Елітні університети зіткнулися з порносубдоменною кризою

Великі університети Сполучених Штатів борються зі значною кризою кібербезпеки після того, як субдомени їхніх офіційних веб-сайтів було зламано та використано для розповсюдження відвертого порнографічного вмісту та зловмисного шахрайства. Дослідник безпеки Алекс Шахов нещодавно виявив цю тривожну вразливість, яка вражає деякі з найповажніших академічних установ світу, показуючи небезпечні наслідки неналежної практики керування доменом і недбалого ведення записів ІТ-адміністраторами університетів.

Скомпрометовані заклади включають такі відомі імена, як Каліфорнійський університет у Берклі (berkeley.edu), Колумбійський університет (columbia.edu) і Вашингтонський університет у Сент-Луїсі (washu.edu). Замість того, щоб отримати прямий доступ до головних університетських сторінок, шахраї використовували забуті або залишені субдомени — спеціалізовані веб-адреси, які зазвичай використовуються для конкретних кафедр, дослідницьких проектів або послуг. Ці субдомени, які були створені роками раніше та згодом залишені без належного обслуговування, стали легкою мішенню для зловмисників, які прагнуть розмістити незаконний вміст і шахрайські схеми.

Конкретні приклади скомпрометованих субдоменів особливо тривожать своєю нахабністю. Субдомен Каліфорнійського університету в Берклі, розташований за адресою causal.stat.berkeley.edu, розміщував відверті порнографічні матеріали через URL-адреси з явними посиланнями на вміст для дорослих. Подібним чином субдомен conversion-dev.svc.cul.columbia[.]edu Колумбійського університету перенаправляв відвідувачів на порнографічні веб-сайти, тоді як домен provost.washu.edu Вашингтонського університету містив PDF-файли з матеріалами для дорослих. Ці захоплені субдомени не просто обслуговували пасивний вміст; деякі скеровували нічого не підозрюючих відвідувачів на шахрайські веб-сайти, які неправдиво стверджували, що їхні комп’ютери заражені шкідливим програмним забезпеченням, і вимагали платити за непотрібні «виправлення безпеки».

Машини цього скандалу з викраденням субдоменів університету виходять далеко за межі цих трьох установ. Розслідування Шахова виявило сотні скомпрометованих субдоменів у щонайменше 34 різних університетах, що свідчить про системну проблему в тому, як академічні установи керують своєю цифровою інфраструктурою. Тільки результати пошуку Google показали тисячі проіндексованих сторінок, які вказували на ці захоплені субдомени, а це означає, що студенти, батьки та співробітники, які нічого не підозрюють, могли легко натрапити на цей шкідливий вміст під час пошуку законних університетських ресурсів або проведення досліджень.

Основну причину цієї широко поширеної вразливості можна простежити безпосередньо в поганому керуванні субдоменом і неохайному адміністративному веденні. Протягом багатьох років університети створюють численні субдомени для дослідницьких проектів, експериментальних ініціатив, веб-сайтів кафедр і тимчасових послуг. Однак, коли ці проекти завершуються або послуги більше не потрібні, багато установ не можуть належним чином документувати, підтримувати або деактивувати ці цифрові властивості. Це створює те, що експерти з кібербезпеки називають «сиротами доменів» — забуті веб-адреси, які залишаються активними та доступними, але не мають законної мети чи контролю.

Без належних записів DNS, сертифікатів SSL або активного моніторингу ці загублені субдомени стають уразливими до техніки, відомої як атаки на захоплення субдоменів. Зловмисники можуть реєструвати послуги хостингу або веб-платформи, використовуючи доменні імена університетів, фактично захоплюючи ці забуті цифрові властивості. Оскільки ці субдомени зберігають авторитет і довіру, пов’язану з доменами їхніх батьківських університетів, пошукові системи, такі як Google, легко індексують їх, і користувачі, швидше за все, довірятимуть їм. Ця комбінація робить їх безцінними інструментами для розповсюдження вмісту для дорослих, запуску фішингових схем і поширення зловмисного програмного забезпечення.

