WN

WN (https://www.wn.se/forum/index.php)
-   Allmänt (https://www.wn.se/forum/forumdisplay.php?f=2)
-   -   Säkerhetshål på Loopia (https://www.wn.se/forum/showthread.php?t=1038015)

iostream 2009-09-16 16:46
Säkerhetshål på Loopia
 
digitalunit och jag upptäckte detta för en tid sedan. Slängde iväg ett mail till Loopia, och tydligen har de skaffat säkerhetshålet eftersom det är "smidigt".

Då ett mail säger mer än tusen ord;

Citat:
Hej Loopia,

Har hittat något som möjligen kan vara ett allvarligt säkerhetshål på
blankett-sidan för överlåtelse av domännamn;
https://www.loopia.se/blanketter/overlatelse/

För att en person ska kunna överlåta en domän till en annan måste den
förste ha den andres kund- och organisationsnummer, vilket kan vara
ganska logiskt.

Dock, när denna person nu känner till den andres kund- och orgnummer,
kan han/hon fylla i den andra personens uppgifter i "Ditt kundnummer",
samt sina egna i "Ny innehavare" och på så sätt sno domännamn av andra.

Generiska toppdomäner överlåts direkt, medan .se kräver en (analog)
signatur från ägaren, vilket säger sig självt är mycket osäkert.

Varför är systemet utformat på detta vis? Kan jag ha missat någon liten
detalj som omöjliggör detta?


Två förslag på lösningar; Varför inte ange sitt egna kund- och
organisationsnummer, men endast kundnumret från den nya innehavaren?
Långt ifrån säkert, men betydligt bättre.

Bäst av allt, tillåt endast överlåtelse när man är inloggad på sitt konto?


Med vänliga hälsningar,
Timmy, en orolig domänkund
Citat:
Hej Timmy,

Tack för dina synpunkter. Vi kommer att ta dessa med oss till framtida
diskussion.

Systemet är utformat på detta vis för att en överlåtelse ska gå till så
smidigt som möjligt för alla parter. Underskriften för .se domäner är något
som IIS kräver.

För att undvika att ett kundnummer hamnar i fel händer, kan den avlämnande
parten fylla i formuläret och då ange att det skapas ett nytt konto till den
blivande ägaren. På så vis behöver varken den avlämnande eller mottagande
parten avslöja sina kundnummer.

Återkom gärna om du har ytterligare frågor eller funderingar.

Mvh,
Kirsi Brenner, Registry
Bara en varning liksom; se upp!

tartareandesire 2009-09-16 17:49
Ytterligare ett i raden av korkade supportsvar från Loopia. De räknar kallt med att alla som skriver till dom knappt vet var strömkabeln till datorn sitter.

Visst har de rätt i att man bör skapa ett nytt konto innan eventuellt överlåtelse men hur många kunder tänker på det? Kundnumrena är dessutom varken särskilt hemliga eller komplicerade. Deras nuvarande lösning är minst sagt urusel.

Ara 2009-09-16 18:50
Vet inte om det ska klassas som "allvarligt säkerhetshål". Vid köp av domäner borde det finnas kvitton (digitala/analoga) som bevisar köpet och som man kan hänvisa till vid ev tvist. Tycker inte att det är speciellt mycket säkrare med en analoga underskrifter (som också kan förfalskas) vid köp/försäljning av domäner.

iostream 2009-09-16 19:07
Citat:
Ursprungligen postat av tartareandesire (Inlägg 20322276)
Ytterligare ett i raden av korkade supportsvar från Loopia. De räknar kallt med att alla som skriver till dom knappt vet var strömkabeln till datorn sitter.
Ibland vet de nog själva inte var strömkabeln sitter..

Citat:
Ursprungligen postat av tartareandesire (Inlägg 20322276)
Visst har de rätt i att man bör skapa ett nytt konto innan eventuellt överlåtelse men hur många kunder tänker på det? Kundnumrena är dessutom varken särskilt hemliga eller komplicerade. Deras nuvarande lösning är minst sagt urusel.
Håller med, dessutom vill jag inte ha ett konto för varje domän (visserligen går det att sedan överlåta till sig själv, men det är onödigt krångel).

Citat:
Ursprungligen postat av Ara (Inlägg 20322284)
Vet inte om det ska klassas som "allvarligt säkerhetshål". Vid köp av domäner borde det finnas kvitton (digitala/analoga) som bevisar köpet och som man kan hänvisa till vid ev tvist.
Javisst går det säkert att få tillbaka eventuella stulna domännamn, men då kan sidan redan ha varit nere några veckor, kanske månader.

Citat:
Ursprungligen postat av Ara (Inlägg 20322284)
Tycker inte att det är speciellt mycket säkrare med en analoga underskrifter (som också kan förfalskas) vid köp/försäljning av domäner.
Beklagar syftningsfelet i mitt mail, menade såklart att en analog signatur är osäker.

robertsson 2009-09-16 19:08
Jag förstår inte, vad är säkerhetshålet, att man kan begå urkundsförfalskning?
Kräver inte överlåtelser av .se domäner en verifikationskod?

Jonas 2009-09-16 19:22
Citat:
Ursprungligen postat av robertsson (Inlägg 20322287)
Jag förstår inte, vad är säkerhetshålet, att man kan begå urkundsförfalskning?
Kräver inte överlåtelser av .se domäner en verifikationskod?
Inte inom samma registrar har jag för mig.

