home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / internet / domain.hac < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.5 KB  |  91 lines
  1.  
  2. Domain hijacking, InterNIC loopholes
  3.  
  4.  
  5. While filling in details for modification of my domain (dxm.org)
  6. I realised that I haven't seen much written on domain hijacking.
  7.  
  8. We all know about mail spoofing, which let's you pretend you're
  9. someone else. Mail spoofing is one-way - you can send, but not
  10. receive. This is the same with IP spoofing, where you pretend
  11. to be a trusted machine, but again you can send but not receive.
  12. Unlike IP spoofing, which can lead to major security breaks (you
  13. can become root on someone else's machine), domain hijacking is
  14. not so much a security issue as a commercial one. Domain hijacking
  15. uses loopholes in InterNIC domain registration procedures to
  16. completely take over a domain, allowing you to send and receive
  17. e-mail, and other traffic such as ftp/www. As I haven't seen this
  18. explained, and have seen no warnings for sysadmins, here goes:
  19.  
  20. To do 'IP hijacking' (receive packets as well as send) you
  21. will need to modify routing tables all over the place, where
  22. you're not likely to have access. To do domain hijacking,
  23. you would need to modify DNS entries in several nameservers,
  24. to which again you're not likely to have privileged access. On
  25. the other hand, if you could associate an existing domain with
  26. a nameserver you _do_ control (root access on any machine
  27. connected to the Net is enough for this), your lack of access
  28. to the present nameservers would become irrelevant. So,
  29. 1. set up a nameserver on your machine, with address, cname or
  30.    MX records as required for the victim domain address - victim.com.
  31.    You can do fancy things with nslookup on victim.com's existing
  32.    nameservers to find out what's required. Make sure the MX, address
  33.    and cname records in your machine point to machines under your
  34.    control.
  35. 2. send a modify domain mail to hostmaster@internic.net, with
  36.    your machine as nameserver replacing any existing ones. The
  37.    InterNIC has no authentication procedures for normal hostmaster
  38.    requests, so your modification will get processed.
  39. 3. Ta DA! Wait for InterNIC to update its records and broadcast
  40.    changes to other nameservers. From then on, a lookup for victim.com
  41.    will go to ns.internic.net, find that ns.evil.org is the nameserver,
  42.    and send all mail to @victim.com to victim.evil.org, route traffic
  43.    to www.victim.com to www.evil.org, whatever you want.
  44.  
  45. This is not a security risk? No. But, to quote a delightfully
  46. low-key document from InterNIC, "[such] an unauthorized update
  47. could lead a commercial organization to lose its presence on
  48. the Internet until that update is reversed."
  49.  
  50. Ah. But that update will be reversed only when victim.com's sysadmins
  51. realise what's happened. If evil.org is clever enough, it will
  52. not halt the mail flow, but forward everything on to victim.com
  53. (after keeping a copy, of course). It could act as a proxy server
  54. to www.victim.com, accessing all URLs (using victim.com's real
  55. IP address) on demand and relaying them to browsers who are actually
  56. looking at www.evil.org. And so on. Unless victim.com's admins
  57. are particularly observant, they may not notice a thing.
  58.  
  59. How many sysadmins out there do what victim.com could have done? I.e.
  60. run nslookup on victim.com regularly to check that the nameservers
  61. listed are as they should be, and if they're not, to immediately
  62. send a new update to InterNIC? Not many, I believe. On the other
  63. hand I know no case of domain hijacking actually taking place. But
  64. I don't know specific instances of WWW credit card fraud either.
  65.  
  66. That delightful InterNIC document I mentioned is the draft paper
  67. on the InterNIC Guardian Object, first out in November 1995, latest
  68. version out earlier this month. It's an internal InterNIC proposal
  69. for a "Guardian Object" which would guard any other object (such
  70. as a domain name, or individual, or hostname, or even another
  71. guardian). It would allow a range of authentication methods, from
  72. none (very clever) and MAIL-FROM (easy to spoof) to CRYPT (1-way
  73. hash, like Unix passwd) and PGP (using public keys stored at
  74. InterNIC). All domain and other templates will be changed to
  75. work with guardians. The procedures in the original draft looked
  76. easy enough; the latest ones are formidable.
  77.  
  78. â•£Incidentally, this draft appeared two months after the InterNIC
  79. started charging. The wonders of the profit motive.
  80.  
  81.  
  82. Rishab
  83.  
  84. ps. I'm not quite back on the Cypherpunks list yet, so please Cc
  85. responses you feel are important to me at rishab@dxm.org.
  86. pps. I quite forgot. The URL for the latest Guardian Object draft:
  87.      ftp://rs.internic.net/policy/internic/internic-gen-1.txt
  88.  
  89.  
  90.  
  91.