Perl.com的劫持事件
我们失去对Perl.com域名的控制权有一周的时间。现在事件已经平息,我们可以解释一些发生的事情以及我们是如何处理的。这次事件仅影响了Perl.com的域名所有权,没有其他社区资源的妥协。这个网站还在那里,但DNS正在分配不同的IP地址。
首先,这并不是一个不续费域名的问题。对我们来说,这本来是一个更好的情况,因为有一个宽限期。
其次,为了非常明确,我只是使用Perl.com域名的网站的编辑。这意味着在法律上,我实际上并不是“受害方”。Tom Christiansen是域名注册人,如果法律事务继续进行,我或其他人没有必要知道所有细节。然而,我已经与许多参与这个过程的人交谈过。
事件响应
我认为我们在分散的、志愿事件响应方面做得相当不错,所以我想在讲述这个故事的同时,分享我们所做的一部分工作。你可能已经经历过正式的响应,你可以做很多事情来避免额外的头痛和挫折。
1月27日凌晨,Perl NOC通过正常的监控发现域名有问题。与此同时,人们开始报告网站失踪。随着DNS在全球范围内的更新,越来越多的人报告了问题。我们不知道发生了什么,也不知道为什么。
在幕后,我开始收集事件信息,并发起了一条推文寻求帮助。在这个时候,我们还不知道发生了什么;我们只知道影响。在响应的早期阶段,验证已知信息和谣言,以及区分知道什么的人和散布谣言的人,是非常重要的。像大多数情况一样,谣言小组主导着对话,他们通常有一个更有趣的故事可以讲述,因为他们可以猜测和编造任何叙事。在没有猜测的情况下解决问题——找出你真正知道的是什么,以及什么只是猜测。
我开始一个Google文档,并邀请相关的人。我们开始填写细节,按照绿色、琥珀色或红色进行分类。绿色是高置信度信息,例如与注册商的直接沟通,琥珀色可能是好的但未经证实,红色则是完全错误的。所有信息都标有时间和来源。谣言控制的第一条规则是说明你是从哪里听到和什么时候听到的。一旦这些信息在文档中,其他人就知道他们认为他们知道的是否更好或更新。有时我们认为是好的信息最终证明是错误的。在这种情况下,我们更新文档。
我们还列出了需要发生的事情,并且各种人承担了他们能处理的事情。例如,我们开始检查其他社区资源,因此Elaine Ashton查看了cpan.org的注册信息,其中联系信息有异常,但在她与注册商电话沟通后,最终证明是正常的。Perl NOC的Robert Spier能够验证各种网络方面、时间表等等。Rik Signes站出来在TopicBox上创建了一个私人邮件列表(毕竟,他是CTO)。这里的技巧是不要做别人可以为你做的工作(而且往往比你做得更好)。同样,如果有人已经在做某件事,你通过重新做或重新发明它来浪费你的时间(以及别人的时间)。去中心化是好的,但需要有人来协调。在这种情况下,我成了协调者,因为我投入了大量精力在Perl.com网站上,并且我可以轻松地与Tom合作,因为我们一起合作了一年多的Programming Perl。
我的推文和Reddit评论引起了注册商双方的注意,因此我在处理过程中非常早就与Network Solutions和Key Systems进行了沟通。我们非常幸运,因为Perl是一个知名的事物,而且Tom Christiansen和我都在Perl界很有名。成功的第一条规则是已经成功了。涉及各种组织的内部人士提供了帮助和指导。其他受害者没有那么幸运,他们的帮助迟迟没有到来。而且,在某个时候,Perl可能正在管理那些组织,所以人们对于那些美好的旧日时光有些怀念。
我主要帮助双方联系Tom Christiansen,并帮助他管理所有参与者。在许多事件中,人们被需要发生的事情所压倒,最终什么也没有做。他需要与注册商合作,所以我从他的工作中拿走我能处理的部分,这样他就可以专注于那部分工作。
我们很快就学会了,当您使用注册域名作为您的电子邮件联系时,当该域名不再处理您的邮件时,没有人可以联系您。大部分的麻烦是验证人们确实是他们所说的那样,但在域名业务中,每个人都认识真正的幕后人物——这就是他们每天的工作。我们确保我们没有让不同的人询问同样的问题而给注册商带来过多询问。协调谁与谁合作避免了N平方的通信问题,让人们能够做他们需要做的工作,而不是反复回答同样的问题。
一旦所有需要相互沟通的人都有了良好的联系方式,整个过程基本上就自行运转了。我们不知道一切都会顺利,但随着形势的发展,我们变得更加自信。然而,我们的信心并不是可报告的信息。你不会宣布你认为会发生什么,或者有什么承诺会发生,因为通常会有延误或小问题。
我们转向管理公共信息和分享我们能分享的信息。我们的目标是让人们有信心他们得到了正确的信息。作为一个技术性观众,我们经常喜欢有所有信息,但真正需要知道的东西很少。
我们决定将所有更新信息集中在一个地方,即Perl NOC博客。有时我们发布信息前几个小时就知道事情,因为我们做了额外的直接验证工作。人们不必追踪社交媒体等,因为他们可以记住这个唯一的地方。我们仍然在各个地方广播更新,但始终指向NOC博客。单一参考点是很有帮助的。
对于参与事件响应的人来说,我们制定了一个当前情况总结和要点。这些基本上是我们已经验证可以披露而不会损害法律程序的事情。
我们还追踪了人员和故事。各家公司都有谁,哪些记者在报道事件,以及有哪些讨论线程。一些人在各个讨论线程中显然只是来看热闹的,而其他人则有好的或有行动价值的细节(这通常意味着他们处于该事件的内部)。我们再次使用了绿色/琥珀色/红色分类。
