web.redmond.corp.iicrosoft.com ls2web.redmond.corp.mhcrosoft.com ls2web.redmond.corp.miarosoft.com ls2web.redmond.corp.micrgsoft.com ls2web.rmdmond.corp.micrgsoft.com msdcs.corp.micrgsoft.com pptestsubca.redmond.corp.eicrosoft.com pptestsubca.redmond.corp.iicrosoft.com pptestsubca.redmond.corp.mhcrosoft.com pptestsubca.redmond.corp.miarosoft.com pptestsubca.redmond.corp.mic2osoft.com pptestsubca.redmond.corp.micrgsoft.com pptestsubca.redmond.corp.micro3oft.com pptestsubca.redmond.corp.microsmft.com pptestsubca.redmond.corp.microsnft.com pug.redmond.corp.microsmft.com tk5-red-dc-02.redmond.corp.microsnft.com udp.corp.microsnft.com wpad.corp.mic2osoft.com 19.11.2012 http://www.xakep.ru/post/59652/