Podziel się

Domena ochroniona… ale co z atakiem z flanki?


Wierzę, że korzystając z usług hostingowych zasługujesz na wysokie poczucie bezpieczeństwa i psychicznego komfortu. Jeśli także uważasz, że firmy hostingowe powinny ułatwiać użytkownikom przyswajanie wiedzy o zagrożeniach i sposobach ochrony – zapraszam, przeczytaj to teraz, na spokojnie. Poznaj zagrożenia dla Twojej domeny i metody przeciwdziałania, zanim będzie za późno.


Jak chronić domenę – typologia zagrożeń

Jako firma hostingowa często spotykamy się z szeroką skalą problemów z domenami. Z tego punktu widzenia podzieliłbym zagrożenia dla domen na kilka kategorii, które postaram się omówić dla Ciebie w poniższym artykule. Są to zagadnienia:

  • prawne
  • finansowe
  • techniczne
  • własnego postępowania
  • niewygodnego towarzystwa
  • techniczne
  • cybersquatting
  • typosquatting
  • homograficzne
  • „ataki z flanki”

Sporo? Tym bardziej nie ma na co czekać, zaczynajmy!

Zagadnienia prawne

Być może czytając ten akapit dziwisz się, że poruszam taki temat, jednak w praktyce co rusz zwracają się do nas osoby, które miały domenę i „przestała działać” – a okazuje się, że wcale nie były jej abonentem! Niedawno rozmawiałem na privie z panią, która zaczęła rozmowę o pytania, jak sprawdzić, kto jest abonentem domeny, a wkrótce okazało się, że straciła kontrolę nad domenę, a w danych WHOIS jako abonent wpisana jest inna osoba, która… robiła stronę www!

Dlatego zlecając stronę lub sklep – ZAWSZE upewnij się najpierw, że z prawnego punktu widzenia to Ty jesteś abonentem domeny oraz jest to odzwierciedlone w rejestrze WHOIS. W przeciwnym wypadku, w razie sporu, pozostanie Ci tylko długa batalia prawna z podmiotem lub osobą, która figuruje we WHOIS.

W dniu 2018-10-26, podczas trzeciego dnia konferencji I love marketing, Tomasz Palak wygłosił świetne wystąpienie, w którym także wskazał, że z prawnego punktu widzenia znacznie łatwiej jest od razu zarezerwować sobie prawo do danej domeny, niż później „odkręcać” sytuację, w której to ktoś inny jest jej abonentem. (Tomek gratuluję – to było świetne wystąpienie!) Dlatego zaczynając biznes pamiętaj, aby ta sprawa od początku była w pełni jasna – to Ty chcesz być wpisany jako abonent.

Zwróć uwagę, że nie „właściciel”, choć tak zwykło się mówić potocznie. Sam początkowo wpadłem w tę językową rutynę pisząc pierwotny tekst tego wpisu. Jest to dobre miejsce, aby przypomnieć, że domena internetowa nie jest Twoją własnością w rozumieniu prawnym. Rejestrując domenę zapewniasz sobie po prostu prawo do jej używania przez określony czas. Stąd też prawidłowo mówimy o abonencie domeny, podobnie jak o abonencie numeru telefonu – po zwolnieniu operator może go przecież przydzielić innej osobie – tak samo, jak nazwa domenowa może być później używana przez kogoś innego.

Zagadnienia finansowe

Druga przyczyna problemów to po prostu przegapienie terminu odnowienia domeny. Niemal każda firma hostingowa wysyła kilka przypomnień, jeśli jednak jesteś akurat na urlopie i postanowiłeś odciąć się od cywilizacji na dwa, trzy tygodnie – możesz to przegapić.

Aby uniknąć takich sytuacji przez dłuższymi wyjazdami pamiętaj, aby sprawdzić, czy domena w tym czasie nie ulegnie wygaśnięciu.

Klub Przyjaciół Pieczywa i Sera. KPPIS.

