尽管很多网民对“该网页无法显示”已司空见惯了,但这件事发生在中国互联网搜索引擎老大百度身上,却很难让人相信。日前,百度遭受黑客攻击,出现访问障碍的时间长达6小时,范围波及北京、辽宁、浙江、山西等在内的多个省市。同时,美国、欧洲及澳大利亚的百度网站也无法登录。据悉,在此期间,百度域名最早曾一度指向伊朗网络军网站和雅虎英文页面,而更多用户看到的则是“该网页无法显示”。
目前,我国网民人数已达3.84亿,接近70%的搜索引擎流量来自百度,百度还拥有国内最活跃的社区论坛“贴吧”等一系列深受网民依赖的互联网产品。百度首席执行官李彦宏随后重复使用两次“史无前例”来形容此次百度被攻击事件。这是自百度建立以来,所遭遇的持续时间最长、影响最严重的黑客攻击。此次百度事件是其域名系统遭遇黑客攻击,这再次提醒人们域名安全问题面临着巨大的挑战,也敲响银行网络域名安全的警钟。
试想一下,如果这次遭受攻击的不是百度,是一家银行网站,后果将无法想象。
域名安全缘由
此次事件百度发布公告称:不法分子并没有攻击百度的服务器,而是选取美国域名注册商为攻击对象,这是一个新的现象,值得我们警惕。
中国工程院院士、著名网络安全专家方滨兴表示,这次黑客攻击百度所采取的手段是比较常见的,从技术上来讲属于“域名被劫持”。与此类似的,twiiter网站在2009年12月,也遭到了同样的黑客攻击。其首页一度被篡改,黑客攻击方法和无法访问的现象与本次一致。
域名如何被劫持?方滨兴举例说,在上网时输入“baidu.com”,通过域名解析服务器(DNS),就能找到其实际对应的IP地址,即“121.14.89.10”,这样才能登录成功。而当黑客攻击域名解析服务器,篡改了其中的映射表,这样当用户询问baidu.com在哪时,对方返回的是篡改后的IP地址,这就造成了用户访问百度却登录到了其他的网页。
近几年来,域名安全事件屡有发生:2009年,我国的“5·19”事件,暴风影音域名解析系统遭受网络攻击,导致六省市互联网瘫痪,其阴影现在依然罩在网民心里;在瑞典,由于域名日常维护时出现严重失误,导致.se之下的90万个域名不能正确解析,并进而影响到了包括网站访问在内的瑞典全国范围内各类互联网应用一夜之间全部瘫痪。2008年,黑客攻击了国际互联网域名与地址管理机构ICANN的官方网站,将其域名改变了原来指向,并在更改后指向的网页上留下了嚣张的字眼。而ICANN是业界公认的互联网域名监管机构,主要负责管理和协调域名系统。一直以来,这个机构都行使着监管和分配全球IP地址及域名的权力。
这只是近几年域名引发网络安全事件的冰山一角。多次类似事件给网络安全乃至整个社会,都敲响了警钟。现在的技术水平,还存在着很大的局限,互联网本身很脆弱。一旦域名解析服务器出现问题,后果会异常严重。
银行加强防范
有人估算本次事件百度损失700万元,而如果是一家银行域名被劫持,损失也许不堪设想。域名被劫持虽然银行还没有遇到,但有关域名的安全问题是最主要的安全问题,最常见的就是钓鱼网站。
钓鱼网站是不法分子利用各种手段,主要是仿冒真实网站的互联网地址、仿冒真实网站的页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的网页代码,以此来骗取用户资料,如信用卡账号等。攻击者利用欺骗性的电子邮件和伪造的互联网站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号、网络银行账号及密码等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。这种仿冒网站网页内容不容易发现有什么异样,看上去俨然是个正规的网站,让人防不胜防。
