靠微软一己之力 很难扛起域名安全这杆大旗
来源:tech.huanqiu.com
看得见的安全风险,永远只是冰山一角。
近期,被称为史上最危险域名的corp.com被微软出资160万美元购买,结束了长达26年的僵持。虽然这项举动切断了网络犯罪分子染指滥用该域名的可能,但并不意味着域名系统(DNS)防护从此可以高枕无忧。
随着物联网应用的迅速普及、5G覆盖提速,加强域名系统安全防护能力已成当务之急。
微软封印“魔戒”,买下史上最危险域名
域名就是网址,谁先注册谁就拥有使用权,它就像互联网空间的门牌号,网站有了域名才能够被访问。
corp.com注册于1994年,一直以来被业界称作“魔鬼域名”,这是因为任何人只要拥有 corp.com,就能访问全球主要公司数十万台 Windows系统电脑端当中海量密码、电子邮件和其他敏感数据。为什么会这样?个中的原因,还要从微软的Windows操作系统说起。
Active Directory(活动目录)服务是Windows平台的核心组件,企业或组织内网的Windows计算机用它来验证网络上的其他内容,参与本地网络的域名解析。
但是,支持Active Directory的Windows早期版本默认Active Directory路径被指定为“corp”,不少公司没有修改二级域名,而是直接采用了此设置。于是,当他们的员工在公共网络访问该路径时,Windows会尝试将“corp”解析为“corp.com”公有域。
当一个原本在内网使用的域名在公共互联网上解析时,不管是否有意为之,DNS名称空间冲突都会发生。这意味着,敏感数据有可能瞬间流向外网被“分享”到corp.com站点。
据公开报道,2019年,安全专家杰夫·施密特(Jeff Schmidt)在对流向corp.com的企业内部流量分析中发现,有超过37.5万台Windows系统电脑端尝试发送信息,包括尝试登录公司内网及访问网络上的特定共享文件。测试期间,这个安全团队还一度模拟本地Windows网络登录和文件共享环境接管了对corp.com的连接请求,1小时内,corp.com就收到了超过1200万封邮件,其中包括了大量的敏感信息。通过这次实验,施密特等人得出结论:控制corp.com的人极有可能会拥有一个遍布全球的计算机僵尸网络。
多年来,微软发布数个软件更新,试图消除corp.com的潜在威胁,但部署这些修复程序的易受攻击企业并不多。
另外,某网络安全公司工程师告诉科技日报记者:“Active Directory安全机制的先天缺陷很难通过安全更新彻底根除,就如网友所说‘拥有了corp.com就如同获得了魔戒’,企业内部设备访问外网时,有可能向域名控制者发送企业内网敏感信息并不是理论推断,很有可能就是现实。”
那么,微软买下corp.com域名,是不是等于彻底消除了那些将Active Directory构建于“corp”或“corp.com”上的全球客户头顶的“雷”?
对此,微软未做过多回应,只是强调用户安全至上是承诺。有安全专家指出,信息安全领域,不存在绝对的安全承诺。不仅是corp.com,将内部Active Directory网络与任何不受控的域名“绑在一起”都存在安全风险。从目前来看,及时下载安装最新的安全补丁,是免遭漏洞恶意攻击的有效手段。
域名并非生意,安全始终是最深隐患
或许是因为资源有限,也或许是过往域名致富的故事太多,如今,人们更愿意把域名当成一门生意来谈论,相比之下,对安全问题的关注度低了很多。
事实上,尽管全世界的工程师们一直在努力改善域名系统的安全性和抗攻击性,但针对域名系统的攻击依旧是互联网最重大威胁之一,由此引发的安全事件也是层出不穷。
从2009年5月19日晚19点左右开始,我国江苏、安徽、浙江、广西、海南、甘肃六省连续两天出现严重网络故障,很多用户发现网速变慢或者干脆无法访问网站。两天后,相关部门通报这起著名的“519断网事件”,原因为暴风影音网站的域名解析系统受到网络攻击,持续不断地发送大量联网请求,最终造成了大面积的网络堵塞。
2019年2月19日,国家互联网应急中心监测发现,部分用户通过家用路由器访问某些网站时被劫持到涉黄涉赌网站,发生域名劫持的家用路由器DNS地址被发现是有黑客恶意篡改,这次的破坏规模达到400余万个IP地址。
国家互联网应急中心发布的通报显示,很大一部分网络挟持的源头是“放马站点”。“所谓的‘放马站点’,就是被注入了木马的网站。”知名网络安全公司奇安信的工程师介绍,网络病毒主要在一些防护弱、访问量大的网站通过网页“挂马”的方式进行传播,当用户访问这些被黑客“挂马”的网站时,就会被暗中连接到黑客最终“放马”的站点而中毒。
清华大学奇安信集团联合研究中心主任段海新介绍,作为互联网重要的基础设施,域名系统不仅提供了上网必须的域名解析服务,还提供了应用层的路由和负载均衡,作为信任基础提供了邮件服务器的验证、证书申请时域的控制权验证,基于DSSSEC(域名系统安全拓展)还可以提供公开密钥基础设施服务。
段海新强调:“DNS是很多网络服务的基础,域名系统的一点小问题就是互联网的大问题。”
建设数字基础设施,不能放松网络安全
因为运营维护技术复杂且成本较高,域名安全成为了网络安全领域最薄弱的环节之一。如今,域名安全面临的威胁有可能呈几何级增长。因为,如今的移动互联网、物联网及5G依然需要域名系统支持,并且已逐渐深入我们的生活,很多未知的安全威胁随时有可能出现。
物联网通过海量的互联传感器和设备逐渐与我们的现实环境无缝对接,与传统互联网应用最大的不同是,在物联网设备持续不断地与域名系统的交互中,数据交换通常被动产生,没有人员的参与。
2019年9月,互联网名称与数字地址分配机构(ICANN)安全与稳定咨询委员会发布的《SAC105报告》提示,物联网的僵尸网络可以针对互联网基础设施启动大规模分布式拒绝服务(DDoS)攻击,感染成百上千的设备。由于此类设备通常可在无人照管的情况下运行,因此给根除这些僵尸网络造成了很大困难。
针对物联网设备的攻击让我们见识了新威胁的发起途径和严重程度,而5G网络的新型组网与接入方式、边缘数据中心及服务化架构的核心网将面对何等安全挑战,传统安全模式是否适应5G安全建设的需求等一系列5G安全问题也正成为业界更为关注的课题。
工业和信息化部副部长陈肇雄强调,网络安全保障系统要与5G等数字基础设施同步规划、建设、运行,加强5G、工业互联网、数据中心、云平台等设施的安全保障,确保数字基础设施安全平稳可靠运行。
中国工程院院士邬贺铨指出,很多安全挑战是内生的,从基础设施技术开发与网络设计开始就要有内生的安全理念。网络安全能力与基础设施是一个整体,网络安全能力需与基础设施同步建设并融入其中。
360集团董事长兼CEO周鸿祎则表示,万物互联时代,越来越多的未知漏洞将会被利用,但短期内仍然无法通过一整套AI系统自动发现并抵御安全风险,仍需要发挥高水平攻防专家的力量,网络安全的最后战场依然是人与人的对抗。