今年以來,全國人大《數據安全法》出臺、國務院發布《關鍵信息基礎設施安全保護條例》、工信部公布《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》等,都充分表明了在數字化轉型中統籌安全和發展,以數據安全(特別是核心數據安全)為先,充分體現了國家堅定不移地維護主權、安全、發展利益的戰略思維、戰略決心和戰略自信。經過半個多世紀的發展演進,因特網(Internet,下同)成為全球數以萬計的自治或非自治網絡(AS Networks)互聯所形成的網絡,其承載的數字化業務和應用的具體表現形式,是互通的網絡化(Networked)數據。雖然因特網的互聯和互通已有30多年的歷史,仍在不斷地演變和發展。因特網的管理,最初僅僅是少數專業計算機工程師的專長, 標準化似乎只是一個技術性和協調性的問題。如今,對互聯網絡的治理,已經成為全球性爭論的焦點和探討的熱點,甚至被作為是地緣政治和地緣戰略的支點之一。其中最為顯著的標的,是因特網的域名系統(DNS)。我們在之前發表的《域名系統DNS安全的正本清源》文章中,以敘事方式分析了DNS從來就是“固有政治”的技術,以及DNS的一個直觀且簡單的轉型是:DNS從被作為因特網的“電話簿”(文件系統),演變為互聯網絡的“中樞”(指揮和控制系統)和“制高點”(定位和重定向的導航系統)。同時,DNS還被利用作為搭載惡意勒索軟件、承載釣魚郵件入侵、實載域名放大攻擊等威脅及危害網絡信息安全的手段和工具。必須指出的是,因特網DNS的轉型和演變,是基于互聯網絡數字化的發展以及滿足業務和應用的需求,而并不止于對漏洞的補丁、不限于對騷擾的處置,且不糾纏于“你有我也有”的無序競爭。保障國家數據(特別是核心數據)安全,首要的是數據治理和風險管理。當且僅當“辨癥施治”,方能“對癥下藥”。DNS安全(以及諸如域名安全、郵件安全、網站安全、內容分發網絡CDN安全等)技術,應該且必須是服務于、服從于治理和管理。沒有任何一項技術能夠單獨地有效應對數據安全所面臨的動態挑戰;否則,難以避免“頭痛醫頭、腳痛醫腳”,誤入歧途(或滿足于“馬甲”式的包裝)。微軟公司在2021年10月2日發布“2021年數字化防御報告”(Digital Defense Report),10月5日發布了Windows 11。據統計,微軟的操作系統全球市場占有率超過77%,電子郵件系統(MS Exchange)的全球市場(用戶端)占有率超過78%。顯然,微軟掌握了大量的第一手數據和信息,鑒于此,“2021年數字化防御報告”值得參考。其中指出:區塊鏈域名和DNS是逃避監管的新興安全威脅。不同于正常域名的注冊和管理,“區塊鏈域名”不受任何集中式域名注冊機構(如ICANN)的約束,規避了對域名濫用的監管以及逃避執法的查封。在過去的兩年中,區塊鏈技術的應用在許多垂直業務領域快速發展。在實際應用中區塊鏈技術涵蓋了供應鏈管理、身份識別管理、域名體系架構等。但是,已觀察到“區塊鏈域名”被集成到網信罪犯(Cyber Criminals)的基礎結構和運行操作中。例如,在調查Necurs僵尸網絡時發現,“區塊鏈域名”被大規模地運用。Necurs僵尸網絡多年來一直在全球范圍內主導著網絡恐怖活動,不僅發送惡意的垃圾郵件,而且通常承載惡意勒索軟件。Necurs有一個強大的“另類”(alternative)系統,包含一組“域名生成算法”(DGA);其中的一個DGA,大約每30天從43個不同的頂級域名(TLD)生成2,048個新域名,其中包括區塊鏈頂級域名“.bit”。在一般情況下,“區塊鏈域名”是通過加密數字貨幣向區塊鏈DNS提供商購買和交易。加密數字貨幣(錢包)使用非對稱密碼,其中涉及區塊鏈交易密碼的私鑰和公鑰。完成交易后,域名和關聯的IP地址以及交易的哈希值被記錄到區塊鏈中。進而,擁有數字貨幣錢包和密碼私鑰并進行購買域名初始交易的人,是唯一可以更改區塊鏈上的IP地址記錄的實體。“區塊鏈域名”的不同應用方式,對安全監管和執法都帶來了挑戰。一方面,“區塊鏈域名”通過惡意軟件和瀏覽器的插件或遞歸域名解析服務的代理得以應用。另一方面,網信罪犯在“區塊鏈域名”方面所面臨的問題,是從區塊鏈上獲取更新的IP地址,并將區塊鏈域名映射解析為新的IP地址。由于區塊鏈域名是在非正常的DNS模式下運作,惡意軟件的制作者就不得不使被感染的受害者執行附加的域名解析指令;這些指令通常是被嵌入在惡意軟件中,通過篡改被感染受害者的系統設置,以指向區塊鏈的代理域名解析服務器的IP地址。多年來,在互聯網上出現幾個自發項目,提供不受監管的免費DNS并支持區塊鏈域名的解析服務。