江海客认为,百度遭黑客攻击事件,暴露了整个互联网DNS体系的脆弱性。对于互联网企业而言,最重要的是做好应急预案,在遭遇突发攻击时才能尽快降低损失。
【《中国企业家》网站报道】1月12日上午,百度遭到黑客攻击,造成大面积长时间宕机,百度CEO李彦宏连称“前所未有啊,前所未有”!
为了更深入分析事件原因,解剖事件影响,《中国企业家》网站连线了信息安全专家江海客。江海客认为,百度遭黑客攻击事件,暴露了整个互联网DNS体系的脆弱性。对于互联网企业而言,最重要的是做好应急预案,在遭遇突发攻击时才能尽快降低损失。
以下是采访实录:
江海客,真名肖新光,安天实验室首席技术架构设计师,中国互联网协会信息安全专委会委员。
《中企》:对此次网站被黑的原因,百度公司表示,百度网站出现访问故障,原因是其www.baidu.com的域名,在美国域名注册商处被非法篡改。您认为黑客篡改域名的手段是什么?
江海客:现在我们初步判断,百度域名解析错误指向被篡改页面和其他页面初步判断是DNS劫持类攻击,初步来看是通过whois信息篡改来实现的。
当我们访问一个域名时,需要经过DNS解析,才能转入正确的IP。从技术角度来讲,将某域名的解析地址由正常的IP,非法换为攻击者所期望的IP地址,都可以称为DNS劫持攻击,传统的DNS劫持很多是通过攻击区域性的DNS服务器,采用重定向、ARP压制等多种方法组合实现。
而采用篡改Whois信息的方式,往往攻击链路较长,成功率一般不高,但一旦成功,由于攻击点并不在被攻击厂商的可维护体系之内,其处理起来更加困难。过去出现过一些相关手法多数是用于盗取域名所有权的,用于针对主流互联网服务商进行攻击的手法与其他DNS劫持方法相比,所占比例不高。
这次百度被黑事件,充分暴露了全球DNS体系的脆弱性。其实,DNS问题早在去年519暴风影音事件中,已经初见端倪:仅仅因DNSpod这样一个小环节被攻击,连锁导致了,江苏、河北、山西、广西、浙江等十几个省份出现大规模网络故障。
从整体来看,全球DNS呈根式分布体系,一旦黑客从根部劫持DNS解析或者进行信息篡改,使之转入一个错误的IP,这样的劫持非常难以预防,处理起来也环节也比较多,过程冗长。
不过也不需要过度担心,因为根DNS及核心注册机构这样的基础设施形成了一套基础体系,目前来看基本上保证了internet整体上没有发生过崩盘式的灾难,但由此也可以看到,此次攻击百度的过程还是要经过一个准备过程的。
《中企》:百度李彦宏在贴吧中发帖称,“史无前例,史无前例”啊。您认为百度被黑时间这么长,是不是和它的防范水平有关系?
江海客:我认为这和他的技术水平没什么关系。刚才说了DNS体系本身非常脆弱。而且其核心环节并不在域名所有者的控制范围之内,国内企业除了与美方沟通,其实没有什么办法,鞭长莫及,只能干着急。而且DNS有一个缓存时间,因此可能即使指向修复了,仍需要一段时间才能同步到全球各个DNS上。
但百度需要反思自己的预案定制能力和响应体系,如果百度事先做好预案的话,理顺可能的威胁和环节,域名被劫持的时间原则上不会这么长。互联网是一个关联体系,并不是我自己的信息系统不被入侵就能达到目标,比如一个电子银行虽然系统坚如磐石但域名如果被劫持到钓鱼网站,那么后果是什么?不言而喻。
互联网企业应对不可控因素、应对不可抗力的能力,同样是企业的基础能力,不仅是DNS劫持问题、比如地震、水灾、电力事故、恐怖袭击等等,都要形成基础预案,而特别是要能够把体系外需要的外联环节落实到具体的单位和联系人身上去,才能落实。
《中企》:作为一个网络信息安全专家,您对互联网上的或大或小的网站有什么建议?连百度这样的技术高手都避免不了的攻击,其他网站能怎么办?
江海客:类似DNS劫持、类似DDoS有很多攻击方式难以预防,也难以解决。更多的是需要有一个响应的方式。
但更多的攻击方法实际是自己可以应对的,对于一家小的网站而言,首先还是做好自己的事情,做好补丁,修补漏洞,提升应用系统的安全。对于大的网站,就必须做好全面的应急预案,一旦遭到攻击,就能快速反应,将损失降到最低。
此外,在保护互联网秩序方面,“CERT”这样的民间或半官方组织能发挥挺大的作用。在百度类似事件中,如果百度和美国的官方“CERT”建立例行沟通,有时可能比直接与注册管理机构打交道效果更好。目前全球CERT已经是联动的机制,中国的CERT组织也非常活跃。
《中企》:这次百度被黑页面出现了被伊朗国旗和伊朗网军(iran cyber army)字样,去年年底,美国微博网站Twitter也曾遭到同样的攻击。这种处于政治目的的攻击,在黑客行为中占到的比例高么?
江海客:目前我们还不清楚这种攻击真的和伊朗有关系,还是一种移花接木。从过去案例来看,也有可能是西方内部一些激进左翼年轻人,他们也会处于某种政治上的目的来攻击一些网站,而传播一些非西方主流价值言论和形象。但我们看到,中国有民间组织和网民立即开始准备报复伊朗的站点,这让我们担心民间的安全能量太容易被挑拨和利用。
整体上看,近年来,在互联网黑客行为中,此类为了政治目的的攻击占少数,多数还是为了经济利益。
比如说,攻击某个大型网站将其流量导向竞争对手,或者挂马以窃取虚拟财产和网银,这些都是国内曾经大量出现过的案例。但此次百度页面被导向雅虎,这让我感到意外,我猜测只是一个故意的干扰项。 |
|