这不是我第一次经历这种情况,我接手了新闻联系人这个角色。尽管我们勤勉地核实了每一件事,但许多人只是编造了事实。这就是现实,我也预料到了。在推特时代,“如果你妈妈说爱你,找个第二来源”的出版原则不再适用。你甚至不需要第一个来源。
有一个面孔(嘴巴?)来代表大家所做的不懈工作是重要的。一半的“新闻”故事都没有进行基本的研究,其中一些记者甚至没有联系方式(真的,一个你无法联系到的记者?)。有些人在与我交谈后能够更正他们的报道。
《The Register》从一开始就报道得非常准确,Sophos的Paul Ducklin也是如此。
在域名服务器更改大约一周后,我接受了这种想法,认为解开黑客攻击可能需要几周时间。由于涉及多个国家和各种生效的法律和规则,事情可能会比我们希望的慢得多。在互联网时代,明天基本上是遥不可及的。David Farrell提出了更改网站名称的想法,我们开始使用perldotcom.perl.org作为临时域名。Robert能够迅速设置它,我们还从中得到了一些好的成果,因为社区提出的拉取请求发现了我们硬编码的我们不应该有的地方(任何人都可以为关于网站的任何事情发送拉取请求!)。David设置的GitHub流程是使这一切得以工作的关键;从社区中得到哪怕是最微小的拉取请求都是一种乐趣。
然后,在二月初,我得到了一些可靠的(绿色)秘密信息,称我们将在几天内恢复域名。我半信半疑,但真的发生了!再次,我认为我们非常幸运,许多对Perl有软 spots的人为我们做了很多好事。各方都明白Perl.com属于Tom,解决它只是简单的工作。一个相对不知名的域名可能无法像证明他们拥有它那样做得好。
恢复域名并不是回应的结束。尽管域名被入侵,但各种安全产品已经将其列入黑名单,一些DNS服务器已经将其黑洞化。我们预计这会自然解决,所以没有立即庆祝Perl.com的回归。我们希望它对每个人都是可用的。我认为我们现在已经完全恢复。然而,如果你有域名问题,请提出问题,这样我们至少知道它对互联网的一部分不起作用。
我们认为发生了什么
这部分涉及一些推测,Perl.com并不是唯一的受害者。我们认为对Network Solutions进行了社会工程攻击,包括伪造文件等。Network Solutions没有理由向我透露任何事情(再次,我不是受害者),但我与涉及的其他域名所有者交谈过,这是他们报告的基本方案。
John Berryhill 在 Twitter 上提供了一些法医工作 显示攻击实际上发生在九月。域名于十二月转让给了BizCN注册商,但域名服务器没有更改。域名于一月再次转让给了另一个注册商,Key Systems, GmbH。这种延迟期间避免了立即检测,通过多个注册商跳转域名使恢复变得更加困难。
注意第一次转让的长时间滞后。域名在九月被攻击,但在十二月才转让。这有原因:ICANN有一个60天规则。在更新联系信息后的60天内,您不能转让域名。我们认为攻击的一部分在攻击者将域名续费至2029年原始到期日后的几年时,同时更改了注册信息。
一旦在1月下旬转让给了Key Systems,新的、欺诈性的注册人将域名(以及其他域名)列在了Afternic(一个域名市场)上。如果你有190,000美元,你可以购买Perl.com。在《The Register》进行调查后,该域名很快被从列表中删除。
一些经验教训
显然这是一个尴尬的情况,但并不是一个不常见的故事。这个域名在90年代初注册,Tom Christiansen很快获得了控制权,并基本上一直支付注册费。由于这不是一个令人烦恼的问题,因此域名保持原样。两步验证等特性可能已经使我们避免了这些麻烦(尽管社会工程攻击往往会绕过安全措施)。
我已经提到了使用域名作为域名联系信息的缺点。当有问题时,沟通渠道也会出问题。至少让其中一个联系人去别处。
与“一个声音”沟通至关重要,否则您可能会因不同的信息而引起混乱,即使它们说的是同样的事情。您还希望展现自信和能力,以便您发布的信息被认真对待;如果不同渠道发布不同的更新,错误的风险会增加。《Perl基金会》坚持发布他们自己的更新,而不是使用我们的准备好的声明。尽管它很简短,但Perl NOC博客的链接中断了好几天。不要承担不必要的风险。
而且,与能够帮助的人建立朋友关系和良好的关系总是有帮助的。Network Solutions和Key Systems的人以及在互联网上工作的其他人在恢复过程中非常 helpful。我希望我能直接为他们表示感谢,但我相信他们更愿意默默地工作。
我们现在在哪里
Perl.com域名现在回到了Tom Christiansen手中,我们正在努力进行各种安全更新,以防止再次发生此类事件。网站已经恢复到原来的样子,并且因为我们的帮助而略有改善。
作为事件响应的一部分,Perl基金会基础设施工作组调查了其他重要的社区域名,并将努力确保这些域名的安全。如果您有兴趣帮助,请与他们联系。
标签
brian d foy
brian d foy 是一个Perl培训师和作家,也是Perl.com的高级编辑。他是《Mastering Perl》,《Mojolicious Web Clients》,《Learning Perl Exercises》的作者,以及《Programming Perl》,《Learning Perl》,《Intermediate Perl》和《Effective Perl Programming》的合著者。
浏览他们的文章
反馈
这篇文章有什么问题吗?请通过在 GitHub 上打开问题或拉取请求来帮助我们。
