I firmy, jejichž denním chlebem je bezpečnost, se někdy stanou cílem různých útoků. Co lze udělat pro to, abyste nedopadli jako oni a mnozí další?
Doména v cizích rukách
Jedním z méně častých případů, ale o to závažnějších je, že doména se dostane mimo kontrolu majitele. K jeho překvapení si pak návštěvníci jeho webu prohlédnou obsah, který by si tam majitel zcela jistě nepřál mít. Obsah může být různého charakteru, od zobrazení informací v rámci konkurenčního boje po vylákání citlivých údajů, např. k platební kartě.
Jak může k takovému napadení webu dojít?
Způsobů se najde více. Na straně domény je zranitelným místem e-mailová adresa u majitele. V případech, které se skutečně staly, došlo ke „vloupání se“ útočníka do free-mailové schránky majitele. Tam si pak jednoduše nechal zaslat autorizační kód k převodu domény k jinému registrátorovi. Pak už záleží na procesech registrátora, jak je možné s doménou dál nakládat. Ke zobrazení podvrženého obsahu stačí nasměrovat doménu prostřednictvím změny nameserverů na jakýkoliv jiný server. Vyhráno není ani v případě, že nejde o free-mail a e-mailová adresa je vytvořena na doméně. Přesněji řečeno na doméně, která už neexistuje. Pak už stačí jen zaregistrovat onu doménu, vytvořit na ní e-mailovou schránku a počkat si na heslo. Pro názornost: vlastním doménu nejlepsi-cestovka-na-svete.cz. E-mail u majitele domény je info@cesta-kolem-sveta.cz. Doménu cesta-kolem-sveta.cz už nepoužíváme a byla zrušena. Tedy si ji může zaregistrovat kdokoliv jiný a následně si vytvořit onu e-mailovou schránku.
Ochrana (nejen) domény
Co by tedy mohl udělat pro ochranu na úrovni domény samotný majitel? Není příliš známo, že je již řadu let dostupná funkce „Domain Lock“, neboli zamčení domény. V řadě případů napadení uvedených výše, by toto opatření zamezilo odcizení domény a následnému podvržení stránek. Další možností je samozřejmě zabezpečení přímo na úrovni nameserverů, k čemuž slouží nástroj DNSSEC, ale o tom zase v jiném článku.
Zamykáme své domény
Zamčení domény vás samozřejmě neochrání před všemi možnostmi napadení, ale je jednoduchým nástrojem, který zamezí mnoha možnostem kybernetických útoků, proto vřele doporučujeme jej využívat. Možnost zamčení domén má v dnešní době již velké množství registrů. Doménu .CZ takto můžete zabezpečit již od roku 2008 a EURid, centrální registr .EU domén, tuto možnost nabízí od roku 2012. Každý registr však má své specifické podmínky, a ne vždy to jde zdarma. Níže vám přinášíme přehled možnosti zamčení domén u jednotlivých registrů.
CZ.NIC – Doména .CZ
Změny údajů u domény .CZ je možné zablokovat již od roku 2008. Kromě domén CZ.NIC umožňuje blokovat také kontakty, NSSETy a sady klíčů. Možnosti zamčení jsou dvě. První možností je objekt blokovat pouze proti transferu, čímž jsou povoleny veškeré změny objektu kromě transferu k jinému registrátorovi. Druhou možností je úplná blokace, která zamezí jakýmkoliv změnám objektu. Je tedy potřeba počítat s tím, že až budete potřebovat provést nějakou změnu, objekt bude potřeba nejprve odemknout. O blokaci objektu je nutné zažádat přímo na stránkách CZ.NIC a to ZDE. Potvrzení žádosti o blokaci je možné odeslat e-mailem podepsaným kvalifikovaným certifikátem nebo datovou schránkou. Žádost lze opatřit i úředně ověřeným podpisem a zaslat ji pozemní poštou. Stejné možnosti pak můžete využít i pro odemčení objektu. Po provedení požadovaných změn je možné objekt znovu zamknout. CZ.NIC za tuto operaci neúčtuje žádný poplatek.
EURid – Doména .EU
EURid představil v roce 2020 změny týkající se zamykání domén. Od dubna máte možnost své domény .EU zamknout zdarma. Díky zámku u .EU domény je dotyčná doména chráněna proti transferu, proti změně údajů navázaných na kontakt majitele a v neposlední řadě také proti změně nameserverů. Někteří z registrátorů .EU domén možnost uzamčení nenabízí, u ostatních se liší způsoby autorizace. Pokud máte doménu u FORPSI, napište nám a my pro vás zamčení domény zařídíme. U zamčené domény není možné vyžádat Auth-info kód pro transfer. Pokud vám tedy žádost o Auth-info vrací chybu, obraťte se na registrátora své domény s žádostí o odemčení.
Generické domény
Generické domény jako například .COM nebo .INFO mají také svá specifika. V jejich případě zpravidla platí, že si každý registrátor určuje pravidla po svém. Například u FORPSI je každá generická doména automaticky zamčena. Až na základě autorizovaného požadavku náš systém doménu odemyká k provedení změn. Ze strany zákazníka tedy není vyžadováno žádné nastavování, o vše se starají naše systémy a také naši kolegové z doménového oddělení. Že je vaše generická doména opravdu zamčená můžete zkontrolovat ve WHOIS, kde v kolonce Status uvidíte položky „clientTransferProhibited“ a „clientUpdateProhibited“. Informace ohledně zamykání domén poskytne pro konkrétní doménu její určený registrátor.
SK.NIC – Doména .SK
Podle našich informací se na funkcionalitě pracuje a v dohledné době by měla být zavedena. Jakmile dostaneme další informace, doplníme přehled i o podmínky pro .SK doménu.