źródło: kppis.pl, 2018-11-13

Wspomniany już Tomasz Palak w swojej prezentacji ponownie wskazuje na świetny przykład. Niedopilnowana domena kppis.pl – Klubu Parlamentarnego Prawa i Sprawiedliwości – przeszła w ten sposób w ręce Klubu Przyjaciół Pieczywa i Sera… który to – co ciekawe- wciąż aktywnie prowadzi stronę o pieczywie i serze!

Aby uniknąć tego rodzaju problemów – porozmawiaj ze swoim dostawcą hostingu o rejestracji domeny od razu na dłuższy okres, a także zadbaj o wcześniejsze regulowanie opłat za kolejne okresy rozliczeniowe usług hostingowych. Serio, hosting czy domena to nie to samo, co prąd czy gaz. Jeśli nie zapłacisz w terminie rachunku za prąd i zostanie on odcięty, to po uregulowaniu sprawy otrzymasz ponownie taki sam prąd. Z domeną czy hostingiem to tak nie działa. Utracona domena może przejść w ręce kogoś trzeciego, a dane z nieopłaconego na czas konta mogą zostać skasowane bezpowrotnie.

Własne postępowanie

To najbardziej oczywista sprawa – pamiętaj, że domena będzie mieć taką reputację, na jaką sobie zasłuży Twoim własnym postępowaniem. Przestrzegaj zatem zasad, związanych z przetwarzaniem danych osobowych oraz świadczeniem usług drogą elektroniczną, a wysyłki poczty z Twojej domeny opieraj o zgody użytkowników. Każdy incydent, kiedy roześlesz niechciane informacje, może skończyć się zaraportowaniem Twojej domeny jako rozsyłającej spam.

Twoja domena to Twoja marka w oczach wielu serwisów oraz użytkowników. W niektórych wypadkach istnieje możliwość, że wygenerujesz subdomeny, czyli domeny niższego poziomu. Na przykład dla domeny sklep.pl może to być adres typu logowanie.sklep.pl. Póki to Ty kontrolujesz wszystko, co dzieje się w tych subdomenach – to wszystko w porządku.

Jeśli jednak subdomeny „oddajesz” innym, na przykład jakimś jednostkom biznesowym Twojej Bardzo Wielkiej Międzynarodowej Korporacji albo po prostu odsprzedajesz adresy w swojej domenie – to zwróć uwagę, że wszystko to, co dzieje się w subdomenach „pracuje” na reputację domeny nadrzędnej. Może się okazać, że reputacja takiej domeny jest bardzo trudna do odzyskania – sam spotkałem się z sytuacją, w której Facebook uparcie traktuje jedną z domen jako podejrzaną, wymagając za każdym razem, kiedy próbuje się do niej linkować – dowodu, że linkujący jest człowiekiem. Jest to właśnie następstwo „złego zachowania” osób posługujących się subdomenami w tej domenie.

Dobre towarzystwo

Korzystaj ze sprawdzonych firm i usług hostingowych. Spytaj operatora hostingu, jaka jest jego polityka w zakresie adresacji IP. Idealnie, jeśli masz własny adres IP, wówczas z Twoją domeną nie będą kojarzone działania innych użytkowników, posługujących się innymi domenami, ale podpiętymi pod to samo IP.

W razie ataku spamu adres IP może zostać wpisany na tzw. RBL’e. Są to listy wskazujące na serwery o niskiej reputacji, z których rozsyłano spam. Z tego rodzaju list korzystają operatorzy poczty na całym świecie. W obecnych czasach stanowią one jedną z istotnych technik ochrony Twojej skrzynki przed zalewem spamu. Kiedy jednak to Twój adres IP dostanie się na taką listę, to w efekcie stracisz możliwość skutecznego wysłania poczty. Fizycznie zostaną ona wysłana z Twojego serwera, ale serwer odbiorcy z bardzo wysokim prawdopodobieństwem ją po prostu odrzuci. Z technologii tej korzysta większość operatorów pocztowych.

