Quanto sono rilevabili gli indirizzi IPv6 e i nomi AAAA da parte di potenziali aggressori?

È abbastanza standard ricevere un numero significativo di piccoli tentativi di hacking ogni giorno provando username / password comuni per servizi come SSH e SMTP. Ho sempre supposto che questi tentativi stessero utilizzando lo spazio di indirizzi "piccolo" di IPv4 per indovinare gli indirizzi IP. Ho notato che non ottengo zero tentativi di hacking su IPv6 nonostante il mio dominio abbia record di nome AAAA che rispecchiano tutti i record di un nome e tutti i servizi IPv4 sono aperti anche a IPv6.

Supponendo un DNS pubblico (AWS route 53) con un sottodominio oscuro che punta a un suffisso ragionevolmente randomizzato / 64; Gli indirizzi IPv6 e / / i sottodomini sono rilevabili in remoto senza provare tutti gli indirizzi con un prefisso / 64 bit o tutti i sottodomini in un elenco molto lungo di nomi comuni?

Sono ovviamente consapevole che la scansione del Web alla ricerca di nomi di sottodominio elencati è abbastanza semplice. Sono anche consapevole che le macchine sulla stessa sottorete possono usare NDP. Sono più interessato al fatto che DNS o i protocolli sottostanti di IPv6 consentano di individuare / elencare domini e indirizzi sconosciuti da remoto.

I bot dannosi non indovinano più gli indirizzi IPv4. Li provano semplicemente tutti. Sui sistemi moderni questa operazione può richiedere solo alcune ore.

Con IPv6, questo non è più possibile, come hai ipotizzato. Lo spazio degli indirizzi è molto più grande che non è nemmeno possibile scansionare a forza bruta una sottorete singola / 64 in una vita umana.

I robot dovranno diventare più creativi se devono continuare la scansione cieca su IPv6 come su IPv4 e gli operatori di bot dannosi dovranno abituarsi ad aspettare molto più a lungo tra la ricerca di qualsiasi macchina, e tanto meno quelli vulnerabili.

Fortunatamente per i cattivi e sfortunatamente per tutti gli altri, l'adozione di IPv6 è andata molto più lentamente di quanto avrebbe dovuto. IPv6 ha 23 anni ma ha visto un'adozione significativa solo negli ultimi cinque anni circa. Ma tutti mantengono attive le loro reti IPv4, e pochissimi host sono solo IPv6, quindi gli operatori di bot malevoli hanno avuto pochi incentivi per effettuare il passaggio. Probabilmente non lo faranno fino a quando non vi sarà un significativo abbandono di IPv4, che probabilmente non accadrà nei prossimi cinque anni.

Mi aspetto che le ipotesi alla cieca probabilmente non saranno produttive per i bot dannosi, quando finalmente passeranno a IPv6, quindi dovranno spostarsi su altri mezzi, come i nomi DNS a forza bruta o la forza bruta mirata di piccoli sottogruppi di ogni sottorete.

Ad esempio, una configurazione server DHCPv6 comune fornisce gli indirizzi ::100tramite ::1ffper impostazione predefinita. Sono solo 256 indirizzi da provare, su un totale / 64. La riconfigurazione del server DHCPv6 per scegliere gli indirizzi da un intervallo molto più ampio riduce questo problema.

E l'utilizzo di indirizzi EUI-64 modificati per SLAAC riduce lo spazio di ricerca a 2 ²⁴ moltiplicato per il numero di OUI assegnate. Sebbene si tratti di oltre 100 miliardi di indirizzi, è di gran lunga inferiore a 2 ⁶⁴ . I robot casuali non si prenderanno la briga di cercare in questo spazio, ma gli attori malintenzionati a livello statale, per attacchi mirati, soprattutto se possono fare ipotesi istruite su quali schede di rete potrebbero essere in uso, per ridurre ulteriormente lo spazio di ricerca. L'uso di indirizzi di privacy stabili RFC 7217 per SLAAC è facile (almeno sui moderni sistemi operativi che lo supportano) e mitiga questo rischio.

RFC 7707 descrive diversi altri modi in cui la ricognizione potrebbe essere eseguita nelle reti IPv6 per individuare gli indirizzi IPv6 e come mitigare tali minacce.

Ho scoperto che MOLTI robot in questi giorni non indovinano, con IPv4 o IPv6. La sicurezza attraverso l'oscurità non è affatto sicurezza. L'oscurità semplicemente ritarda / riduce il numero di attacchi per un po ', quindi è irrilevante.

