久久99国产精品尤物-国产高清色播视频免费看-男生肌肌往女人桶爽视频-精品国产-91PORNY九色|www.jqdstudio.net

 

7月31日至8月5日，2021年“黑帽”（Black Hat）大會在美國拉斯維加斯召開。其間，網信安全公司“奇才”（Wiz）公布一份報告：“DNS的漏洞使國家級的間諜活動僅需簡單地注冊一個域名”。這份報告引起業內的高度關注。

據報道，奇才公司成立僅18個月（員工約65人），但技術背景強勢。其前身是成立于2012年的Adallom公司，從事云安全的技術研發和服務；2015年7月，Adallom公司被微軟公司以3.2億美元收購，其CEO拉帕波特（Assaf Rappaport）成為微軟公司云安全事業部總經理。2020年，拉帕波特再創業，成立奇才公司（Wiz），主要是提供網信安全的服務業務，并以其能力和成果，在目前科技股市處于低迷狀態下，被投資人評估市值達到17億美元。

 

一、概  述

奇才公司這份網信安全報告的背景，是通過對亞馬遜向用戶提供的AWS云DNS（Route 53）網絡服務進行分析時，發現了新的DNS攻擊方法，潛在地被利用進行“國家級的間諜活動”（Nation-State Level Spying），所涉及的是簡單地注冊特定域名。

亞馬遜的“Route 53”域名服務系統提供了大約2000個DNS服務器，域名為“ns-852.awsdns-42.net”、“g-ns-812.awsdns-42.net”等。如果注冊與某個DNS域名相同的域名，并添加到在亞馬遜DNS服務器（Route 53系統）中，將這個域名與受控服務器的IP地址關聯，就會產生一些令人難以置信的結果。 

每當DNS客戶端向該域名服務器查詢自身信息時，數千臺DNS設備會自動更新其托管服務中的IP地址，數據將直接被發送到受控服務器的IP地址（即與虛假DNS服務器域名所捆綁的IP地址）。

奇才公司聲稱，從目前的發現中已獲得來自15,000多個組織的DNS流量，其中包括財富500強公司、45個美國政府機構和85個來自其他國家和地區的政府機構；所泄漏的數據包括內部和外部IP地址、計算機名稱、用戶名和辦公地點等元數據。

這些數據進一步揭示，是來自運行Windows操作系統的終端設備的動態DNS數據。顯然，這個問題與運行Windows操作系統設備在IP地址改變時，用以尋找和更新DNS主服務器的算法有關。

所泄露的數據可以使任何人都能“一覽無遺”（bird's eye view）地了解政府部門和公司內部所發生的行為與狀況。而這種能力無異于國家級的間諜，且具備如此能力僅需簡單地注冊一個（特殊）域名。

為了證明這種新的DNS攻擊所產生的潛在影響，奇才公司利用從4萬多臺終端設備上獲得的數據，繪制了一張大型服務公司的員工和位置分布圖。

 

奇才公司聲稱，根據這種定位的映射，能夠確定美國一家大型商品貿易公司和一家大型信用金融機構的子公司，在受美國制裁的國家或地區從事業務活動，顯然違反了制裁法規或規定。

在這個問題被公布后，亞馬遜和谷歌采取了修復措施。但是，其他DNS服務提供商也容易遭受到類似的攻擊，這意味著此類攻擊（或數據泄露）仍然可能或正在發生。

對此，微軟表示，這是“已知的錯誤配置，當某個單位、部門/機構、機關使用公共DNS遞歸服務器時就會發生”，而不是漏洞。

業內專家警示，雖然域名服務提供商可以采取一些措施來防止此類事件發生，但是單位、部門/機構、機關（包括行業企業）應通過確保正確配置DNS遞歸服務器，防止DNS動態更新的失控，以避免類似的數據泄漏。

我國網信安全領域必須引起高度關聯性警示和關注的是：

1）目前DNS的服務主要是以“免費”為主，DNS系統軟件是以“開源”為主，形形色色的服務商、集成商和代理商是以變通（workaround）形式的“馬甲”為主。

各個渠道（環節）都很容易生成利用域名注冊進行DNS潛在攻擊的漏洞和條件，必須高度重視，嚴格防范，深入整改，堅決糾正，切不可掉以輕心。

2）內容推送網絡（CDN）是基于專屬專用的域名服務器，其部署和配置對客戶和用戶完全透明（不可視、不知情），不僅改變了傳統域名服務的體系架構，而且掌握了互聯網（Internet，下同）應用的定位和導航、指揮和控制。