W hostingu współdzielonym może sprawdzić się także stosowanie dedykowanych pakietów hostingowych, przeznaczonych do obsługi poczty. Istnieją takie rozwiązania, które zajmują się odpowiednią obsługą i rotowaniem adresów IP tak, żeby nawet w razie dostania się Twojego adresu na listy RBL zminimalizować skutki w ten sposób, że otrzymasz od razu, automatycznie, nowy adres.

Zabezpieczenia techniczne

To bardzo szeroka kategoria, więc w tym wpisie ograniczę się to trzech, najważniejszym moim zdaniem, zagadnień, jak: hasła, bezpieczeństwo strony oraz stosowanie SSL.

Podstawą jest stosowanie odpowiednich haseł do wszystkiego, co funkcjonuje w Twojej domenie, od konta poczty, przez FTP, na logowaniu do kokpitu Twojej strony strony kończąc. Hasła powinny być unikane, odpowiednio złożone i trudne, najlepiej jeszcze często zmieniane. Poprzednio obowiązujące przepisy o ochronie danych osobowych wskazywały na konieczność stosowania haseł min. 8-znakowych, zawierających małe, wielkie litery oraz cyfry lub znaki specjalne. Haseł nie zapisuj w formie jawnej i nigdy, przenigdy nie ujawniaj swojego hasła innej osobie, bo nie masz pewności, czy omyłkowo nie zostanie ono ujawnione nawet, jeśli taka osoba nie ma wrogich intencji. Nie podawaj haseł w publicznych, niezabezpieczonych sieciach.

Drugi obszar, o którym trzeba tu powiedzieć, to luki w skryptach na stronie. Poprzez luki w oprogramowaniu, zwłaszcza popularnych CMS’ow jak WordPress i Joomla!, możliwe jest wrogie przejęcie kontroli nad Twoją stroną i użycie jej na przykład do rozesłania spamu bez Twojej zgody i wiedzy. Zazwyczaj problem leży nie tyle w samym rdzeniu CMS’a, co w instalowanych pluginach.

Trzeci obszar to certyfikaty SSL. Ich stosowanie jest dziś w zasadzie koniecznością. Zapewniają one szyfrowanie komunikacji między przeglądarką użytkownika a serwerem, dzięki czemu dane pozostają poufne w warstwie transmisji. Ogranicza to ryzyko ich przechwycenia i podsłuchania, co mogłoby prowadzić do tragicznego spadku zaufania do Twojej domeny.

Certyfikat SSL co to jest

Podsumowując – myśląc o bezpieczeństwie technicznym pamiętaj o:

  1. Stosowaniu certyfikatu SSL
  2. Stałym aktualizowaniu strony i jej wszystkich komponentów.
  3. Wybieraniu wiarygodnych i dobrze opisanych pluginów.

Wiele osób sądzi, że instalacja pluginów wzmacniających bezpieczeństwo ochroni je przed atakami, ale często jest to złudne poczucie bezpieczeństwa. Istnieje mocno uargumentowany pogląd, że w większości takie wtyczki powodują dodatkowe obciążenie serwera i same stanowią potencjalne „wrota infekcji” dla strony www. Dlatego lepszym rozwiązaniem wydaje się ręcznie zastosowanie choćby kilku podstawowych kroków, albo zainwestowanie w usługę specjalisty, który może pomóc w przygotowaniu takiego zabezpieczenia.

Zabezpieczenia „kognitywne”. Co to jest typosquatting?

To wyszukane pojęcie oznacza po prostu, że ktoś inny może podszywać się skutecznie pod Twoją domenę, jeśli jej brzmienie jest bardzo podobne do Twojej domeny. Ze względu na nasze ograniczenia poznawcze, zwłaszcza w wypadku dłuższych nazw domenowych, możemy w pośpiechu nie odróżnić dwóch domen, różniących się jednym znakiem. Działania polecające na rejestracji nazwy łudząco podobnej do innej – w złej wierze, to własnie typosquatting. Przykład takiej domeny to gooogle.com – nazwa z nadmiarową literą „o”. Typosquatting wydaje się szczególnie groźny tam, gdzie w „prawidłowej” nazwie domenowej występują dwie takie same litery obok siebie.

