เหตุการณ์ที่ตั้งใจหา RCE ด้วยเงิน $20 แต่บังเอิญกลายเป็นผู้ดูแล .mobi
(labs.watchtowr.com)- watchTowr Labs จดทะเบียนโดเมน dotmobiregistry.net ที่หมดอายุแล้วด้วยเงินประมาณ $20 ทำให้ควบคุม hostname ของเซิร์ฟเวอร์ WHOIS เดิมของ
.mobiได้ และยืนยันว่าไคลเอนต์ WHOIS รุ่นเก่า รวมถึงกระบวนการตรวจสอบใบรับรอง TLS/SSL ยังคงเชื่อถือที่อยู่นั้นอยู่ - แม้เซิร์ฟเวอร์ WHOIS อย่างเป็นทางการของ
.mobiจะย้ายไปที่whois.nic.mobiแล้ว แต่เครื่องมือจำนวนมากยังคง hardcode ที่อยู่เดิมwhois.dotmobiregistry.netและส่งคำค้นหาไปเรื่อย ๆ - หลังจากเปิดใช้เซิร์ฟเวอร์ WHOIS ชั่วคราวเมื่อวันที่ 30 สิงหาคม 2024 จนถึงวันที่ 4 กันยายน มี ระบบที่ไม่ซ้ำกันมากกว่า 135,000 ระบบ และคำค้นหา 2.5 ล้านครั้งเข้ามา แสดงให้เห็นว่าโดเมน legacy ที่ถูกปล่อยทิ้งไว้ยังเชื่อมโยงกับโครงสร้างพื้นฐานอินเทอร์เน็ตจริงอย่างกว้างขวาง
- ผู้ออกใบรับรอง TLS/SSL บางรายใช้ การยืนยันอีเมลผ่าน WHOIS เพื่อตรวจสอบความเป็นเจ้าของโดเมน
.mobiและในการทดสอบกับ GlobalSign มีการแสดงwhois@watchtowr.comเป็นหนึ่งในอีเมลผู้สมัครสำหรับยืนยันmicrosoft.mobi - นักวิจัยไม่ได้ออกใบรับรองที่เป็นอันตรายจริง และต่อมา NCSC ของสหราชอาณาจักรกับ ShadowServer ได้ดำเนินการเชื่อมโดเมนดังกล่าวเข้ากับ sinkhole เพื่อ proxy คำตอบ WHOIS ของ
.mobiที่ถูกต้องตามกฎหมาย
โดเมนหมดอายุราคา $20 ฟื้นคืนชีพเป็นโครงสร้างพื้นฐาน WHOIS
- เป้าหมายเดิมของ watchTowr Labs คือการหา RCE ที่นำไปใช้โจมตีได้จริง ในกระบวนการที่ไคลเอนต์ WHOIS parse คำตอบจากเซิร์ฟเวอร์
- ในการทดลองช่วงแรก พวกเขาปลอมเป็นเซิร์ฟเวอร์ WHOIS แล้วส่งสตริงยาวกลับไป และยืนยันว่าไคลเอนต์บางตัว crash ได้ง่าย
- อย่างไรก็ตาม หากผู้โจมตีต้องการควบคุมคำตอบ WHOIS โดยทั่วไปต้องมีอย่างใดอย่างหนึ่งต่อไปนี้
- MITM ที่ดักทราฟฟิก WHOIS ในชั้นเครือข่าย
- สิทธิ์เข้าถึงเซิร์ฟเวอร์ WHOIS จริง
- WHOIS referral ที่ชี้ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
- เงื่อนไขเหล่านี้เป็นอุปสรรคสูงในการโจมตีจริง แต่สถานการณ์เปลี่ยนไปเมื่อโดเมนเซิร์ฟเวอร์ WHOIS เดิมของ
.mobiหมดอายุ - เซิร์ฟเวอร์ WHOIS ของ
.mobiเคยย้ายจากwhois.dotmobiregistry.netไปเป็นwhois.nic.mobiและโดเมนเดิมdotmobiregistry.netอยู่ในสถานะหมดอายุราวเดือนธันวาคม 2023 - watchTowr จดทะเบียนโดเมนนี้ แล้ววางเซิร์ฟเวอร์ WHOIS ไว้หลัง
whois.dotmobiregistry.netเพื่อตรวจสอบว่าไคลเอนต์ WHOIS ที่ hardcode ที่อยู่เดิมยังคงส่งคำค้นหาหรือไม่
พื้นผิวโจมตีที่เกิดจากการ hardcode ที่อยู่เซิร์ฟเวอร์ WHOIS
- WHOIS ใช้เซิร์ฟเวอร์แยกกันตามแต่ละ TLD แต่กลไกมาตรฐานสำหรับให้ไคลเอนต์ค้นหาเซิร์ฟเวอร์นั้นแบบเรียลไทม์ยังอ่อนแอ
- ในทางปฏิบัติ เครื่องมือ WHOIS มักอ้างอิงรายการข้อความที่ IANA เผยแพร่ แล้ว hardcode ที่อยู่เซิร์ฟเวอร์ในช่วงพัฒนา
- เมื่อที่อยู่เซิร์ฟเวอร์ไม่ค่อยเปลี่ยน ปัญหานี้จึงไม่ค่อยปรากฏ แต่หากที่อยู่เปลี่ยนและโดเมนเดิมหมดอายุ ไคลเอนต์เก่าก็อาจส่งคำค้นหาไปยังที่อยู่ที่ถูกเลิกใช้ต่อไปได้
- watchTowr ตอบคำขอ WHOIS ที่เข้ามายังเซิร์ฟเวอร์
lglassและส่งข้อมูล WHOIS ปลอมที่ทำให้ดูเหมือนว่าเจ้าของเป้าหมายทุกคำค้นหาคือ watchTowr - ในคำตอบยังมี ASCII art และคำขอให้หยุดส่งคำค้นหารวมอยู่ด้วย
ปริมาณและแหล่งที่มาของคำค้นหาที่สังเกตได้
- หลังจากเปิดใช้เซิร์ฟเวอร์ WHOIS เมื่อวันที่ 30 สิงหาคม 2024 ภายในไม่กี่ชั่วโมงมี IP ต้นทางที่ไม่ซ้ำกันมากกว่า 76,000 รายการ ส่งคำค้นหาเข้ามา
- ในเวลาประมาณสองวัน มีคำค้นหา 1.3 ล้านครั้ง สะสมใน SQLite DB และ ณ วันที่ 4 กันยายน 2024 พบคำค้นหา 2.5 ล้านครั้ง กับ ระบบที่ไม่ซ้ำกันมากกว่า 135,000 ระบบ
- แหล่งที่มาของคำค้นหารวมถึงผู้รับจดทะเบียนโดเมนรายใหญ่และเว็บไซต์ที่ให้ฟังก์ชัน WHOIS
domain.comgodaddy.comwho.iswhois.rusmallseo.toolsseocheki.netcentralops.netname.comwebchart.org
- บริการวิเคราะห์ความปลอดภัยก็ใช้เซิร์ฟเวอร์ WHOIS เดิมของ
.mobiเช่นกัน- urlscan.io ใช้ผล WHOIS ดังกล่าวในหน้าโดเมน
.mobi - VirusTotal ส่งคำค้นหาไปยังเซิร์ฟเวอร์ WHOIS ชั่วคราวของ watchTowr แล้วแสดงผลลัพธ์
- urlscan.io ใช้ผล WHOIS ดังกล่าวในหน้าโดเมน
- พบเมลเซิร์ฟเวอร์และตัวกรองสแปมจำนวนมากด้วย
- ตัวกรองสแปมสามารถทำ WHOIS lookup กับโดเมนของผู้ส่งได้
- ครอบคลุมตั้งแต่
cheapsender.emailไปจนถึงโฮสต์อย่างmail.bdcustoms.gov.bdที่ดูเหมือนเป็นโครงสร้างพื้นฐานของรัฐบาลบังกลาเทศ
- พบที่อยู่ที่เกี่ยวข้องกับ
.govจากหลายประเทศ- Argentina, Pakistan, India, Bangladesh, Indonesia, Bhutan, Philippines, Israel, Ethiopia, Ukraine, USA
- ตัวอย่างที่เกี่ยวข้องกับ Brazil ได้แก่
antispam.ap.gov.br,master.aneel.gov.br
- ในแหล่งที่มาจาก
.milมี Swedish Armed Forces ถูกยกเป็นตัวอย่าง - ยังพบแหล่งที่มาจาก
.eduและบริษัทความปลอดภัย โดยมีการกล่าวถึง Group-IB, Detectify, Censys เป็นต้น - หาก
.govและเมลเซิร์ฟเวอร์ส่งคำค้นหาไปยังเซิร์ฟเวอร์ WHOIS ทุกครั้งที่รับอีเมลจากโดเมน.mobiก็อาจเกิดความเป็นไปได้ในการ สังเกตแบบ passive ว่าใครสื่อสารกับใคร
ช่องโหว่ของไคลเอนต์ WHOIS รุ่นเก่าและความเป็นไปได้ของ RCE
- watchTowr ค้นหากรณีก่อนหน้าของช่องโหว่ในการ parse คำตอบ WHOIS และสรุปว่าจากผลการค้นหา CVE ที่เกี่ยวข้อง 26 รายการ เหลือเพียง 3 รายการ ที่เป็นบั๊กซึ่งถูก trigger ได้ด้วยคำตอบ WHOIS ที่ผิดรูปแบบ
- เหตุผลที่มีกรณีน้อยเช่นนี้อาจเกี่ยวข้องกับความเข้าใจว่าการนำไปใช้โจมตีจริงต้องอาศัยเงื่อนไขตั้งต้นที่ยาก เช่น การควบคุมเซิร์ฟเวอร์ WHOIS ของ TLD
- phpWHOIS CVE-2015-5243 เป็นช่องโหว่ที่นำข้อมูลจากเซิร์ฟเวอร์ WHOIS ไป execute ด้วย PHP
evalทำให้เกิด RCE ได้- โค้ดที่มีช่องโหว่ escape เฉพาะ
"จากสตริงคำตอบ WHOIS แบบไม่สมบูรณ์ ก่อนส่งต่อให้eval - บทวิเคราะห์ของ Netitude นำเสนอ payload ตัวอย่างอย่าง
”;phpinfo();// - phpWHOIS เวอร์ชันที่มีช่องโหว่ hardcode
whois.dotmobiregistry.netไว้
- โค้ดที่มีช่องโหว่ escape เฉพาะ
- Fail2Ban CVE-2021-32749 เป็นช่องโหว่ที่ output ของ WHOIS ถูกส่งต่อไปยังเครื่องมือ
mailโดยไม่ได้ทำความสะอาดอย่างเหมาะสม ทำให้เกิด command injection ได้- Fail2Ban สามารถค้นหาข้อมูลเจ้าของ IP ที่ถูกบล็อกด้วย WHOIS แล้วใส่ไว้ในอีเมลถึงผู้ดูแลระบบ
- อย่างไรก็ตาม ช่องโหว่นี้เกิดกับ WHOIS lookup สำหรับ IP address ดังนั้นการควบคุมเซิร์ฟเวอร์ WHOIS ของโดเมน
.mobiที่ watchTowr ได้มาเพียงอย่างเดียวจึงยังไม่เข้าถึงโดยตรง
- การ execute โค้ดจริงยังต้องมีทั้งไคลเอนต์ที่ยังส่งคำค้นหาไปยังเซิร์ฟเวอร์ WHOIS เดิมของ
.mobiและ implementation ของไคลเอนต์ที่มีช่องโหว่ร่วมกัน
ผลกระทบถึงกระบวนการตรวจสอบใบรับรอง TLS/SSL
- ผู้ออกใบรับรอง TLS/SSL บางรายรองรับวิธี parse อีเมลผู้ติดต่อฝ่ายดูแล จากข้อมูล WHOIS เพื่อยืนยันความเป็นเจ้าของโดเมน แล้วส่งลิงก์ยืนยันไปยังอีเมลนั้น
- ตัวอย่างผู้ออกใบรับรองหรือ reseller ที่ watchTowr ระบุว่ารองรับการยืนยันความเป็นเจ้าของผ่าน WHOIS มีดังนี้
- Trustico
- Comodo
- SSLS
- GoGetSSL
- GlobalSign
- DigiSign
- Sectigo
- ในการทดสอบ GoGetSSL เมื่ออัปโหลด CSR ของ
watchTowr.mobiสมมติ ระบบไม่แสดงwhois@watchtowr.comที่ watchTowr ตั้งไว้ และแสดงเพียงอีเมล placeholder ที่ดูเหมือนว่า WHOIS ยังไม่สำเร็จ - ในการทดสอบ Entrust มีการ parse ระเบียน WHOIS ที่ถูกต้องตามกฎหมายของ
microsoft.mobiและแสดงเฉพาะอีเมลในโดเมนmicrosoft.comเป็นผู้สมัครสำหรับยืนยัน ส่วนwatchTowr.mobiไม่ถูก parse - ในการทดสอบ GlobalSign ตอนแรกดูเหมือนว่าจะ parse ระเบียน WHOIS ของ
microsoft.mobiไม่ได้ แต่เมื่อ watchTowr คัดลอกรูปแบบ output ของmicrosoft.mobiจากเซิร์ฟเวอร์ WHOIS ที่ถูกต้องตามกฎหมายแล้วปรับให้เซิร์ฟเวอร์ WHOIS ของตนเองส่งออก ผลลัพธ์ก็เปลี่ยนไป - GlobalSign ส่งคำค้นหาไปยังเซิร์ฟเวอร์ WHOIS ของ watchTowr และ parse
whois@watchtowr.comจากคำตอบเพื่อนำเสนอเป็นอีเมลยืนยันสำหรับmicrosoft.mobi - watchTowr หยุดที่จุดนี้ และ ไม่ได้ออกใบรับรอง TLS/SSL ที่เป็นอันตรายจริง
- ลำดับการโจมตีในเชิงทฤษฎีเป็นดังนี้
- วางเซิร์ฟเวอร์ WHOIS ที่เป็นอันตรายไว้บน hostname เดิมที่เคยมีอำนาจ
- พยายามซื้อใบรับรอง TLS/SSL สำหรับโดเมน
.mobiเป้าหมาย - ผู้ออกใบรับรอง query WHOIS แล้วส่งอีเมลยืนยันไปยังอีเมลของผู้โจมตี ไม่ใช่เจ้าของจริง
- หากผู้โจมตีคลิกลิงก์ ก็อาจได้รับใบรับรอง TLS/SSL สำหรับโดเมนเป้าหมาย
- หากมีความสามารถนี้ ในทางทฤษฎีอาจโจมตีได้ เช่น ดักทราฟฟิกหรือปลอมเป็นเซิร์ฟเวอร์เป้าหมาย
การดำเนินการภายหลังและปัญหาที่ยังเหลือ
- ก่อนการเผยแพร่ NCSC ของสหราชอาณาจักรและ ShadowServer Foundation ร่วมกันรับมือ
- โดเมน
dotmobiregistry.netและ hostnamewhois.dotmobiregistry.netถูกเชื่อมไปยัง ระบบ sinkhole ที่ ShadowServer ให้บริการ - sinkhole ดังกล่าว proxy คำตอบ WHOIS ที่ถูกต้องตามกฎหมายสำหรับโดเมน
.mobi - มีการจัดเตรียมกระบวนการแจ้งผู้เกี่ยวข้องที่ได้รับผลกระทบด้วย
- กรณีนี้แสดงให้เห็น ข้อบกพร่องเชิงโครงสร้าง ที่เกิดขึ้นเมื่อโครงสร้างพื้นฐาน legacy, โดเมนที่ถูกปล่อยทิ้ง, การประมวลผลที่อิง WHOIS และกระบวนการตรวจสอบของผู้ออกใบรับรอง TLS/SSL ทำงานร่วมกัน
- ผู้ที่ทำ MITM ได้ก็สามารถปลอมข้อมูล WHOIS แล้วพยายามโจมตีในรูปแบบเดียวกันได้เช่นกัน และแม้จะมีกลไกอย่าง Certificate Transparency ก็ยังมีอุปสรรคด้านปฏิบัติการสำหรับการโจมตีในวงกว้าง
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
กว่าจะมาถึงสถานการณ์นี้คงมีความผิดพลาดของหลายคนซ้อนกัน แต่มีสิ่งหนึ่งที่ชัดเจนว่าสามารถป้องกันการโจมตีแบบนี้ได้: อย่าปล่อยให้โดเมนหมดอายุเด็ดขาด
เซิร์ฟเวอร์ WHOIS ของโดเมนระดับบนสุด .MOBI ถูกย้ายจาก
whois.dotmobiregistry.netไปเป็นwhois.nic.mobiเมื่อหลายปีก่อน และดูเหมือนว่าโดเมนdotmobiregistry.netถูกปล่อยให้หมดอายุค้างไว้ราวเดือนธันวาคม 2023เมื่อบริษัทเริ่มใช้โดเมนใหม่โดยคิดว่าแค่ปีละ 10 ดอลลาร์ โดเมนนั้นก็กลายเป็นสินทรัพย์ที่ต้องจ่าย ปีละ 10 ดอลลาร์ไปตลอดกาล ในทางปฏิบัติ เมื่อโดเมนเคยเชื่อมโยงกับธุรกิจแล้ว ก็ไม่สามารถตัดความเชื่อมโยงนั้นให้ขาดได้อย่างสมบูรณ์
https://money.cnn.com/2016/01/29/technology/google-domain-pu...
สุดท้ายแล้วมองว่าค่าที่คำนวณได้เองไม่ได้สำคัญนัก เพราะโอกาสที่จะลืมจ่ายเงินเนื่องจากบัตรเครดิตหมดอายุหรืออีเมลแจ้งเตือนต่ออายุถูกกรองเป็นสแปมนั้นสูงกว่า
บริษัทขนาดใหญ่ไม่ลืมจ่ายค่าโดเมนกันได้อย่างไร? มอบหมายให้นายทะเบียนราคาแพงต่ออายุให้เป็นระยะเวลาใกล้ “อนันต์” หรือเปล่า? ดูเหมือนเป็น ปัญหาการดำเนินธุรกิจ ที่ค่อนข้างยาก
รู้สึกเหมือนว่าวันหนึ่งตื่นเช้ามาแล้วจะได้เห็นข่าวว่าอินเทอร์เน็ตทั้งก้อนหายไป เพราะมีใครบางคนในห้องโรงแรมห่างไกลทำอะไรสักอย่างด้วย Raspberry Pi ที่เชื่อมต่อกับฮอตสปอต Wi-Fi ของคาเฟ่ใกล้ๆ
.mobi[0] https://xkcd.com/2347/
[1] https://en.wikipedia.org/wiki/ARPANET#Debate_about_design_go...
[1] https://news.ycombinator.com/item?id=41482087
ทำไมเครื่องมือต่างๆ ถึง ฮาร์ดโค้ด รายชื่อเซิร์ฟเวอร์ WHOIS ไว้ใช้กันนะ?
ดูเหมือนจะมีวิธีมาตรฐานในการบันทึกข้อมูลนี้ลงใน DNS แต่ลองทดสอบง่ายๆ แล้วพบว่าโดเมนระดับบนสุดจำนวนมากไม่มีเรคคอร์ด ตัวอย่างที่ใช้งานได้คือ
dig _nicname._tcp.fr SRV +noall +answerและจะได้ผลลัพธ์เป็น_nicname._tcp.fr. 3588 IN SRV 0 0 43 whois.nic.fr.นอกจากนี้ยังมีอินเทอร์เน็ตดราฟต์ที่หมดอายุแล้วเกี่ยวกับเรื่องนี้ด้วย: https://datatracker.ietf.org/doc/html/draft-sanz-whois-srv-0...
mobi.whois.arpa. CNAME whois.nic.mobiก็แก้ปัญหาได้แล้ว เพียงแต่การทำให้ทุกคนเห็นพ้องและนำวิธีแบบนี้ไปใช้เป็นเรื่องยากอย่างที่ fanf2 กล่าวไว้ด้านล่าง ก็น่าจะเริ่ม query จากเซิร์ฟเวอร์ WHOIS ของ IANA ได้เช่นกัน ถ้า query
mobiที่ https://www.iana.org/whois จะมีwhois: whois.nic.mobiกลับมาเป็นส่วนหนึ่งของคำตอบความสามารถของนักพัฒนาที่ไม่เพียงพอก็เป็นปัญหาอยู่แล้ว แต่ AI hallucination จะทำให้สถานการณ์นี้เลวร้ายลงอีก
เห็นทีมจำนวนมากเกินไปที่ไม่ตระหนักว่า เมื่อเริ่มใช้โดเมนอย่างมีนัยสำคัญแล้ว ในทางปฏิบัติต้องต่ออายุไปจนถึงความตายทางความร้อนของจักรวาล หรืออย่างน้อยก็จนถึงความตายทางความร้อนของทีม
ไม่ว่าจะเป็นกรณีแบบนี้ หรือ URL เก่าแต่สำคัญที่ยังหลงเหลืออยู่ที่ไหนสักแห่ง หรือสมาชิกทีมเคยใช้อีเมลโดเมนเก่าสมัครบริการไว้ ก็ยากมากที่จะรู้ว่าเมื่อไรจึงจะปล่อยโดเมนเก่าได้จริงๆ
พื้นที่โจมตีที่เกิดขึ้นจากการซื้อแค่ โดเมนหมดอายุหนึ่งโดเมน ของเซิร์ฟเวอร์ WHOIS เก่านั้นมหาศาลจริงๆ
ทางออกที่แท้จริงของ WHOIS คือ RDAP
น่าเสียดายที่ไม่ได้บังคับใช้กับโดเมนระดับบนสุดรหัสประเทศ และในบรรดาโดเมนระดับบนสุดที่ไม่ใช่รหัสประเทศ ก็ยังมีหลายแห่งที่ทำงานได้ไม่ถูกต้อง
https://en.wikipedia.org/wiki/Registration_Data_Access_Proto...
https://resolve.rs/domains/rdap-missing.html
เป็นงานที่เจ๋งมาก
โดเมน
dotmobiregistry.netและชื่อโฮสต์whois.dotmobiregisry.netตอนนี้ชี้ไปยังระบบ sinkhole ที่ ShadowServer จัดเตรียมไว้ และระบุว่าระบบนี้ทำหน้าที่พร็อกซีคำตอบ WHOIS ปกติของโดเมน.mobiถ้าโดเมนเหล่านี้ตั้งใจจะเลิกใช้งาน การส่งคำตอบอย่าง 404 กลับไปน่าจะดีกว่า การปล่อยให้มันยังทำงานเหมือนปกติต่อไปจะลด แรงจูงใจในการย้ายไปใช้โดเมนทางการ
Domain not found.>>> Please update your code or tell your system administrator to use whois.nic.mobi, the authoritative WHOIS server for this domain. <<<ผมมองว่าแนวทางของคอมพิวเตอร์โดยรวมเองถูกกำหนดให้ล้มเหลวอยู่แล้ว มันพึ่งพาความปลอดภัยที่สมบูรณ์แบบ และตั้งสมมติฐานว่าความปลอดภัยนั้นทำได้ด้วย การตรวจสอบ SBOM กับการอัปเดตบ่อย ๆ
แต่ในความเป็นจริงไม่มีทางเป็นแบบนั้น แค่ log4j อย่างเดียว 40% ของการดาวน์โหลดทั้งหมดก็ยังเป็นเวอร์ชันที่มีช่องโหว่แล้ว ยังไม่ต้องพูดถึงกรณีที่บริษัทในซัพพลายเชนปิดกิจการ หรือเลิกดูแลคอมโพเนนต์บางตัว
เหมือนร่างกายของเราที่เป็นสนามรบกับจุลินทรีย์อยู่เสมอ ทุกอย่างก็ย่อมเต็มไปด้วยบั๊กและรูโหว่อยู่ตลอดเวลา
อาจต้องใช้เวลาหลายสิบปี แต่เส้นทางก็ดูค่อนข้างชัดเจน แค่ทุ่มเทความพยายาม นำความรู้ที่ได้จาก “บทเรียน” ทุกครั้งมาใช้ และอย่าหยุดก็พอ
โดยรวมแล้วชอบบรรยากาศแบบ “เราไม่ได้อยากทำเรื่องนี้เลย แต่สถานการณ์มันใหญ่ขึ้นเรื่อย ๆ และทุกขั้นตอนเราก็ได้อะไรที่ใหญ่กว่าที่คาดไว้”
ถ้าคนที่คัดค้านยอมฟังและแก้การ parsing ผู้เขียนบทความอาจไม่ต้องลำบากขนาดนี้ก็ได้
ถ้ามองกลับกัน นี่หมายความว่าเราต้องเชื่อว่าเซิร์ฟเวอร์ WHOIS ทุกเครื่องทั่วโลกเป็นของจริงและปลอดภัยอยู่เสมอหรือเปล่า?
โดยเฉพาะจากมุมมองของผู้ออกใบรับรองที่ทำการตรวจสอบ TLS คงไม่มีใครอยากรู้ว่าการรัน
whois somethingarbitrary.ruจะทำให้เสี่ยงต่อ การรันโค้ดจากระยะไกล เพราะเซิร์ฟเวอร์รัสเซีย