其中,創建于2000年6月1日的Open Nic項目,作為“互聯網域名與數字地址分配機構”(ICANN)管理的DNS網絡的一個“另類”方案,主要側重于支持去中心化的頂級域(例如“.null”等);其聲稱,該項目是以“DNS中立并提供不受監管的DNS訪問”為使命,運行并承擔了解析另類頂級域名“.bit”的加密域名服務。但是,由于“.bit”域名被廣泛地濫用,2019年6月25日,Open Nic項目決定停止對“.bit”域名的解析服務。網信罪犯的安全威脅格局在不斷變化,以避免惡意行為被發現和被阻止。在過去的一年里,互聯網上一些較突出的安全威脅者們,已經開始利用區塊鏈域名作為其基礎結構的一部分。“Trickbot”是金融行業中臭名昭著的一種“木馬”,其不法獲利模式已經演變到惡意勒索軟件領域,利用由Emercoin區塊鏈DNS提供的“.bazar”域名,對高價值目標入侵和勒索。2020年4月發現的惡意軟件“Bazarloader”與“Trickbot”,不僅存在關聯關系,而且都是利用“.bazar”域名以及使用定制版本的“域名生成算法”(DGA)。調查區塊鏈域名存在一個特有的挑戰,由于沒有集中的“WHOIS”域名注冊數據庫,使得無法跟蹤是誰注冊了域名以及注冊時間。幸運的是,一些區塊鏈DNS提供商(如Emercoin)提供了對區塊鏈瀏覽工具的訪問,借助于這些工具搜索域名、交易哈希值和其他可能存儲在區塊鏈中的有用信息。雖然Emercoin區塊鏈是非實名(Pseudo Anonymous),但是可以顯示有關區塊鏈域名的一些關聯信息,例如IP地址和交易日期。由于區塊鏈域名可以被用來建立難以監控和審查的網站,并簡化加密數字貨幣的支付,同時在一定程度上提供了匿名性,正越來越多地被網信罪犯利用。這種利用區塊鏈域名作為基礎結構的安全威脅趨勢,以及所發現網絡罪犯的無可辯駁證據,必須得到重視。區塊鏈域名的弱點,是需要第三方的代理服務或瀏覽器插件,以將區塊鏈域名解析為IP地址。阻止或攔截區塊鏈的代理解析服務以及禁用瀏覽器插件,將使區塊鏈域名的解析能力失效。許多安全威脅情報提供惡意URL摘要,其中有時包括區塊鏈域名的解析代理或區塊鏈域名本身。近年來,隨著區塊鏈技術的發展,出現了新的價值交換方式,特別是標記化(tokenization)、加密資產(數字化錢包)和去中心化的應用程序(簡稱dAPPs),以及Web 3.0,或價值化互聯網(Internet of Value)。數字化錢包和去中心化的應用程序,使用難以被第三方破解的標識符;例如,數字化錢包地址的標識是:“0x483add28edbd9f83fb5db0289c7ed48c83f55982”。可以想象,在一個通用的域名解析系統中,能夠將這種類型的地址與域名相關聯,可能對未來的網絡應用具有實用意義;或是在域名后面直接配置一個加密資產的錢包(wallet),或添加一個去中心化的應用程序(dAPP),這對某些企業及其品牌的數字標識也會很有用。根據查詢美國專利和商標局(USPTO)的數據庫,目前已授權的有關區塊鏈域名和區塊鏈DNS的專利申請,共366份。“區塊鏈”(Blockchain)是一種數據結構,分布在一個去中心化的網絡上;數據被復制在網絡的每個節點上,而沒有集中式的授權;每個人都有可能閱讀內容,添加數據,甚至加入網絡。這個概念在2009年由“比特幣”首次實現,但今天有許多不同的區塊鏈技術,且各有各的特點。簡單地說,數據是通過交易被輸入區塊鏈,交易被分組為區塊,然后每個區塊由網絡驗證后,被匯集到一起。因此,區塊鏈包含了自其創建以來進行的所有交易歷史。網絡的驗證規則被作為是區塊鏈的協議,在網絡中的每個成員都必須遵守該協議。為確保網絡驗證規則的執行,區塊鏈協議以“共識算法”(consensus algorithms)為基礎,其中廣為人知的是“工作量證明”(Proof of Work)。這些算法保證了區塊鏈上數據的完整性、不變性和安全性。● 可用性(Availability):一個分散式(去中心化)、對等(Peer-to-Peer)的網絡不能被阻止(或查封),而且可以取代或補充“任播”(Anycast)技術的基礎架構。● 一致性(Integrity):區塊鏈的“共識協議”在本質上保證了數據的一致性,而且輸入區塊鏈的數據無法被修改。這些屬性將不再需要“DNS安全擴展”(DNSSEC)及其更新(翻轉)公鑰的形式。
● 保密性(Confidentiality):讀取區塊鏈數據的請求可以被封裝在HTTPS通道中,如同DNS-over-HTTPS(簡稱DoH)協議一樣。但是,目前支持DoH的域名解析服務器尚未普及,因此DoH的域名解析數據流量僅集中在有限數量的參與者。區塊鏈提供查詢網絡上任何節點的可能性,改變了集中式域名解析的模式以及緩解了單點故障(SPF)的風險。