亞馬遜的“Route 53”、谷歌的“DNS云”，僅僅是其中的某個部分，互聯網的大型服務公司都具有自己的域名服務系統DNS，且潛在地相互關聯（我們之前發表的文章《Akamai 斷服斷網深層原因的再警示》曾以事件驅動述及）；國內關鍵信息基礎設施的服務大量被外包、被托管到境外，很容易遭受境外利用域名注冊進行DNS潛在攻擊，形成境外對我實施“國家級間諜活動”的常態化、簡易化、邊緣化（即簡稱ICTS的信息通信技術和服務供應鏈的交叉、結合部，而并非是傳統形式的安全漏洞）。

請注意：在奇才公司所能“竊聽”的財富500強公司中，包括中國企業143家（2021年）。其中第二名是中國國家電網公司，中國石油、中國石化、中國建筑集團、中國平安保險、中國工商銀行、中國建設銀行、中國農業銀行、中國人壽保險、中國鐵路工程、中國銀行、中國鐵建、華為投資控股排名在前50名。

3）中國大陸的遞歸域名服務器在數量和分布上呈現出明顯的“非對稱性”和“動態變化性”，被稱為是網信安全事件中的“異常”。根據美國“影子服務器”（Shadow Servers）公司的實時統計，截至2021年8月20日，全球遞歸域名服務器（僅53端口/UDP協議）按數量在全球國家/地區的分布前十位是：

 

其中，在中國（大陸）的遞歸域名服務器按所屬自治系統（ASN）的分布（其中，臺灣的遞歸域名服務器主要分布在自治系統3462，作為參考）：

 

互聯網的“遞歸域名服務器”，又被稱為是“域名空間的入口”。在已知的一些安全事件中，“遞歸域名服務器”（包括暗樁、后門、“馬甲”）被利用，不僅可以惡意地重定向和劫持網絡數據流的傳輸，而且可以發動難以抵御的DNS放大攻擊（DNS Amplification Attack）。在奇才公司發現的案例中，微軟公司“推托”問題的根源是，連接公共遞歸域名服務器的“配置錯誤”。

因此，無論如何，國家網信安全（特別是關鍵信息基礎設施）決不能忽視域名空間及其構成基礎和ICTS供應鏈的狀態和狀況，尤其是面對域名體系架構被“延展”、被“撕裂”的現實和挑戰，應當盡可能地避免被“慣性思維”所左右的“一畝三分地”意識和作為（或不作為、亂作為）。

 

二、奇才報告（參考譯文）

當下，代管DNS服務提供商（例如：亞馬遜Route 53、谷歌Cloud DNS和阿卡邁Akamai等）的興起以及無處不在的遠程工作，使DNS這一為全球互聯互通而設計的、歷經數十年的協議結構體系被延展，并被撕裂出新的漏洞，而這對于終端用戶和設備卻是透明的。

我們發現，通過一個簡單的安全漏洞，可以攔截通過亞馬遜和谷歌等代管DNS服務提供商的全球動態DNS流量。從本質上，我們“竊聽”了15,000個機構組織（包括財富500強公司和政府部門）和數以百萬臺設備的內部網絡行為和狀況。這是有價值情報的一個無底洞，包括：計算機名稱、員工姓名和位置，以及關聯網絡域名的詳細信息和暴露在互聯網上的接入（訪問）點。

我們無法知道這個漏洞是否已經被利用：任何人都可以在過去十多年來漏洞未被發現的情況下收集數據。

然而，我們可以確認，這個安全漏洞仍然是一個活躍的威脅載體。雖然兩個主要的代管DNS服務提供商（亞馬遜和谷歌）已經修復了這個問題，但是其他DNS服務提供商可能仍然普遍地面臨著這個安全漏洞的存在。因此，數以百萬計的終端設備仍有可能受到攻擊。

 

