微軟封印“魔戒”，160萬美金買下史上最危險(xiǎn)域名

近期，被稱為史上最危險(xiǎn)域名的corp.com被微軟出資160萬美元購買，結(jié)束了長達(dá)26年的僵持。多年來，微軟發(fā)布數(shù)個(gè)軟件更新，試圖消除corp.com的潛在威脅，但部署這些修復(fù)程序的易受攻擊企業(yè)并不多。

這項(xiàng)舉動(dòng)切斷了網(wǎng)絡(luò)犯罪分子染指濫用該域名的可能，但并不意味著域名系統(tǒng)(DNS)防護(hù)從此可以高枕無憂。

微軟封印“魔戒”，買下史上最危險(xiǎn)域名

域名就是網(wǎng)址，誰先注冊誰就擁有使用權(quán)，它就像互聯(lián)網(wǎng)空間的門牌號(hào)，網(wǎng)站有了域名才能夠被訪問。

corp.com注冊于1994年，一直以來被業(yè)界稱作“魔鬼域名”，這是因?yàn)槿魏稳酥灰獡碛?corp.com，就能訪問全球主要公司數(shù)十萬臺(tái) Windows系統(tǒng)電腦端當(dāng)中海量密碼、電子郵件和其他敏感數(shù)據(jù)。為什么會(huì)這樣?個(gè)中的原因，還要從微軟的Windows操作系統(tǒng)說起。

Active Directory(活動(dòng)目錄)服務(wù)是Windows平臺(tái)的核心組件，企業(yè)或組織內(nèi)網(wǎng)的Windows計(jì)算機(jī)用它來驗(yàn)證網(wǎng)絡(luò)上的其他內(nèi)容，參與本地網(wǎng)絡(luò)的域名解析。

但是，支持Active Directory的Windows早期版本默認(rèn)Active Directory路徑被指定為“corp”，不少公司沒有修改二級(jí)域名，而是直接采用了此設(shè)置。于是，當(dāng)他們的員工在公共網(wǎng)絡(luò)訪問該路徑時(shí)，Windows會(huì)嘗試將“corp”解析為“corp.com”公有域。

當(dāng)一個(gè)原本在內(nèi)網(wǎng)使用的域名在公共互聯(lián)網(wǎng)上解析時(shí)，不管是否有意為之，DNS名稱空間沖突都會(huì)發(fā)生。這意味著，敏感數(shù)據(jù)有可能瞬間流向外網(wǎng)被“分享”到corp.com站點(diǎn)。

據(jù)公開報(bào)道，2019年，安全專家杰夫·施密特(Jeff Schmidt)在對流向corp.com的企業(yè)內(nèi)部流量分析中發(fā)現(xiàn)，有超過37.5萬臺(tái)Windows系統(tǒng)電腦端嘗試發(fā)送信息，包括嘗試登錄公司內(nèi)網(wǎng)及訪問網(wǎng)絡(luò)上的特定共享文件。測試期間，這個(gè)安全團(tuán)隊(duì)還一度模擬本地Windows網(wǎng)絡(luò)登錄和文件共享環(huán)境接管了對corp.com的連接請求，1小時(shí)內(nèi)，corp.com就收到了超過1200萬封郵件，其中包括了大量的敏感信息。通過這次實(shí)驗(yàn)，施密特等人得出結(jié)論：控制corp.com的人極有可能會(huì)擁有一個(gè)遍布全球的計(jì)算機(jī)僵尸網(wǎng)絡(luò)。

另外，某網(wǎng)絡(luò)安全公司工程師告訴科技日報(bào)記者：“Active Directory安全機(jī)制的先天缺陷很難通過安全更新徹底根除，就如網(wǎng)友所說‘擁有了corp.com就如同獲得了魔戒’，企業(yè)內(nèi)部設(shè)備訪問外網(wǎng)時(shí)，有可能向域名控制者發(fā)送企業(yè)內(nèi)網(wǎng)敏感信息并不是理論推斷，很有可能就是現(xiàn)實(shí)?！?

