靠微软一己之力 很难扛起域名安全这杆大旗
为防犯罪分子染指,斥资160万美元购买“魔鬼域名”
靠微软一己之力 很难扛起域名安全这杆大旗
看得见的安全风险,永远只是冰山一角。
近期,被称为史上最危险域名的corp.com被微软出资160万美元购买,结束了长达26年的僵持。虽然这项举动切断了网络犯罪分子染指滥用该域名的可能,但并不意味着域名系统(DNS)防护从此可以高枕无忧。
随着物联网应用的迅速普及、5G覆盖提速,加强域名系统安全防护能力已成当务之急。
微软封印“魔戒”,买下史上最危险域名
域名就是网址,谁先注册谁就拥有使用权,它就像互联网空间的门牌号,网站有了域名才能够被访问。
corp.com注册于1994年,一直以来被业界称作“魔鬼域名”,这是因为任何人只要拥有 corp.com,就能访问全球主要公司数十万台 Windows系统电脑端当中海量密码、电子邮件和其他敏感数据。为什么会这样?个中的原因,还要从微软的Windows操作系统说起。
Active Directory(活动目录)服务是Windows平台的核心组件,企业或组织内网的Windows计算机用它来验证网络上的其他内容,参与本地网络的域名解析。
但是,支持Active Directory的Windows早期版本默认Active Directory路径被指定为“corp”,不少公司没有修改二级域名,而是直接采用了此设置。于是,当他们的员工在公共网络访问该路径时,Windows会尝试将“corp”解析为“corp.com”公有域。
当一个原本在内网使用的域名在公共互联网上解析时,不管是否有意为之,DNS名称空间冲突都会发生。这意味着,敏感数据有可能瞬间流向外网被“分享”到corp.com站点。
据公开报道,2019年,安全专家杰夫·施密特(Jeff Schmidt)在对流向corp.com的企业内部流量分析中发现,有超过37.5万台Windows系统电脑端尝试发送信息,包括尝试登录公司内网及访问网络上的特定共享文件。测试期间,这个安全团队还一度模拟本地Windows网络登录和文件共享环境接管了对corp.com的连接请求,1小时内,corp.com就收到了超过1200万封邮件,其中包括了大量的敏感信息。通过这次实验,施密特等人得出结论:控制corp.com的人极有可能会拥有一个遍布全球的计算机僵尸网络。
多年来,微软发布数个软件更新,试图消除corp.com的潜在威胁,但部署这些修复程序的易受攻击企业并不多。
另外,某网络安全公司工程师告诉科技日报记者:“Active Directory安全机制的先天缺陷很难通过安全更新彻底根除,就如网友所说‘拥有了corp.com就如同获得了魔戒’,企业内部设备访问外网时,有可能向域名控制者发送企业内网敏感信息并不是理论推断,很有可能就是现实。”
那么,微软买下corp.com域名,是不是等于彻底消除了那些将Active Directory构建于“corp”或“corp.com”上的全球客户头顶的“雷”?
对此,微软未做过多回应,只是强调用户安全至上是承诺。有安全专家指出,信息安全领域,不存在绝对的安全承诺。不仅是corp.com,将内部Active Directory网络与任何不受控的域名“绑在一起”都存在安全风险。从目前来看,及时下载安装最新的安全补丁,是免遭漏洞恶意攻击的有效手段。
域名并非生意,安全始终是最深隐患
或许是因为资源有限,也或许是过往域名致富的故事太多,如今,人们更愿意把域名当成一门生意来谈论,相比之下,对安全问题的关注度低了很多。
事实上,尽管全世界的工程师们一直在努力改善域名系统的安全性和抗攻击性,但针对域名系统的攻击依旧是互联网最重大威胁之一,由此引发的安全事件也是层出不穷。
从2009年5月19日晚19点左右开始,我国江苏、安徽、浙江、广西、海南、甘肃六省连续两天出现严重网络故障,很多用户发现网速变慢或者干脆无法访问网站。两天后,相关部门通报这起著名的“519断网事件”,原因为暴风影音网站的域名解析系统受到网络攻击,持续不断地发送大量联网请求,最终造成了大面积的网络堵塞。
2019年2月19日,国家互联网应急中心监测发现,部分用户通过家用路由器访问某些网站时被劫持到涉黄涉赌网站,发生域名劫持的家用路由器DNS地址被发现是有黑客恶意篡改,这次的破坏规模达到400余万个IP地址。
国家互联网应急中心发布的通报显示,很大一部分网络挟持的源头是“放马站点”。“所谓的‘放马站点’,就是被注入了木马的网站。”知名网络安全公司奇安信的工程师介绍,网络病毒主要在一些防护弱、访问量大的网站通过网页“挂马”的方式进行传播,当用户访问这些被黑客“挂马”的网站时,就会被暗中连接到黑客最终“放马”的站点而中毒。