因此,DNS區塊文件(Zone Files)中包含的數據(即域名配置),可以被分布在區塊鏈上。每個參與者(包括:域名注冊管理機構、域名注冊服務商)都可以直接與該區塊鏈交互以管理域名。這就是區塊鏈DNS(簡稱BDNS)的基本概念和設想。目前,有一些區塊鏈DNS項目正在開發中,每個項目都有各自的實施方案。一些應用程序提出了對頂級域名(TLD)的新擴展(被稱為是“另類”頂級域名),例如“.bit”、“.zil”、“.crypto”、“eth”等。其中,有代表性的是Namecoin(2011-4開始經營)和Unstoppable Domains(2019-11開始運營)。這些系統完全獨立于傳統的DNS和ICANN;域名注冊由用戶直接管理,域名解析一般可以通過擴展瀏覽器完成。例如,Opera瀏覽器(1995-4發布)已經集成了對這些域名的解析。還有一些區塊鏈項目提出了DNS的補充解決方案。例如,以太坊域名服務(簡稱ENS),在區塊鏈上提供了一個與傳統 DNS集成的域名系統。如果域名的持有人可以通過DNSSEC的驗證,就可以在區塊鏈域名服務中注冊相同的域名,這使得域名服務可以結合傳統DNS和區塊鏈DNS的優勢。“另類”頂級域名“.kred”、“.xyz”和“.luxe”已經被集成在以太坊域名服務(ENS)的區塊鏈DNS服務中,并建議和計劃為所有DNSSEC兼容的頂級域名提供區塊鏈DNS服務。這個計劃看似頗具前景,為此,以太坊域名服務最近加入了“DNS運行,分析和研究中心”(簡稱DNS-OARC,非營利組織,成立于2003年,為DNS的運行和安全做出了顯著貢獻)。區塊鏈DNS是潛在的DNS重大演變;基于區塊鏈技術,將可能帶來一些優勢和新功能,這將有利于“去中心化”網絡的發展。盡管目前有許多項目和“概念證明”(PoC)正在開發中,但是不僅業內對此仍然沒有達成一致,而且相關技術和應用程序還不夠成熟,無法大規模使用,需要在可擴展性、安全性和可用性方面進行改進。盡管目前區塊鏈域名和區塊鏈DNS并沒有形成規模性效應(或僅是應用于某些垂直行業的有限范圍),但是微軟在“數字化防御報告”中,強調DNS的變異及其所產生的新興安全威脅。不能不說,微軟的這個認定,也代表了美國政府對數據安全監管和治理以及機構組織(如ICANN)對域名領域集中管理的觀點。事實上,“另類”頂級域名(如“.bit”,“.xyz”等)的應用能否被“正常化”,區塊鏈DNS能否發揮其“常規化”優勢和新功能,在很大程度上取決于國家和政府以及機構和組織的態度,也是安全與發展的統籌與權衡;其中包括:區塊鏈DNS技術的研發尚不成熟,以及必須防范被網信罪犯和入侵攻擊所利用。作為一個實例,區塊鏈DNS僅是對已顯現出“衰老”的傳統DNS的挑戰之一。雖然Open Nic主張的“另類”域名和去中心化DNS的“項目”已經營了21年(且在研發的技術和應用上確實有些“亮點”),但至今仍然還只是一個進行中的“項目”(Project)。1)鑒于因特網的歷史及其應用的規模,以及顯著滯后的管理水平和能力,在數字化轉型的過程中,統籌及主導(和支配)安全和發展的必然是問題導向,問題是實踐和創新的起點。2)應該重新認識并感知,當前的“價值化互聯網”(Internet of Value)與傳統的“增值電信業務”在本質上的差別和區別,以指導和引導前所未有的網信空間態勢與發展新格局。3)必須充分意識并踐行,因特網以及網絡互聯互通業務、應用和服務的保障,即是數據安全,亦是信息通信技術(ICT)的供應鏈安全;因而,不存在(也不可能有)“獨門絕器”。例如,區塊鏈DNS的應用,還需要(包括惡意)第三方的代理域名服務和瀏覽器插件的支持。因此,國家核心數據安全的首要問題是治理,包括自上而下的思維方式和思考方法,以及“知彼知己”與“從善如流”的治理與管理之措施和流程、監測和評估、完善和提高。(作者:邱實,網絡信息安全技術專家;牟承晉,昆侖策研究院高級研究員、中國移動通信聯合會國際戰略研究中心主任。來源:昆侖策網【原創】,作者授權首發)
【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構,遵循國家憲法和法律,秉持對國家、對社會、對客戶負責,講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請看《昆侖策網》,網址:
http://www.kunlunce.cn
http://www.jqdstudio.net
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