那么，微軟買下corp.com域名，是不是等于徹底消除了那些將Active Directory構(gòu)建于“corp”或“corp.com”上的全球客戶頭頂?shù)摹袄住?

對此，微軟未做過多回應(yīng)，只是強(qiáng)調(diào)用戶安全至上是承諾。有安全專家指出，信息安全領(lǐng)域，不存在絕對的安全承諾。不僅是corp.com，將內(nèi)部Active Directory網(wǎng)絡(luò)與任何不受控的域名“綁在一起”都存在安全風(fēng)險(xiǎn)。從目前來看，及時(shí)下載安裝最新的安全補(bǔ)丁，是免遭漏洞惡意攻擊的有效手段。

域名并非生意，安全始終是最深隱患

或許是因?yàn)橘Y源有限，也或許是過往域名致富的故事太多，如今，人們更愿意把域名當(dāng)成一門生意來談?wù)摚啾戎?，對安全問題的關(guān)注度低了很多。

事實(shí)上，盡管全世界的工程師們一直在努力改善域名系統(tǒng)的安全性和抗攻擊性，但針對域名系統(tǒng)的攻擊依舊是互聯(lián)網(wǎng)最重大威脅之一，由此引發(fā)的安全事件也是層出不窮。

從2009年5月19日晚19點(diǎn)左右開始，我國江蘇、安徽、浙江、廣西、海南、甘肅六省連續(xù)兩天出現(xiàn)嚴(yán)重網(wǎng)絡(luò)故障，很多用戶發(fā)現(xiàn)網(wǎng)速變慢或者干脆無法訪問網(wǎng)站。兩天后，相關(guān)部門通報(bào)這起著名的“519斷網(wǎng)事件”，原因?yàn)楸╋L(fēng)影音網(wǎng)站的域名解析系統(tǒng)受到網(wǎng)絡(luò)攻擊，持續(xù)不斷地發(fā)送大量聯(lián)網(wǎng)請求，最終造成了大面積的網(wǎng)絡(luò)堵塞。

2019年2月19日，國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn)，部分用戶通過家用路由器訪問某些網(wǎng)站時(shí)被劫持到涉黃涉賭網(wǎng)站，發(fā)生域名劫持的家用路由器DNS地址被發(fā)現(xiàn)是有黑客惡意篡改，這次的破壞規(guī)模達(dá)到400余萬個(gè)IP地址。

國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的通報(bào)顯示，很大一部分網(wǎng)絡(luò)挾持的源頭是“放馬站點(diǎn)”。“所謂的‘放馬站點(diǎn)’，就是被注入了木馬的網(wǎng)站?！敝W(wǎng)絡(luò)安全公司奇安信的工程師介紹，網(wǎng)絡(luò)病毒主要在一些防護(hù)弱、訪問量大的網(wǎng)站通過網(wǎng)頁“掛馬”的方式進(jìn)行傳播，當(dāng)用戶訪問這些被黑客“掛馬”的網(wǎng)站時(shí)，就會(huì)被暗中連接到黑客最終“放馬”的站點(diǎn)而中毒。

清華大學(xué)奇安信集團(tuán)聯(lián)合研究中心主任段海新介紹，作為互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施，域名系統(tǒng)不僅提供了上網(wǎng)必須的域名解析服務(wù)，還提供了應(yīng)用層的路由和負(fù)載均衡，作為信任基礎(chǔ)提供了郵件服務(wù)器的驗(yàn)證、證書申請時(shí)域的控制權(quán)驗(yàn)證，基于DSSSEC(域名系統(tǒng)安全拓展)還可以提供公開密鑰基礎(chǔ)設(shè)施服務(wù)。

段海新強(qiáng)調(diào)：“DNS是很多網(wǎng)絡(luò)服務(wù)的基礎(chǔ)，域名系統(tǒng)的一點(diǎn)小問題就是互聯(lián)網(wǎng)的大問題。”