（一）漏洞發現

在通常情況下，負責監管DNS的主要是兩個方面：域名注冊商和DNS托管服務提供商。盡管有某些DNS托管服務提供商提供域名注冊，但是不應混淆這兩種服務。

DNS托管服務提供商一般具有易于使用的自助服務平臺，允許客戶更新其域名及其映射的域名服務器（或捆綁的IP地址）。客戶可以添加所需的任何域名（例如，amazon.com），因為域名本身不應該對網絡流量產生任何影響（DNS托管服務提供商并不是權威域名的管理員）；注冊域名的一個基本假設是，客戶與客戶之間是完全隔離的，在DNS上注冊的任何內容都不應該對其他客戶產生任何影響。因此，亞馬遜的域名服務器（Route 53）不會驗證我是否注冊并擁有域名“amazon.com”（與亞馬遜的域名相同）。

我們發現，注冊某些“特殊”的域名，特別是域名服務器本身的域名，破壞了客戶之間的相互隔離，會對所有使用該域名服務器的其他客戶產生意想不到的后果。我們成功地注冊了一種類型的特殊域名，但是我們懷疑還有許多其他類型的“特殊”域名，具備產生類似未知后果的未知作用（即“Unknown Unknown”）。

 

（二）具體方法

亞馬遜云服務AWS的域名服務器系統（Route 53）擁有大約2,000個DNS服務器，供所有客戶使用和共享。我們在Route 53平臺上注冊了一個與亞馬遜DNS服務器同名的新域名。從技術上講，我們在AWS域名服務器“ns-1611.awsdns-09.co.uk”中創建了一個新的“托管區”，并將其命名為“ns-852.awsdns-42.net”（即與亞馬遜的一臺DNS服務器同名）。

每當添加一個域名到Route 53時，都會被要求選擇四個不同的DNS服務器來管理該域名。我們確保在Route 53平臺上注冊的任何域名服務器都屬于同一服務器。事實上，我們僅在AWS的大約2,000個域名服務器上重復了這個過程，域名服務器的域名“ns-1611.awsdns-09.co.uk”只是其中一個例子（圖3）。

 

由此我們部分地控制了“托管區”，并可以將其映射到我們控制的IP地址（服務器）。當DNS客戶查詢這個域名服務器時（數以千計的終端設備會自動這樣做，以更新其管理網絡中的IP地址），大量DNS數據就會被直接傳輸到我們設置的服務器。

 

（三）涉及范圍

當我們第一次用與Route 53域名服務器相同的域名注冊之后，立即開始收到來自世界各地超過一百萬個具有唯一性終端的大量DNS數據。經過分析，我們認識到這是來自運行Windows操作系統機器的動態DNS數據，這些機器正在查詢所關聯的域名服務器被劫持的狀況。當IP地址發生變更時，動態DNS會自動更新其記錄。傳統上，動態DNS被用于支持大型網絡的內部服務，并使用在內網中的服務器。簡而言之，我們收到的數據中包含敏感信息，而這些信息是不應該在內部網絡之外傳輸或交換。

被我們“竊聽”到的動態DNS數據，來自15,000多個組織機構，包括財富500強公司、45個美國政府部門和85個國家政府機構。這些數據包含大量有價值的情報，例如：內部和外部IP地址、計算機名稱、員工姓名和辦公地點。

 

（四）如何“竊聽”

簡單地說，微軟Window操作系統使用一種專有的算法來尋找和更新IP地址變更的主DNS服務器。最終，該算法將查詢被劫持的域名服務器并獲得關聯的IP地址。其結果是，由于我們已經將該域名服務器映射到惡意的IP地址，我們開始接收所有的DNS查詢數據。

為了更好地理解這個問題現象，設想某公司的一名員工決定在家工作（就像我們大多數人在新冠疫情期間的工作模式），并連接到其家庭WiFi。該員工的工作筆記本電腦從他的家用路由器獲得一個內部IP地址，并會嘗試找到公司在本地的主服務器，以更新內部IP地址。

最終，用戶終端點將嘗試從DNS主服務器得到IP地址更新，這是一個管理數以千計客戶的AWS共享的域名服務器。但是，亞馬遜AWS域名服務器不支持動態DNS更新，因此用戶終端點的更新請求失敗。

至此，微軟Windows操作系統的算法完全按預期工作，而且并沒有停止或放棄更新為DNS主服務器IP地址的嘗試——這就是問題出現的地方。微軟Windows操作系統的算法繼續尋求以另一種方式找到DNS主服務器，進而轉向查詢受控的（惡意的）域名服務器是否有DNS主服務器的記錄。

 

在圖3中，亞馬遜AWS域名服務器響應查詢請求的IP地址“1.3.3.7”，是我們預先設置的。這是運行Windows操作系統的終端將自動發送DNS動態更新的主機端點——無意中將其內部 IP地址、計算機名稱和其他信息泄露到我們的惡意DNS服務器上。