Gli hacker conoscono il nome di dominio della tua azienda dal tuo sito Web o indirizzo e-mail, quali IP del server pubblico pubblichi per cose come e-mail, SPF, server Web, ecc. Anche se potrebbe richiedere un po 'più tempo per imparare un nome di server casuale, ma indovineranno i nomi comuni, come www, mail, smtp, imap, pop, pop3, ns1, ecc., quindi raschiare il tuo sito Web per eventuali dati aggiuntivi che riescono a trovare. Recupereranno dal loro archivio di scansioni precedenti i nomi DNS, gli IP e le porte su cui concentrarsi. Recupereranno anche un elenco di coppie di indirizzi e-mail / password da eventuali violazioni dei dati che riescono a trovare e proveranno tutti quegli accessi più alcuni extra con qualsiasi sistema pensino che tu stia eseguendo sulle tue porte. Esse arrivano persino al punto di apprendere i nomi e i ruoli professionali del personale per provare a eseguire un attacco di ingegneria sociale. Il nostro filtro antispam è costantemente bombardato da tentativi di truffatori che affermano di essere qualcuno della direzione che necessita di un trasferimento urgente di fondi. Oh, imparano anche chi sono i tuoi partner commerciali e dichiarano di essere loro, facendoti sapere che i loro dati bancari sono cambiati. A volte sanno persino quali piattaforme cloud utilizzano i tuoi partner commerciali per la loro fatturazione.

I criminali hanno accesso a strumenti per big data esattamente come tutti gli altri e hanno accumulato una quantità sorprendentemente enorme di dati. Vedi questa testimonianza di alcuni professionisti IT al congresso americano https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

A proposito di violazioni dei dati, se un'azienda perde qualcosa di apparentemente inutile come un registro del server Web, questo conterrà gli indirizzi IP v4 o v6 di tutti coloro che hanno utilizzato quel server in quel momento e le pagine a cui hanno avuto accesso.

In conclusione, nessuno di questi metodi richiede a un utente malintenzionato di indovinare quale IP stai utilizzando, lo sanno già.

Modifica : come un po 'di esercizio ho trascorso tutti i 2 minuti a navigare nel tuo sito (dal tuo profilo), provando uno degli strumenti di scansione online collegati altrove qui, e un po' di un'occhiata con nslookup e ho scoperto alcune cose su di te . Immagino che uno degli indirizzi oscuri di cui stai parlando coinvolga

• un nome di pianeta simile a uno di quelli che pubblichi
• freeddns
• e un indirizzo IPv6 che termina con 2e85: eb7a
• e funziona ssh

Poiché la maggior parte degli altri indirizzi IPv6 pubblicati termina con :: 1. Questo è solo dalle informazioni che pubblichi pubblicamente con 1 ipotesi minuscola. È dall'IP che volevi nascondere?

Modifica 2 : Un'altra rapida occhiata, vedo che pubblichi il tuo indirizzo email sul tuo sito web. Controllando il sito https://haveibeenpwned.com/ per quali dati violi quell'indirizzo e quali dati sono disponibili sul mercato nero. Vedo che è stato nelle brecce

• Violazione di Adobe, ottobre 2013: dati compromessi: indirizzi e-mail, suggerimenti password, password, nomi utente
• MyFitnessPal: a febbraio 2018 Dati compromessi: indirizzi e-mail, indirizzi IP, password, nomi utente
• MySpace: circa nel 2008 Dati compromessi: indirizzi e-mail, password, nomi utente
• PHP Freaks: a ottobre 2015 Dati compromessi: date di nascita, indirizzi e-mail, indirizzi IP, password, nomi utente, attività del sito Web
• QuinStreet: verso la fine del 2015 Dati compromessi: date di nascita, indirizzi e-mail, indirizzi IP, password, nomi utente, attività del sito Web

Vedendo se quella parte del nome utente dell'indirizzo e-mail viene utilizzata da alcuni altri provider di posta elettronica popolari vedo che ci sono molti più dati. Questa sarebbe un'altra ipotesi che un bot potrebbe fare. Se una parte è correlata alla parte che è già nota su di te, allora il bot può presumere che sia tutto ciò che è, non è necessario essere certi, ragionevolmente probabilmente è sufficiente. Con dati aggiuntivi in ​​queste violazioni