Istnieje 900 000 domen, które wykorzystują literówki użytkowników chcących odwiedzić jedną z 3 264 najpopularniejszych stron z końcówką „.com”

https://tylermoore.ens.utulsa.edu/fc10typo.pdf

Co więcej – atakujący może mieć nawet prawidłowo działający certyfikat SSL, wydany oczywiście na swoją nazwę domenową! Jeśli nazwa jest łudząco podobna do Twojej – narażasz reputację Twojej domeny w sytuacji, kiedy atakujący spróbuje np. phisingu, czyli podszycia się pod Twoją stronę w celu wyłudzenia takich danych, jak hasła użytkowników. Tego rodzaju ataki są wymierzone głównie w banki, ale często także np. w firmy kurierskie, a zdarza się, że i hostingowe, choć w tym wypadku chodzi raczej o pobranie załącznika zawierającego złośliwe oprogramowanie instalowane w komputerze użytkownika.

Tak czy inaczej – zaufanie odbiorcy do marki może zostać nadszarpnięte.
W tym wypadku istnieją dwie linie działań, które może prowadzić, aby zredukować tego typu zagrożenia dla Twojej domeny.

  • Wykupienie podobnych nazw domenowych tak, żeby nie mogli tego zrobić atakujący. (Bonus: – możesz przekierować ruch z takich domen na swoją, aby zgarniać także tych użytkowników, którzy się po prostu pomylili wpisując nazwę domenową. Skonsultuj się z Twoimi specjalistami od SEO, żeby zrobić to w sposób, który nie zaszkodzi pozycjom strony w wyszukiwarce).
  • Mieć „włączony nasłuch” na wszelkie tego rodzaju próby w odniesieniu do Twojej marki (np. monitoring marki) i edukować klientów, wysyłając im ostrzeżenia mailowe, tworząc odpowiednie treści na swoim blogu, kanale video, w materiałach drukowanych etc. , – a nawet w SMS’ach. Jeśli roześlesz takie ostrzeżenia o próbach podszywania się pod Ciebie, Twoja marka będzie postrzegana jako troszcząca się o klienta i mimo tego rodzaju wrogich działań zaufanie do niej może pozostać na tym samym, a nawet – paradoksalnie – wyższym poziomie.

Co to jest cybersquatting?

Słowo „squatting” można rozumieć po prostu jako niepożądane, bezprawne „zamieszkanie”, czyli zajęcie określonego lokalu. Cybersquatting oznacza niepożądane zajęcie danej nazwy domenowej. Najczęściej pod tym pojęciem rozumie się sytuację, w której domena z prawidłowym „rdzeniem” zostaje zarejestrowana z inną końcówką. Tu nie ma mowy o literówkach, po prostu ktoś bierze nazwę Twojej firmy i rejestruje, np. w domenie .xxx albo .sucks… zresztą wystarczy, że zarejestruje Ci domenę .eu albo .com – to też skutecznie zepsuje Ci plany, jeśli myślałeś o rozszerzeniu biznesu poza granice Polski.

Domeny a statystyki cybersquattingu

Dostałeś kiedykolwiek maila od zagranicznego registrara z informacją, że ktoś jest zainteresowany rejestracją nazwy domenowej o brzmieniu takim, jak Twoja nazwa firmy? Tego typu maile mogą być zwykłymi oszustwami, mającymi Cię skłonić do rejestracji nazwy i wydania pieniędzy… ale równie dobrze ktoś może NAPRAWDĘ właśnie taką nazwę rejestrować. Co więcej – tylko w tym celu, żeby domagać się później znacznej kwoty za przekazanie jej Tobie.

63,8% wszystkich cybersquatterów zamieszkuje Stany Zjednoczone. Apple wygrał prawa do iTunes.co.uk po 12-letniej walce.

https://www.upcounsel.com/typosquatting

Cybersquatting a domeny IDN. Atak homograficzny.