Наслідки цього збою безпеки багатогранні та тривожні. Для самих університетів розміщення явного вмісту та шахрайських схем на їхніх офіційних доменах завдає шкоди інституційній репутації та може призвести до юридичної відповідальності. Студенти та співробітники, які стикаються з таким вмістом, можуть зіткнутися з порушеннями безпеки, оскільки шахрайські сайти часто збирають особисту інформацію або розповсюджують шкідливе програмне забезпечення. Батьки та майбутні студенти, які шукають інформацію про ці заклади, можуть ненавмисно отримати доступ до матеріалів для дорослих, створюючи глибоко негативне перше враження.

Крім того, ця ситуація ілюструє ширшу проблему в інституційній практиці кібербезпеки. Багато університетів, особливо ті з розгалуженою ІТ-інфраструктурою, створеною десятиліттями, намагаються підтримувати комплексну інвентаризацію всіх своїх цифрових активів. Не знаючи точно, які субдомени існують і які служби вони підтримують, ІТ-команди не можуть ефективно захистити свої мережі. Ця прогалина в знаннях унеможливлює визначення того, які домени справді використовуються, а які забуті та покинуті.

Дослідницьке співтовариство вже багато років знає про подібні вразливості. Фахівці з безпеки опублікували численні попередження про ризики некерованих субдоменів і легкість, з якою зловмисники можуть ними скористатися. Однак багато організацій повільно впроваджують систематичні рішення. Створення та підтримка комплексної інвентаризації субдоменів потребує значного часу та ресурсів, і багато установ вважають це нижчим пріоритетом порівняно із захистом основних веб-сайтів і критичних академічних систем.

Вирішення цієї широко поширеної проблеми вимагатиме від постраждалих університетів багатостороннього підходу. По-перше, кожна установа повинна провести ретельний аудит усіх субдоменів, пов’язаних з їхніми основними доменними іменами. Цей перелік має задокументувати призначення кожного субдомену, визначити, які з них все ще активно використовуються, і позначити ті, які були залишені. По-друге, університети повинні запровадити автоматизовані системи моніторингу, які можуть виявляти, коли їхні домени використовуються неналежним чином або коли підозрілі записи DNS створюються без авторизації.

По-третє, установи повинні встановити чітку політику керування життєвим циклом субдоменів. Це включає вимогу документації під час створення нових субдоменів, встановлення графіків регулярного перегляду, щоб оцінити, чи залишаються субдомени необхідними, і розробку процедур для безпечної деактивації доменів, які більше не потрібні. По-четверте, університети повинні переконатися, що функції безпеки DNS, такі як DNSSEC, налаштовані належним чином і що записи DNS регулярно перевіряються на наявність неавторизованих входів.

Крім індивідуальних інституційних заходів, цей інцидент підкреслює потребу в кращих галузевих стандартах щодо найкращих практик безпеки домену. Університетські консорціуми та професійні ІТ-організації могли б розробити рекомендації та інструменти, спеціально розроблені, щоб допомогти академічним установам керувати їхньою все більш складною цифровою інфраструктурою. Крім того, можна заохочувати реєстраторів доменів надавати кращі функції безпеки та можливості моніторингу для інституційних клієнтів.

Відкриття дослідника Алекса Шахова служить яскравим нагадуванням про те, що навіть престижні установи зі значними ресурсами можуть стати жертвами відносно нехитрих атак, якщо нехтувати елементарною гігієною безпеки. Оскільки університети продовжують розширювати свою цифрову присутність і створювати нові веб-сервіси для підтримки досліджень і освіти, важливість належного управління інфраструктурою неможливо переоцінити. Установи, які постраждали від цього останнього компромісу, тепер стикаються з подвійним завданням: усунути шкоду своїй репутації та запровадити системи для запобігання подібним інцидентам у майбутньому, дорогий урок справжньої ціни поганого адміністрування домену.