• Verifications.io: a febbraio 2019 Dati compromessi: date di nascita, indirizzi e-mail, datori di lavoro, generi, località geografiche, indirizzi IP, titoli di lavoro, nomi, numeri di telefono, indirizzi fisici
• Elenco di spam di River City Media a gennaio 2017 Dati compromessi: indirizzi e-mail, indirizzi IP, nomi, indirizzi fisici
• Apollo: a luglio 2018, l'avvio dell'impegno di vendita Dati compromessi: indirizzi e-mail, datori di lavoro, posizioni geografiche, titoli di lavoro, nomi, numeri di telefono, saluti, profili dei social media
• Imprese B2B USA A metà 2017 Dati compromessi: indirizzi e-mail, datori di lavoro, titoli di lavoro, nomi, numeri di telefono, indirizzi fisici
• In breve: a maggio 2014 Dati compromessi: indirizzi e-mail, password, nomi utente
• Collezione n. 1 (non verificata): a gennaio 2019, una vasta raccolta di elenchi di riempimento delle credenziali (combinazioni di indirizzi e-mail e password utilizzate per dirottare account su altri servizi) è stata scoperta e distribuita su un popolare forum di hacking
• Dropbox: a metà 2012 Dati compromessi: indirizzi e-mail, password
• Exploit.In (non verificato): alla fine del 2016, un enorme elenco di coppie di indirizzi e-mail e password è apparso in un "elenco combinato" denominato "Exploit.In"
• HauteLook: a metà 2018 Dati compromessi: date di nascita, indirizzi e-mail, generi, località geografiche, nomi, password
• Pemiblanc (non verificato): ad aprile 2018, un elenco di riempimento delle credenziali contenente 111 milioni di indirizzi e-mail e password conosciute come Pemiblanc è stato scoperto su un server francese
• ShareThis: a luglio 2018 Dati compromessi: date di nascita, indirizzi e-mail, nomi, password
• Ticketfly: a maggio 2018 Dati compromessi: indirizzi e-mail, nomi, numeri di telefono, indirizzi fisici

Mentre il bot è presente, può controllare Facebook e può vedere che una delle pagine di Facebook con il tuo nome ha la stessa foto del tuo sito Web, e ora ne sa qualcosa in più su di te e sui tuoi amici. Inoltre suppongo che il membro della tua famiglia che elenchi sia tua madre, che elenca "il nome da nubile di tua madre". Da Facebook può anche verificare quale profilo di LinkedIn è tuo.

Ci sono molte più informazioni online su di noi di quanto la gente capisca. L'analisi dei big data e dell'apprendimento automatico è reale, è qui ora e molti dei dati che sono stati pubblicati o divulgati online possono essere correlati e utilizzati. Che dovresti sapere, visto che hai elencato che hai conseguito una laurea in AI e informatica nel 2003-2007. Le cose hanno fatto molta strada da allora, in particolare con i progressi che Google ha pubblicato dalla fine della laurea in poi. Essendo persone, la maggior parte cercherà solo di trarre profitto da te, con alcuni che utilizzano i dati in modo ragionevole e legale, ma altri li useranno in ogni modo possibile.

Il mio punto in tutto ciò è duplice: pubblichiamo più informazioni di quanto pensiamo di fare e l'intero punto del DNS è pubblicare la conversione dei nomi in indirizzi IP.

Per quanto riguarda i record AAAA:

Il DNS è tradizionalmente non crittografato. Mentre esiste una famiglia di standard (DNSSEC) per la firma del DNS, la crittografia dei record DNS ha avuto un processo di distribuzione molto più casuale, quindi è generalmente più sicuro presumere che qualsiasi MitM possa leggere tutte le tue query DNS a meno che tu non sia andato per configurare DNS crittografato in modo esplicito sul lato client. Sapresti se l'hai fatto perché è un vero calvario .

(Inoltre, il browser Web probabilmente sta inviando SNI non crittografato nell'handshake TLS, dopo aver risolto il dominio. Non è ovvio come si potrebbe fare per collegare questo buco, dal momento che una VPN o Tor può ancora essere MitM'd tra l'uscita nodo o punto di terminazione VPN e server remoto. Le persone buone di Cloudflare stanno lavorando per risolvere questo problema per sempre, ma ESNI dipenderà anche dall'implementazione del client, in particolare per Chrome , se sta davvero per decollare.)

Tuttavia, gli attacchi MitM possono o meno rappresentare un problema, a seconda del modello di minaccia. Più importante è il semplice fatto che i nomi DNS sono intesi come informazioni pubbliche. Molte persone (motori di ricerca, registrar DNS, ecc.) Raccolgono e pubblicizzano nomi DNS per ragioni benigne. I resolver DNS in genere applicano limiti di velocità, ma questi limiti sono in genere piuttosto generosi, poiché hanno lo scopo di bloccare gli attacchi DoS, non l'enumerazione del sottodominio. La creazione di un certificato HTTPS comporta spesso la pubblicazione del nome di dominio che tutti possono vedere, a seconda della CA ( Let's Encrypt lo fa e così molti altri). In pratica, è del tutto impossibile mantenere segreto un dominio o un sottodominio, perché quasi tutti presumono di essere pubblici e non si sforzano di nasconderli.

Quindi, per rispondere a questa domanda:

Sono più interessato al fatto che DNS o i protocolli sottostanti di IPv6 consentano di individuare / elencare domini e indirizzi sconosciuti da remoto.

Tecnicamente no. Ma non importa perché un'enorme quantità di tecnologia di livello superiore presuppone che i tuoi record DNS siano pubblici, quindi pubblici lo saranno inevitabilmente.