 

（五）間諜情報

結果開始變得出乎意料。從內部網絡泄漏的數據，為網信惡意行為者提供了發起成功攻擊所需的所有情報。更重要的是，被泄漏的數據使得任何人都能對公司或政府部門內部發生的事情“一覽無遺”。我們將其比作擁有國家級的間諜能力——并且具備這樣的能力僅僅需要簡單地注冊一個域名。

例如，圖4是世界上大型的服務公司之一。我們根據從4萬個終端收到的DNS數據，繪制了該公司員工數量和辦公室的地理位置。

 

我們的窺探并沒有就此停止。從“竊聽”的DNS數據中，我們能夠確定那些涉嫌違反外國資產控制辦公室（OFAC）制裁的公司。美國的一家大型商品貿易公司的員工在象牙海岸和緬甸工作，美國的一家大型信用金融機構的子公司在伊朗有一個分支機構（圖5）。

 

 

（六）漏洞修復

上述被發現的DNS漏洞似乎是屬于邊界模糊的“國際水域”（international waters）。目前還不清楚誰應該負責修復這個DNS漏洞。是微軟？還是代管DNS的服務提供商？或是每個客戶單位部門？

微軟可以通過更新其動態DNS算法來提供一個全球性的解決方案。然而，當我們向微軟報告這個DNS漏洞時，微軟的答復是，他們不認為這是一個安全漏洞，而是一個已知的錯誤配置，當一個單位或部門應用公共DNS遞歸服務時，這種錯誤配置就會導致出現安全問題（漏洞）。

代管DNS的服務提供商也能夠采取修補措施，以幫助他們的客戶安全地運營。例如，他們可以在允許客戶注冊新的域名之前，驗證該域名的所有權。

但就當前的網信安全態勢而言，每個客戶（單位和部門、機關和機構、行業和企業）都應該采取必要措施，防止DNS數據泄露。歸根結底，客戶有責任正確配置和應用其DNS服務器，并確保內部網絡的動態DNS更新是被有效管理和常態監控的。

 

三、奇才公司報告的警示和啟示

DNS的上述安全漏洞所導致的數據泄露，被作為是“國家級的間諜能力”。并請注意，奇才公司公布的信息，是在亞馬遜和谷歌修補了“漏洞”以及微軟對此作出反應之后，“有選擇”（或是得到“批準”）的部分信息披露。奇才公司的“竊聽”方法達到“國家級的間諜能力”，而對于亞馬遜、谷歌、阿卡邁等則無須“竊聽”即具備了“國家級的間諜能力”！

事實再一次證明：隨著信息通信技術和服務（ICTS）供應鏈的動態演變，必然存在著（或衍生出）未知的安全風險和隱患、威脅和危機。但是，絕不能也不應容忍“意想不到”成為“習以為常”，或麻木不仁。

有效應對網信安全挑戰的唯一途徑是，直面缺乏底層技術能力以及“深度依賴”的事實和現實，加強風險管理、治理和監管的機制和執行力，勇于“防偏”、善于“少偏”、敢于“糾偏”。

此外，網信安全漏洞并不都是“與生俱來”的天然缺陷（或“零日”，0-day）。隨著網絡信息空間的技術進步、創新發展，以及ICTS供應鏈的應用延伸、利益追逐，潛在、新生和陌生的未知漏洞會不斷呈現甚至涌現。

無論技術研發公司、服務提供商，無論政府部門和企業（行業），都不能不主動發現分析、關聯溯源、探索研究實際存在的網信安全問題（特別是關鍵信息基礎設施的安全威脅和漏洞），不能不加強應對和補救的積極措施、整改和反擊（糾偏）的有效舉措。

（作者：邱實，網絡信息安全技術專家；牟承晉，昆侖策研究院高級研究員、中國移動通信聯合會國際戰略研究中心主任。來源：昆侖策網【原創】，作者授權發布）

【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構，遵循國家憲法和法律，秉持對國家、對社會、對客戶負責，講真話、講實話的信條，追崇研究價值的客觀性、公正性，旨在聚賢才、集民智、析實情、獻明策，為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。

電子郵箱：gy121302@163.com

更多文章請看《昆侖策網》，網址：

http://www.kunlunce.cn

http://www.jqdstudio.net