Ponieważ od pewnego czasu można rejestrować nazwy domenowe ze znakami diakrytycznymi, pojawiły się także nowe zagrożenia dla nazw domenowych. Wprawdzie po raz pierwszy o tym rodzaju zagrożenia usłyszałem w 2009 roku podczas konferencji World Hosting Days, jednak to już w 2001 roku Evgeniy Gabrilovich i Alex Gontmakher z Izraela opublikowali pierwsze studium na ten temat. Sami zarejestrowali domenę microsoft.com posługując się znakami z cyrlicy, udowadniając, że tego typu „atak” jest możliwy.

Dzieje się tak, ponieważ niektóre alfabety wyglądają podobnie do łacińskiego, a jednak zawierają litery pochodzące z całkowicie innego zestawu znaków. Przykładowo to, co w cyrylicy jest literą „t” wygląda przecież jak nasze „m”, a rosyjskie „p” to dla nas „r”… można więc sobie wyobrazić, że daje się przygotować nazwę z obcego alfabetu, która wygląda bardzo podobnie do słowa w innym alfabecie i jest praktycznie nie do rozróżnienia dla osoby postronnej. Osoba postronna nie ma szansy rozróżnić nazwy domenowej, napisanej cyrylicą, podanej w linku, mimo, że techniczne będzie to całkiem inna domena! Poza cyrylicą alfabetem wykorzystywanym w tego rodzaju atakach bywa często alfabet grecki.

Innym przykładem zagrożenia homograficznego jest zagrożenie tkwiące w samym podstawowym zestawie znaków ASCII. Chodzi tu o podobieństwo znaków lub par znaków. Przykładowo cyfra 0 („zero”) jest łudząco podobna do wielkiej litery O. Stąd w wielu czcionkach zero jest wyróżnione poprzez ukośną linię, jakby „przekreślenie”, które pozwala je odróżniać od litery „O”. Przykładów takich zagrożeń jest jednak więcej, popatrz na wielką literę „I” (jak w imieniu: „Irena”), jest ona bardzo podobna do „l” (jak w słowie „ławka”).

Atak z flanki. Cybersmearing.

Ostatnim rodzajem zagrożenia, o którym chciałbym Ci wspomnieć, jest zagrożenie związane mniej bezpośrednio z Twoją nazwą domenową. Skoro już jednak dotarłeś do tej części artykułu – lepiej Ci o tym wspomnę. Chodzi o sytuację, w której ktoś niezadowolony – bardzo niezadowolony – z Twoich usług, towarów albo poglądów, rejestruje nazwę domenową godzącą w Ciebie, a następnie umieszcza pod tym adresem treści, mające na celu zaszkodzenie Ci.

Hipotetyczny przykład: Masz, dajmy na to, domenę fryzjerabc.kalisz.pl i prowadzisz sobie zakład fryzjerski. Pojawia się bardzo niezadowolony klient, który postanawia oddać życie za to, żeby tylko Cię maksymalnie oczernić. No dobra, nie musi oddawać całego, wystarczy mu kilka godzin życia. Może on zarejestrować domenę w rodzaju „fryzjerabc-nie-polecam.kalisz.pl”, albo „najgorszyfryzjer.kalisz.pl” – i pod tym adresem umieścić dowolne treści… Nie wiem, czy już sobie wyobrażasz, jak mogłyby one wyglądać i jak bardzo byś się wściekał, czytając takie rzeczy o sobie albo o swojej marce.

Co gorsza, treści te mogą być nasycone słowami kluczowymi zbieżnymi z profilem Twojej działalności, a sam adres linkowany z kilku miejsc… w skrajnym wypadku, jeśli sprawa trafi do mediów… nie zdziw się, jeśli strona taka pojawi się w wynikach wyszukiwania wyżej niż Twoja, albo w jej bezpośredniej bliskości. Co wówczas robić?

