【賽迪網-IT技術報道】據國外媒體報道,在過去數月中,計算機業巨頭正忙於修補一個重大的互聯網域名伺服器(DNS)漏洞。業界專家稱,如果該漏洞不能及時得到修補,黑客很有可能藉機控制網絡流量。儘管目前該問題已得以修復,但許多專家仍對此指出,用戶還存在被攻擊風險。目前,這一根本性設計缺陷的暴露已經引發了業界的「地震」。
系統缺陷暴露引發業界恐慌
該漏洞於一個多月前被公佈,現已被黑客成功利用,並導致AT&T伺服器宕機。.com和.net域名管理機構VeriSign首席技術官肯席爾瓦(Ken Silva)稱:「這就好比大街上有一沓錢,先到先得。」利用該DNS漏洞,黑客們不但可以攻擊企業用戶的內部計算機網絡,還可以竊取用戶電子郵件和其他機密商業資料。「網絡釣魚」(phishing)攻擊者還可以利用該漏洞,把互聯網用戶引導至假冒銀行或信用卡公司頁面,乘機騙取網民的銀行賬號、密碼及其他個人信息。利用這一漏洞,不管用戶輸入何種網址,黑客都可以將他們轉至其所設定的網頁中。
美國互聯網安全專家早先就已經發現,互聯網設計存在一個根本性缺陷,黑客可以利用這個漏洞,控制互聯網信息的流動,把用戶轉接到假網站,盜取密碼等資料。互聯網出現這樣嚴重的缺陷,是極壞的消息,幸好,至今並未發現相關的行騙案件,而各大軟體與硬體商多個月來,已悄悄合作研究出補救方法,並召開記者會發表「補丁」(patch)軟體。保安專家希望這些補丁範圍夠廣,使得黑客無法進行反向利用。儘管該漏洞補丁已放出,但該程序的開發者也承認,該補丁程序尚有瑕疵,會導致BIND效能下降等問題。因此,到目前為止,仍有約75%的DNS伺服器尚未更新補丁程序。
互聯網也許將不再是互聯網
無意間發現這一缺陷的IOActiveInc公司系統研究員唐卡明斯基(Dan Kaminsky)說:「能發現此缺陷實在太幸運了,因為這是個設計漏洞,在所有網絡都存在,所以修補也是針對設計而進行,沒有直接指明改進了哪裡。」這個在網絡域名系統(Domain Name System)中的漏洞,讓襲擊者可以控制所有網絡使用者,不管用戶輸入什麼網址,黑客都可以將他們轉至偽造的銀行或信用卡等公司頁面,騙取銀行賬號、密碼及其他信息。Securosis公司分析師莫古爾在媒體電話會議上說:「問題十分嚴峻,涉及整個域名框架如何運行。如果不修復這一漏洞,互聯網仍將存在,但已不再是你想要的互聯網了,因為黑客將控制一切。」
相關技術人員指出,會受這個安全問題影響的微軟操作系統,主要是視窗2000、視窗XP和視窗Server2003。微軟最新的操作系統視窗Vista則不受影響,因為它較早前發佈的視窗Vista補丁包(Service Pack 1)已修正這個安全問題。補丁包是微軟發佈的產品更新的集成,包含系統穩定性、安全及其他方面的更新。微軟相關負責人強調,這不是微軟的問題,而是互聯網技術上的缺漏。
斯坦福大學電氣工程與計算機系副教授尼可麥克文說,10年前,人們以為互聯網能夠用於從遠程醫療到空中交管諸多方面的服務,但是由於互聯網存在設計缺陷,這些設想目前並沒有得以很好地實現。目前,互聯網存在著一些不盡如人意的方面,包括:沒有可靠的方法瞭解網絡信息的來源,而原先的設計使得偽造信息來源異常容易;未經允許的垃圾電子郵件難以清除;合法或是非法的信息包可能因攜帶和傳播病毒,輕而易舉地破壞整個網絡,等等。目前,越來越多的研究人員認為互聯網存在根本的缺陷,需要修補。以太網發明人、3Com公司的創始人鮑勃麥特剋夫認為,美國斯坦福大學提出的「清潔互聯網基礎設計」是個好主意,但也將面臨很多問題,特別是網絡基礎結構方面的挑戰。目前還需要採取措施保障寬帶網通信,互聯網只是保證了信息字符通連的快捷,現在要保證諸如視頻對話等通信的順暢進行。
(