这些钓鱼网站层出不穷,目前不断增加,为互联网治理带来较大难度。钓鱼网站使很多互联网用户遭受损失,也让银行不敢掉以轻心。
银行在这方面不断加强防范措施,目前主要有两个办法。一是设置个性化页面。用户可以设置一句留言,当用户登录到相应的银行网站以后,之前设置的留言就会出现,这个留言很难仿冒。这就像用户在银行网站设置的隐性暗号一样,不容易被黑客发现和利用。二是设置手机验证。现在手机很普及,通过手机验证,用户登录银行网站会得到短信提示,这也是钓鱼网站很难做到的。
对于用户而言,安全意识很重要。应当在电脑上部署安全软件,安装各种各样的系统补丁,保持自己的系统和第三方软件都在最新的版本,这是有效的一个防范方法。
域名安全战略
网络攻击技术越来越智能化,针对域名系统的攻击与日俱增,网络攻击是互联网头上的一片新乌云。域名系统就像是“空气”,平时我们感觉不到它的存在,但是一旦出现问题,其影响可能是“致命”的。
百度域名事件也给我们一些启示,应当完善域名部署。有分析人士认为,百度似乎太迷信.com的域名了,把宝都压在了baidu.com这一域名上,没有启用baidu.cn等域名,自然容易出现这种极端现象。相比之下,谷歌的多个域名中,连g.cn也启用了。
在这次百度事件中,百度的baidu.com域名在美国域名注册商处被非法篡改,但百度的baidu.com.cn全球解析未受影响。同时应百度公司请求,中国互联网络信息中心(CNNIC)在第一时间将百度CN域名baidu.com.cn、baidu.cn纳入重点监测保护,提高域名信息安全性,保障正常访问。
据了解,我国历来高度重视国家域名(“.CN”域名和“.中国”域名)系统解析安全保障工作,积极推进国家域名全球范围内的顶级节点部署。目前,我国在海外完成的亚洲、欧洲和北美等三大节点部署,与国内六大顶级节点及灾备中心相配合,构筑起遍布全球的CN域名全球服务平台。从技术原理上讲,在出现地震、台风、海啸等自然灾害对域名解析产生影响后,只要有一个顶级节点能够正常工作,就可以保障全球范围内的CN域名顶级域正常解析。
针对百度域名被黑的事件,多名网络以及域名安全领域专家指出,境外域名注册服务商对中国互联网企业重视程度不足,建议企业重视对境外域名的备用以及域名安全管理。这次事件也引发了业界对百度域名是否应该转往国内的热议。此前,另一家互联网巨头腾讯(QQ)已经将域名从国外转移到国内。这次被攻击事故发生后,百度方面是否会采取转移行动也成为了业界关注的焦点。
域名作为互联网的地址,是整个互联网发展的基础服务。而安全是域名服务的基础,在域名的发展已经形成规模,其价值被发挥出来之后,围绕域名所产生的任何一个小的安全事故都会给行业、相关企业产生巨大的危害。同时,域名的安全问题是一个系统工程。维护域名的安全不仅仅是域名管理者、域名注册服务者、域名持有人的社会责任,同时随着国家立法的推进,这也将是它们的法律责任。
域名是企业一个重要的互联网资产,也是一个重要的无形资产,尤其是对于互联网公司尤为重要。互联网公司、知名企业、金融机构等企业的域名在建设电子商务网站的时候都非常重要,一定要全方位地考虑怎么样对域名进行保护,落实一系列的措施。只有把预防措施做好,才能更加有效地应对攻击。
面对日益严重的网络攻击等网络安全问题,互联网专家普遍认为,要从国家层面加强互联网的安全与治理,重视并加大域名系统等重要网络基础设施的保护力度,为亿万网民营造一个“安全、可靠”的互联网环境。
春节假日前后是网上购物高峰期,各种各样的网络钓鱼网站会通过论坛、贴吧和即时聊天工具等发送虚假中奖、打折、赠送信息,用户一旦点击该链接即可中毒,网上银行账号、密码随时面临被盗危险。请广大网民注意提高警惕,谨防上当受骗。