最近針對紐約時報、Twitter和其他人的DNS相關攻擊,其實並不是因為DNS本身的漏洞所造成。而是因為網域註冊商基礎設施的漏洞而產生。與此事件相關的DNS組件只是做好所設計所該有的事情。
雖然惡意指令並沒有經過認證是事實,但它們是照著正確的管道。證據指向了敘利亞電子軍,不過調查仍在進行中。
追查源頭是因為一家墨爾本IT(網域註冊商)的憑證被入侵。(請告訴我他們的密碼並不是用未加料的 MD5 雜湊值儲存,拜託?)從那裡,攻擊者改變受害者網域的名稱伺服器設定到他們自己的惡意基礎設施。DNS 接著接手,當暫存開始過期,新的「假」資料開始在DNS回覆時更換正常的資料。
那麼,受害者可以做些什麼來防止或減少這類攻擊的影響?
讓我們來看看基本知識:
- DNSSEC。
DNSSEC可以有幫助,如果被竊憑證不足以讓攻擊者改變目標網域的DNSSEC設定。不然攻擊者可以替換或刪除DNSSEC設定以進行攻擊。 - Domain-Locking(網域鎖定)。
同樣地,這可以防止變更,如果被竊憑證不能禁用鎖定功能。事實上,twitter.com並未被影響,而是Twitter的部分功能性網域被影響,代表這可能是個方法。還應該注意的是,根據網域註冊商的不同,網域鎖定可能需要額外收費。 - 網域監控。
對於知名網域來說是個很好的做法。像是名稱伺服器的設定應該會不常變更,所以足以用來觸發警報。有許多商業化的監控服務可供選擇,你也可以考慮利用簡單的腳本程式來做到。請注意,我並不知道這些受影響的公司是否有進行類似的監控。它不能阻止這類事件發生,但可以縮短復原時間。 - 根據安全狀態來小心地選擇供應商。
這很難馬上做到。安全狀態差的廠商不會宣傳此一事實。安全狀態佳的廠商可能因為有著良好的運作安全而不願意分享他們基礎設施的細節,以免攻擊者獲得這些防禦的配置圖。
我們可以從這些攻擊裡所學到的一件事是,真正專注的攻擊會想辦法去搜尋我們的聯絡人、對口單位、供應商和客戶以找出最弱的一環,取得進入點。
@原文出處:NYT/Twitter Hacks Show DNS Is Not Broken, But Domain Registrars Might Be