  1. Jeśli Twój przeciwnik naprawdę przesadza – w pierwszej kolejności proponuję Ci konsultację z prawnikiem. Zrób to jak najszybciej, bo kroki prawne po prostu potrwają i lepiej nadać im bieg od razu. Czasem wystarczy wezwanie do zaprzestania takich praktyk, czasem będzie koniecznie wytoczenie powództwa – w każdym wypadku jednak to prawnik podpowie Ci, jakie legalne kroki są możliwe w Twojej sytuacji.
  2. Jeśli tego rodzaju strona pojawia się wysoko w wynikach wyszukiwania po istotnych i generujących ruch słowach kluczowych – pewną pomocą może okazać się kampania Google Ads, która pozwoli pozyskać Ci część ruchu, który trafiłby na oczerniającą Cię stronę. Wydaje się to rozwiązaniem kosztownym, natomiast ma jedną ważną zaletę: działa od razu. Sam musisz ocenić, co kosztuje Cię więcej – reklamy czy straty wizerunkowe
  3. Działania pozycjonujące dla Twojej strony – jeśli w wynikach organicznych jesteś znacznie niżej niż strona niepożądana, to istnieje spora szansa, że pod kątem seo, zwłaszcza seo on-site, Twoja strona jest po prostu niedopracowana i istnieje tu duże pole do poprawy. W takim wypadku proponujemy Ci kontakt ze specjalistami z tej dziedziny. W wypadku większości naszych hostingów masz też możliwość bezpłatnego wykonania audytu strony, który szybko wskaże Ci najważniejsze błędy do poprawienia.
  4. Działania depozycjonujące stronę niepożądaną – istnieją firmy świadczące tego rodzaj usługi, choć wg mnie działania tego rodzaju cechuje ograniczona skuteczność. Sporo zależy jednak od wykonawcy i jego umiejętności. Zwróć jednak uwagę, że korzystanie z tego typu pomocy, jeśli zostanie ujawnione, może jeszcze bardziej zaszkodzić Twojej marce. Zastanów się dwukrotnie, zanim skorzystasz z tego rodzaju usług.
  5. Kontratak – ale nie polegający na oczernianiu strony niepożądanej, nie tędy droga. Chodzi mi o „zasypanie” niekorzystnej opinii opiniami pozytywnymi. Jeśli jesteś w stanie pozyskać opinie osób, które kochają Twoją markę, to możesz tak nagłośnić opinie pozytywne, że to one wygrają bitwę o wpływanie na decyzje Twoich potencjalnych klientów.

    Zagadnienie to – jakkolwiek w moim przekonaniu bardzo interesujące – wykracza jednak poza zagrożenia dla samej domeny. Należy je traktować raczej w kategorii zagrożenia dla biznesu i marki, zasługuje na pewno na szersze potraktowanie w innym artykule.

Twoja domena lepiej ochroniona

Jeśli doczytałeś do tego momentu – to gratuluję. Prawdopodobnie stałeś się bardziej świadomym użytkownikiem usług hostingowych i przedsiębiorcą bardziej dbającym o swoją markę i domenę. Można czuć, że poziom wiedzy o możliwych zagrożeniach i jednocześnie zacząć zastanawiać się, jakie kroki podjąć już dziś, aby ochronić się przed omawianymi tu zagadnieniami. Teraz, kiedy wiesz już to wszystko – możesz spojrzeć na nowo na takie zagadnienia jak certyfikaty SSL czy też zabezpieczanie różnych końcówek. Jeśli już zaczynasz o tym myśleć – to świetnie, to znaczy, że już robisz drugi krok w stronę poprawienia bezpieczeństwa Twojego biznesu (po pierwszym, którym było przeczytanie artykułu).

Korzystając z okazji – serdecznie dziękuję Ilonie Kuźniarz, która pomogła wyszperać kilka danych, ilustrujących omawiane zagadnienia.

To, w jakim środowisku biznesowym będziemy działać – zależy od nas wszystkich. Bezpieczeństwo w sieci wynika z postaw jej użytkowników. Zostań dobrą częścią tego systemu. Daj znać w komentarzu albo w socialach, które zagadnienie tego wpisu uważasz za najciekawsze?

Komentarze (5)


Odpowiedz

Adres email nie będzie opublikowany.

*