Jag överlät en domän inom Binero för ett tag sedan, bara att fylla i blanketten skriva under och vips så var det klart.

ztream 2009-09-16 20:22
Innan nya systemet trädde ikraft kunde man bara fejka en överlåtelse med underskrift. Detta är ju en klar förbättring :)

tartareandesire 2009-09-16 20:35
Citat:
Ursprungligen postat av Ara (Inlägg 20322284)
Vet inte om det ska klassas som "allvarligt säkerhetshål". Vid köp av domäner borde det finnas kvitton (digitala/analoga) som bevisar köpet och som man kan hänvisa till vid ev tvist. Tycker inte att det är speciellt mycket säkrare med en analoga underskrifter (som också kan förfalskas) vid köp/försäljning av domäner.
Som Ztream antyder så är det betydligt enklare nu. Antalet bedrägerier har knappast minskat sedan internet dök upp.

robertsson 2009-09-16 21:44
Jag har nu läst tråden 7 gånger, kollat Loopias hemsida, och jag förstår fortfarande inte vad säkerhetshålet går ut på, men jag kanske är dum?

//En som hade hoppats ta över newyork.se idag :)

RickardP 2009-09-16 21:57
Jag förstår problemet men hur får man tag på en persons kundnummer hos Loopia?

ztream 2009-09-16 22:05
Man måste gjort en affär med någon tidigare och gett dem kundnumret så att de kunnat överföra domänen till ditt konto.

Den person man då gjort affären med kan sno domäner med ditt kundnummer. Så alla ni jag köpt domäner av.... sno inte mina namn pls? ;)

crazzy 2009-09-16 22:37
Vad glad jag är att jag inte har några domäner på Loopia. :)

fabian 2009-09-17 02:12
Jag är glad att jag köpt domäner av dan ;)

Jonas 2009-09-17 06:48
Citat:
Ursprungligen postat av fabian (Inlägg 20322343)
jag är glad att jag köpt domäner av dan ;)
:d

___________

BjörnJ 2009-09-17 11:08
Citat:
Ursprungligen postat av iostream (Inlägg 20322286)
Håller med, dessutom vill jag inte ha ett konto för varje domän (visserligen går det att sedan överlåta till sig själv, men det är onödigt krångel).
Jag vet inte säkert om det fortfarande är så, men åtminstone tidigare fanns det en funktion hos Loopia för att slå ihop konton på ett mycket enkelt sätt.

Jag håller med om att det borde krävas inloggning innan man kan påbörja överlåtelse av domäner, och givetvis att man då endast kan överlåta domäner som finns på det kontot man är inloggad på.

FredrikNas 2009-09-22 00:34
Det här är också intressant.


Håller loopia på att göra en binero?


http://www.binero.se/whois/loopia.se

state: active
domain: loopia.se
holder: looloo8804-00001
admin-c: -
tech-c: -
billing-c: -
created: 2003-09-15
modified: 2009-03-09
expires: 2009-09-15
transferred: 2009-03-09
nserver: ns1.loopia.se 194.9.94.240
nserver: ns2.loopia.se 194.9.95.240
nserver: ns3.loopia.se 194.9.94.245
nserver: ns4.loopia.se 194.9.95.245
dnssec: unsigned delegation
status: ok
registrar: Loopia AB

iostream 2009-09-24 00:22
Citat:
Ursprungligen postat av FredrikNas (Inlägg 20323060)
Det här är också intressant.
Håller loopia på att göra en binero?
Heh, nu har de uppdaterat domänen igen! ;)

Som många har sagt; det är urkundsförfalskning, lätt att få tillbaka domännamnen, svårt att få tag på andras kundnummer osv.

Det är dock inte hela grejen. Om någon skulle få ett domännamn stulet lär den sidan få en rejäl nedtid, i och med att DNS-datan slopas, och alla vet väl hur roliga nedtider är?

Vidare, om Loopia inte bryr sig om säkerheten här, på vilka andra punkter har de tummat på den?

tartareandesire 2009-09-24 08:10
Citat:
Ursprungligen postat av BjörnJ (Inlägg 20322379)
Jag vet inte säkert om det fortfarande är så, men åtminstone tidigare fanns det en funktion hos Loopia för att slå ihop konton på ett mycket enkelt sätt.

Jag håller med om att det borde krävas inloggning innan man kan påbörja överlåtelse av domäner, och givetvis att man då endast kan överlåta domäner som finns på det kontot man är inloggad på.
Jo, i LoopiaDNS är det snabbt gjort (den enda delen av deras kontrollpanel som är smidigt upplagd).

Joar 2009-12-29 17:44
Citat:
Ursprungligen postat av RickardP (Inlägg 20322308)
Jag förstår problemet men hur får man tag på en persons kundnummer hos Loopia?
Man kör whois på domänen, där har man namnet på ägaren. Sedan går man in på upplysning.se och tar fram personnumret.

Du har då:
> domänen
> personnumret
> namnet

Det som saknas är kundnumret.
------------------------

Hoppsan, jag läste fel. Gott nytt år.


Alla tider är GMT +2. Klockan är nu 13:56.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson