看得見的安全風險,永遠只是冰山一角。
近期,被稱為史上最危險域名的corp.com被微軟出資160萬美元購買,結(jié)束了長達26年的僵持。雖然這項舉動切斷了網(wǎng)絡(luò)犯罪分子染指濫用該域名的可能,但并不意味著域名系統(tǒng)(DNS)防護從此可以高枕無憂。
隨著物聯(lián)網(wǎng)應(yīng)用的迅速普及、5G覆蓋提速,加強域名系統(tǒng)安全防護能力已成當務(wù)之急。
微軟封印“魔戒”,買下史上最危險域名
域名就是網(wǎng)址,誰先注冊誰就擁有使用權(quán),它就像互聯(lián)網(wǎng)空間的門牌號,網(wǎng)站有了域名才能夠被訪問。
corp.com注冊于1994年,一直以來被業(yè)界稱作“魔鬼域名”,這是因為任何人只要擁有 corp.com,就能訪問全球主要公司數(shù)十萬臺 Windows系統(tǒng)電腦端當中海量密碼、電子郵件和其他敏感數(shù)據(jù)。為什么會這樣?個中的原因,還要從微軟的Windows操作系統(tǒng)說起。
Active Directory(活動目錄)服務(wù)是Windows平臺的核心組件,企業(yè)或組織內(nèi)網(wǎng)的Windows計算機用它來驗證網(wǎng)絡(luò)上的其他內(nèi)容,參與本地網(wǎng)絡(luò)的域名解析。
但是,支持Active Directory的Windows早期版本默認Active Directory路徑被指定為“corp”,不少公司沒有修改二級域名,而是直接采用了此設(shè)置。于是,當他們的員工在公共網(wǎng)絡(luò)訪問該路徑時,Windows會嘗試將“corp”解析為“corp.com”公有域。
當一個原本在內(nèi)網(wǎng)使用的域名在公共互聯(lián)網(wǎng)上解析時,不管是否有意為之,DNS名稱空間沖突都會發(fā)生。這意味著,敏感數(shù)據(jù)有可能瞬間流向外網(wǎng)被“分享”到corp.com站點。
據(jù)公開報道,2019年,安全專家杰夫·施密特(Jeff Schmidt)在對流向corp.com的企業(yè)內(nèi)部流量分析中發(fā)現(xiàn),有超過37.5萬臺Windows系統(tǒng)電腦端嘗試發(fā)送信息,包括嘗試登錄公司內(nèi)網(wǎng)及訪問網(wǎng)絡(luò)上的特定共享文件。測試期間,這個安全團隊還一度模擬本地Windows網(wǎng)絡(luò)登錄和文件共享環(huán)境接管了對corp.com的連接請求,1小時內(nèi),corp.com就收到了超過1200萬封郵件,其中包括了大量的敏感信息。通過這次實驗,施密特等人得出結(jié)論:控制corp.com的人極有可能會擁有一個遍布全球的計算機僵尸網(wǎng)絡(luò)。
多年來,微軟發(fā)布數(shù)個軟件更新,試圖消除corp.com的潛在威脅,但部署這些修復程序的易受攻擊企業(yè)并不多。
另外,某網(wǎng)絡(luò)安全公司工程師告訴科技日報記者:“Active Directory安全機制的先天缺陷很難通過安全更新徹底根除,就如網(wǎng)友所說‘擁有了corp.com就如同獲得了魔戒’,企業(yè)內(nèi)部設(shè)備訪問外網(wǎng)時,有可能向域名控制者發(fā)送企業(yè)內(nèi)網(wǎng)敏感信息并不是理論推斷,很有可能就是現(xiàn)實。”
那么,微軟買下corp.com域名,是不是等于徹底消除了那些將Active Directory構(gòu)建于“corp”或“corp.com”上的全球客戶頭頂?shù)?ldquo;雷”?
對此,微軟未做過多回應(yīng),只是強調(diào)用戶安全至上是承諾。有安全專家指出,信息安全領(lǐng)域,不存在絕對的安全承諾。不僅是corp.com,將內(nèi)部Active Directory網(wǎng)絡(luò)與任何不受控的域名“綁在一起”都存在安全風險。從目前來看,及時下載安裝最新的安全補丁,是免遭漏洞惡意攻擊的有效手段。
域名并非生意,安全始終是最深隱患
或許是因為資源有限,也或許是過往域名致富的故事太多,如今,人們更愿意把域名當成一門生意來談?wù)?,相比之下,對安全問題的關(guān)注度低了很多。
事實上,盡管全世界的工程師們一直在努力改善域名系統(tǒng)的安全性和抗攻擊性,但針對域名系統(tǒng)的攻擊依舊是互聯(lián)網(wǎng)最重大威脅之一,由此引發(fā)的安全事件也是層出不窮。
從2009年5月19日晚19點左右開始,我國江蘇、安徽、浙江、廣西、海南、甘肅六省連續(xù)兩天出現(xiàn)嚴重網(wǎng)絡(luò)故障,很多用戶發(fā)現(xiàn)網(wǎng)速變慢或者干脆無法訪問網(wǎng)站。兩天后,相關(guān)部門通報這起著名的“519斷網(wǎng)事件”,原因為暴風影音網(wǎng)站的域名解析系統(tǒng)受到網(wǎng)絡(luò)攻擊,持續(xù)不斷地發(fā)送大量聯(lián)網(wǎng)請求,最終造成了大面積的網(wǎng)絡(luò)堵塞。
2019年2月19日,國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn),部分用戶通過家用路由器訪問某些網(wǎng)站時被劫持到涉黃涉賭網(wǎng)站,發(fā)生域名劫持的家用路由器DNS地址被發(fā)現(xiàn)是有黑客惡意篡改,這次的破壞規(guī)模達到400余萬個IP地址。
國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的通報顯示,很大一部分網(wǎng)絡(luò)挾持的源頭是“放馬站點”。“所謂的‘放馬站點’,就是被注入了木馬的網(wǎng)站。”知名網(wǎng)絡(luò)安全公司奇安信的工程師介紹,網(wǎng)絡(luò)病毒主要在一些防護弱、訪問量大的網(wǎng)站通過網(wǎng)頁“掛馬”的方式進行傳播,當用戶訪問這些被黑客“掛馬”的網(wǎng)站時,就會被暗中連接到黑客最終“放馬”的站點而中毒。
清華大學奇安信集團聯(lián)合研究中心主任段海新介紹,作為互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施,域名系統(tǒng)不僅提供了上網(wǎng)必須的域名解析服務(wù),還提供了應(yīng)用層的路由和負載均衡,作為信任基礎(chǔ)提供了郵件服務(wù)器的驗證、證書申請時域的控制權(quán)驗證,基于DSSSEC(域名系統(tǒng)安全拓展)還可以提供公開密鑰基礎(chǔ)設(shè)施服務(wù)。
段海新強調(diào):“DNS是很多網(wǎng)絡(luò)服務(wù)的基礎(chǔ),域名系統(tǒng)的一點小問題就是互聯(lián)網(wǎng)的大問題。”
建設(shè)數(shù)字基礎(chǔ)設(shè)施,不能放松網(wǎng)絡(luò)安全
因為運營維護技術(shù)復雜且成本較高,域名安全成為了網(wǎng)絡(luò)安全領(lǐng)域最薄弱的環(huán)節(jié)之一。如今,域名安全面臨的威脅有可能呈幾何級增長。因為,如今的移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及5G依然需要域名系統(tǒng)支持,并且已逐漸深入我們的生活,很多未知的安全威脅隨時有可能出現(xiàn)。
物聯(lián)網(wǎng)通過海量的互聯(lián)傳感器和設(shè)備逐漸與我們的現(xiàn)實環(huán)境無縫對接,與傳統(tǒng)互聯(lián)網(wǎng)應(yīng)用最大的不同是,在物聯(lián)網(wǎng)設(shè)備持續(xù)不斷地與域名系統(tǒng)的交互中,數(shù)據(jù)交換通常被動產(chǎn)生,沒有人員的參與。
2019年9月,互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN)安全與穩(wěn)定咨詢委員會發(fā)布的《SAC105報告》提示,物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)可以針對互聯(lián)網(wǎng)基礎(chǔ)設(shè)施啟動大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊,感染成百上千的設(shè)備。由于此類設(shè)備通??稍跓o人照管的情況下運行,因此給根除這些僵尸網(wǎng)絡(luò)造成了很大困難。
針對物聯(lián)網(wǎng)設(shè)備的攻擊讓我們見識了新威脅的發(fā)起途徑和嚴重程度,而5G網(wǎng)絡(luò)的新型組網(wǎng)與接入方式、邊緣數(shù)據(jù)中心及服務(wù)化架構(gòu)的核心網(wǎng)將面對何等安全挑戰(zhàn),傳統(tǒng)安全模式是否適應(yīng)5G安全建設(shè)的需求等一系列5G安全問題也正成為業(yè)界更為關(guān)注的課題。
工業(yè)和信息化部副部長陳肇雄強調(diào),網(wǎng)絡(luò)安全保障系統(tǒng)要與5G等數(shù)字基礎(chǔ)設(shè)施同步規(guī)劃、建設(shè)、運行,加強5G、工業(yè)互聯(lián)網(wǎng)、數(shù)據(jù)中心、云平臺等設(shè)施的安全保障,確保數(shù)字基礎(chǔ)設(shè)施安全平穩(wěn)可靠運行。
中國工程院院士鄔賀銓指出,很多安全挑戰(zhàn)是內(nèi)生的,從基礎(chǔ)設(shè)施技術(shù)開發(fā)與網(wǎng)絡(luò)設(shè)計開始就要有內(nèi)生的安全理念。網(wǎng)絡(luò)安全能力與基礎(chǔ)設(shè)施是一個整體,網(wǎng)絡(luò)安全能力需與基礎(chǔ)設(shè)施同步建設(shè)并融入其中。
360集團董事長兼CEO周鴻祎則表示,萬物互聯(lián)時代,越來越多的未知漏洞將會被利用,但短期內(nèi)仍然無法通過一整套AI系統(tǒng)自動發(fā)現(xiàn)并抵御安全風險,仍需要發(fā)揮高水平攻防專家的力量,網(wǎng)絡(luò)安全的最后戰(zhàn)場依然是人與人的對抗。
關(guān)鍵詞: 微軟
網(wǎng)站首頁 |網(wǎng)站簡介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
中國網(wǎng)絡(luò)消費網(wǎng) 版權(quán)所有 未經(jīng)書面授權(quán) 不得復制或建立鏡像
聯(lián)系郵箱:920 891 263@qq.com