Mag je corp.com registreren als je weet dat dat een Windows-fout is?

| AE 11791 | Security | 4 reacties

Een lezer vroeg me:

Bij KrebsOnSecurity las ik dat het Corp.com domein te koop gezet gaat worden. Daarmee is toegang te krijgen tot allerlei credentials en nu vroeg ik me af of dat legaal is. Immers je doet niets, andere mensen configureren hun Windows-netwerk slecht. Hoe zit dat in Nederland?

Het domein corp.com gaat inderdaad in de verkoop als ik het goed lees, al lijkt het vooral de bedoeling dat Microsoft het koopt voor een miljoen dollar. Dat zou dan zijn omdat inderdaad veel slecht geconfigureerde Windowsnetwerken verkeer naar dit domein sturen, inclusief authenticatiemiddelen zoals wachtwoorden.

De reden hierachter is dat Windows bij het maken van een intern netwerk standaard de suffix “.corp” voorstelt, wat lang niet iedereen aanpast. Interne diensten zoals gedeelde harde schijven kun je benaderen met iets als \klantdata\ in de Explorer. Echter, ga je vervolgens ergens werken waar je andermans DNS gebruikt, dan maakt Windows van die naam eerst “klantdata.corp” en vervolgens “klantdata.corp.com” omdat .corp niet bestaat bij die ander. En dan stuurt je systeem dus inderdaad logins en dergelijke naar die website.

Op zich gebeurt dit vaker. Bedrijven die een oude domeinnaam hebben overgenomen, of blijken te hebben geregistreerd, ontvangen regelmatig mails voor de oude eigenaar bijvoorbeeld. Dat is vervelend, maar in de praktijk gooi je die mail dan weg en dan is het klaar.

Hier voelt het iets anders, omdat de bedoeling van deze domeinnaam hebben nu duidelijk lijkt te zijn dat je die logins wilt hebben. Het is moeilijk daar een legitiem doel aan te koppelen. Natuurlijk is er vast een marketingblablaverhaal te verzinnen dat je corporate dienstverlening wilt verrichten en dat corp.com dan perfect aansluit bij je merkwaardebeleving, maar om eerlijk te zijn geloof ik daar dan geen bal van.

In Nederland is het strafbaar (art. 139d Strafrecht) om wachtwoorden of dergelijke authenticatiemiddelen te verwerven, in te voeren, beschikbaar te stellen of voorhanden te hebben. Althans, als je doel daarmee is om het misdrijf computervredebreuk, denial of service of aftappen van vertrouwelijke informatie te plegen. Een wetenschapper die wil onderzoeken hoe groot dit probleem is, kan dus prima monitoren wat hier gebeurt. Een security-onderzoeker die al die bedrijven wil waarschuwen handelt ook legaal. Maar voor het overige zie ik niet hoe je iets kunt doen met die informatie.

Arnoud

Deel dit artikel

  1. ICANN heeft een beleid voor name-collison waarmee men probeert dit soort problemen te voorkomen. Aanvragers van een nieuw TLD moeten hier rekening mee houden. Maar bij oude TLD’s zoals .com is dat natuurlijk lastiger. Als door name-collision mensenlevens in gevaar kunnen komen, kan ICANN de domeinnaam deactiveren. Hier rapporteren: https://forms.icann.org/en/help/name-collision/report-problems “ICANN will initiate an emergency response for name collision reports only where there is a reasonable belief that the name collision presents a clear and present danger to human life.”

  2. Als we toch juridische vragen aan het stellen zijn: als de waarde van corp.com dan vooral zit in de waarde van slechte publiciteit Microsoft, in hoeverre is het opdrijven van de prijs dan chantage richting Microsoft (“als jullie het niet kopen, krijg je slechte publiciteit”)? (Even aangenomen dat dit de reden van het opdrijven van de prijs is, en niet de beschikbaarheid van een 4-letter .com domain).

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS