看得見的安全風險,永遠只是冰山一角。
近期�����,被稱為史上最危險域名的corp.com被微軟出資160萬美元購買���,結束了長達26年的僵持。雖然這項舉動切斷了網絡犯罪分子染指濫用該域名的可能��,但并不意味著域名系統(tǒng)(DNS)防護從此可以高枕無憂����。
隨著物聯(lián)網應用的迅速普及、5G覆蓋提速�,加強域名系統(tǒng)安全防護能力已成當務之急。
微軟封印“魔戒”�����,買下史上最危險域名
域名就是網址��,誰先注冊誰就擁有使用權��,它就像互聯(lián)網空間的門牌號,網站有了域名才能夠被訪問��。
corp.com注冊于1994年���,一直以來被業(yè)界稱作“魔鬼域名”,這是因為任何人只要擁有 corp.com�,就能訪問全球主要公司數(shù)十萬臺 Windows系統(tǒng)電腦端當中海量密碼、電子郵件和其他敏感數(shù)據�。為什么會這樣?個中的原因,還要從微軟的Windows操作系統(tǒng)說起�����。
Active Directory(活動目錄)服務是Windows平臺的核心組件����,企業(yè)或組織內網的Windows計算機用它來驗證網絡上的其他內容,參與本地網絡的域名解析�����。
但是�,支持Active Directory的Windows早期版本默認Active Directory路徑被指定為“corp”,不少公司沒有修改二級域名�,而是直接采用了此設置。于是,當他們的員工在公共網絡訪問該路徑時�,Windows會嘗試將“corp”解析為“corp.com”公有域。
當一個原本在內網使用的域名在公共互聯(lián)網上解析時��,不管是否有意為之����,DNS名稱空間沖突都會發(fā)生。這意味著��,敏感數(shù)據有可能瞬間流向外網被“分享”到corp.com站點��。
據公開報道�,2019年,安全專家杰夫·施密特(Jeff Schmidt)在對流向corp.com的企業(yè)內部流量分析中發(fā)現(xiàn)����,有超過37.5萬臺Windows系統(tǒng)電腦端嘗試發(fā)送信息,包括嘗試登錄公司內網及訪問網絡上的特定共享文件�。測試期間����,這個安全團隊還一度模擬本地Windows網絡登錄和文件共享環(huán)境接管了對corp.com的連接請求��,1小時內,corp.com就收到了超過1200萬封郵件�,其中包括了大量的敏感信息。通過這次實驗�,施密特等人得出結論:控制corp.com的人極有可能會擁有一個遍布全球的計算機僵尸網絡。
多年來�����,微軟發(fā)布數(shù)個軟件更新,試圖消除corp.com的潛在威脅���,但部署這些修復程序的易受攻擊企業(yè)并不多��。
另外���,某網絡安全公司工程師告訴科技日報記者:“Active Directory安全機制的先天缺陷很難通過安全更新徹底根除��,就如網友所說‘擁有了corp.com就如同獲得了魔戒’��,企業(yè)內部設備訪問外網時���,有可能向域名控制者發(fā)送企業(yè)內網敏感信息并不是理論推斷,很有可能就是現(xiàn)實。”
那么��,微軟買下corp.com域名,是不是等于徹底消除了那些將Active Directory構建于“corp”或“corp.com”上的全球客戶頭頂?shù)?ldquo;雷”?
對此�,微軟未做過多回應��,只是強調用戶安全至上是承諾�����。有安全專家指出�,信息安全領域,不存在絕對的安全承諾���。不僅是corp.com����,將內部Active Directory網絡與任何不受控的域名“綁在一起”都存在安全風險�。從目前來看���,及時下載安裝最新的安全補丁,是免遭漏洞惡意攻擊的有效手段�。
域名并非生意,安全始終是最深隱患
或許是因為資源有限,也或許是過往域名致富的故事太多��,如今����,人們更愿意把域名當成一門生意來談論,相比之下�����,對安全問題的關注度低了很多。
事實上�����,盡管全世界的工程師們一直在努力改善域名系統(tǒng)的安全性和抗攻擊性,但針對域名系統(tǒng)的攻擊依舊是互聯(lián)網最重大威脅之一��,由此引發(fā)的安全事件也是層出不窮�����。
從2009年5月19日晚19點左右開始��,我國江蘇、安徽�、浙江、廣西��、海南���、甘肅六省連續(xù)兩天出現(xiàn)嚴重網絡故障���,很多用戶發(fā)現(xiàn)網速變慢或者干脆無法訪問網站���。兩天后,相關部門通報這起著名的“519斷網事件”��,原因為暴風影音網站的域名解析系統(tǒng)受到網絡攻擊��,持續(xù)不斷地發(fā)送大量聯(lián)網請求����,最終造成了大面積的網絡堵塞�。
2019年2月19日�,國家互聯(lián)網應急中心監(jiān)測發(fā)現(xiàn)����,部分用戶通過家用路由器訪問某些網站時被劫持到涉黃涉賭網站����,發(fā)生域名劫持的家用路由器DNS地址被發(fā)現(xiàn)是有黑客惡意篡改���,這次的破壞規(guī)模達到400余萬個IP地址���。
國家互聯(lián)網應急中心發(fā)布的通報顯示,很大一部分網絡挾持的源頭是“放馬站點”�。“所謂的‘放馬站點’,就是被注入了木馬的網站����。”知名網絡安全公司奇安信的工程師介紹,網絡病毒主要在一些防護弱����、訪問量大的網站通過網頁“掛馬”的方式進行傳播�����,當用戶訪問這些被黑客“掛馬”的網站時,就會被暗中連接到黑客最終“放馬”的站點而中毒���。
清華大學奇安信集團聯(lián)合研究中心主任段海新介紹�,作為互聯(lián)網重要的基礎設施��,域名系統(tǒng)不僅提供了上網必須的域名解析服務�����,還提供了應用層的路由和負載均衡����,作為信任基礎提供了郵件服務器的驗證、證書申請時域的控制權驗證���,基于DSSSEC(域名系統(tǒng)安全拓展)還可以提供公開密鑰基礎設施服務���。
段海新強調:“DNS是很多網絡服務的基礎�����,域名系統(tǒng)的一點小問題就是互聯(lián)網的大問題����。”
建設數(shù)字基礎設施�����,不能放松網絡安全
因為運營維護技術復雜且成本較高��,域名安全成為了網絡安全領域最薄弱的環(huán)節(jié)之一�����。如今�,域名安全面臨的威脅有可能呈幾何級增長。因為�,如今的移動互聯(lián)網�、物聯(lián)網及5G依然需要域名系統(tǒng)支持,并且已逐漸深入我們的生活����,很多未知的安全威脅隨時有可能出現(xiàn)�。
物聯(lián)網通過海量的互聯(lián)傳感器和設備逐漸與我們的現(xiàn)實環(huán)境無縫對接�����,與傳統(tǒng)互聯(lián)網應用最大的不同是����,在物聯(lián)網設備持續(xù)不斷地與域名系統(tǒng)的交互中,數(shù)據交換通常被動產生�,沒有人員的參與。
2019年9月��,互聯(lián)網名稱與數(shù)字地址分配機構(ICANN)安全與穩(wěn)定咨詢委員會發(fā)布的《SAC105報告》提示���,物聯(lián)網的僵尸網絡可以針對互聯(lián)網基礎設施啟動大規(guī)模分布式拒絕服務(DDoS)攻擊���,感染成百上千的設備。由于此類設備通??稍跓o人照管的情況下運行,因此給根除這些僵尸網絡造成了很大困難���。
針對物聯(lián)網設備的攻擊讓我們見識了新威脅的發(fā)起途徑和嚴重程度�,而5G網絡的新型組網與接入方式、邊緣數(shù)據中心及服務化架構的核心網將面對何等安全挑戰(zhàn)����,傳統(tǒng)安全模式是否適應5G安全建設的需求等一系列5G安全問題也正成為業(yè)界更為關注的課題。
工業(yè)和信息化部副部長陳肇雄強調���,網絡安全保障系統(tǒng)要與5G等數(shù)字基礎設施同步規(guī)劃�、建設�����、運行���,加強5G����、工業(yè)互聯(lián)網�����、數(shù)據中心����、云平臺等設施的安全保障,確保數(shù)字基礎設施安全平穩(wěn)可靠運行��。
中國工程院院士鄔賀銓指出����,很多安全挑戰(zhàn)是內生的,從基礎設施技術開發(fā)與網絡設計開始就要有內生的安全理念�����。網絡安全能力與基礎設施是一個整體����,網絡安全能力需與基礎設施同步建設并融入其中。
360集團董事長兼CEO周鴻祎則表示����,萬物互聯(lián)時代,越來越多的未知漏洞將會被利用�����,但短期內仍然無法通過一整套AI系統(tǒng)自動發(fā)現(xiàn)并抵御安全風險�����,仍需要發(fā)揮高水平攻防專家的力量,網絡安全的最后戰(zhàn)場依然是人與人的對抗�。
關鍵詞:
微軟
營業(yè)執(zhí)照公示信息