建設(shè)數(shù)字基礎(chǔ)設(shè)施，不能放松網(wǎng)絡(luò)安全

因?yàn)檫\(yùn)營維護(hù)技術(shù)復(fù)雜且成本較高，域名安全成為了網(wǎng)絡(luò)安全領(lǐng)域最薄弱的環(huán)節(jié)之一。如今，域名安全面臨的威脅有可能呈幾何級(jí)增長。因?yàn)?，如今的移?dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及5G依然需要域名系統(tǒng)支持，并且已逐漸深入我們的生活，很多未知的安全威脅隨時(shí)有可能出現(xiàn)。

物聯(lián)網(wǎng)通過海量的互聯(lián)傳感器和設(shè)備逐漸與我們的現(xiàn)實(shí)環(huán)境無縫對接，與傳統(tǒng)互聯(lián)網(wǎng)應(yīng)用最大的不同是，在物聯(lián)網(wǎng)設(shè)備持續(xù)不斷地與域名系統(tǒng)的交互中，數(shù)據(jù)交換通常被動(dòng)產(chǎn)生，沒有人員的參與。

2019年9月，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)安全與穩(wěn)定咨詢委員會(huì)發(fā)布的《SAC105報(bào)告》提示，物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)可以針對互聯(lián)網(wǎng)基礎(chǔ)設(shè)施啟動(dòng)大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊，感染成百上千的設(shè)備。由于此類設(shè)備通常可在無人照管的情況下運(yùn)行，因此給根除這些僵尸網(wǎng)絡(luò)造成了很大困難。

針對物聯(lián)網(wǎng)設(shè)備的攻擊讓我們見識(shí)了新威脅的發(fā)起途徑和嚴(yán)重程度，而5G網(wǎng)絡(luò)的新型組網(wǎng)與接入方式、邊緣數(shù)據(jù)中心及服務(wù)化架構(gòu)的核心網(wǎng)將面對何等安全挑戰(zhàn)，傳統(tǒng)安全模式是否適應(yīng)5G安全建設(shè)的需求等一系列5G安全問題也正成為業(yè)界更為關(guān)注的課題。

工業(yè)和信息化部副部長陳肇雄強(qiáng)調(diào)，網(wǎng)絡(luò)安全保障系統(tǒng)要與5G等數(shù)字基礎(chǔ)設(shè)施同步規(guī)劃、建設(shè)、運(yùn)行，加強(qiáng)5G、工業(yè)互聯(lián)網(wǎng)、數(shù)據(jù)中心、云平臺(tái)等設(shè)施的安全保障，確保數(shù)字基礎(chǔ)設(shè)施安全平穩(wěn)可靠運(yùn)行。

中國工程院院士鄔賀銓指出，很多安全挑戰(zhàn)是內(nèi)生的，從基礎(chǔ)設(shè)施技術(shù)開發(fā)與網(wǎng)絡(luò)設(shè)計(jì)開始就要有內(nèi)生的安全理念。網(wǎng)絡(luò)安全能力與基礎(chǔ)設(shè)施是一個(gè)整體，網(wǎng)絡(luò)安全能力需與基礎(chǔ)設(shè)施同步建設(shè)并融入其中。

360集團(tuán)董事長兼CEO周鴻祎則表示，萬物互聯(lián)時(shí)代，越來越多的未知漏洞將會(huì)被利用，但短期內(nèi)仍然無法通過一整套AI系統(tǒng)自動(dòng)發(fā)現(xiàn)并抵御安全風(fēng)險(xiǎn)，仍需要發(fā)揮高水平攻防專家的力量，網(wǎng)絡(luò)安全的最后戰(zhàn)場依然是人與人的對抗。

看得見的安全風(fēng)險(xiǎn)，永遠(yuǎn)只是冰山一角?？课④浺患褐?很難扛起域名安全這桿大旗，對此大家怎么看呢?