信用卡申請
首頁 >  信用卡中心 >  信用卡資訊 >  “百度事件”敲響銀行網(wǎng)絡(luò)域名安全警鐘

“百度事件”敲響銀行網(wǎng)絡(luò)域名安全警鐘

      

    盡管很多網(wǎng)民對“該網(wǎng)頁無法顯示”已司空見慣了,但這件事發(fā)生在中國互聯(lián)網(wǎng)搜索引擎老大百度身上,卻很難讓人相信。日前,百度遭受黑客攻擊,出現(xiàn)訪問障礙的時間長達6小時,范圍波及北京、遼寧、浙江、山西等在內(nèi)的多個省市。同時,美國、歐洲及澳大利亞的百度網(wǎng)站也無法登錄。據(jù)悉,在此期間,百度域名最早曾一度指向伊朗網(wǎng)絡(luò)軍網(wǎng)站和雅虎英文頁面,而更多用戶看到的則是“該網(wǎng)頁無法顯示”。

    目前,我國網(wǎng)民人數(shù)已達3.84億,接近70%的搜索引擎流量來自百度,百度還擁有國內(nèi)最活躍的社區(qū)論壇“貼吧”等一系列深受網(wǎng)民依賴的互聯(lián)網(wǎng)產(chǎn)品。百度首席執(zhí)行官李彥宏隨后重復(fù)使用兩次“史無前例”來形容此次百度被攻擊事件。這是自百度建立以來,所遭遇的持續(xù)時間最長、影響最嚴(yán)重的黑客攻擊。此次百度事件是其域名系統(tǒng)遭遇黑客攻擊,這再次提醒人們域名安全問題面臨著巨大的挑戰(zhàn),也敲響銀行網(wǎng)絡(luò)域名安全的警鐘。

    試想一下,如果這次遭受攻擊的不是百度,是一家銀行網(wǎng)站,后果將無法想象。

    域名安全緣由

    此次事件百度發(fā)布公告稱:不法分子并沒有攻擊百度的服務(wù)器,而是選取美國域名注冊商為攻擊對象,這是一個新的現(xiàn)象,值得我們警惕。

    中國工程院院士、著名網(wǎng)絡(luò)安全專家方濱興表示,這次黑客攻擊百度所采取的手段是比較常見的,從技術(shù)上來講屬于“域名被劫持”。與此類似的,twiiter網(wǎng)站在2009年12月,也遭到了同樣的黑客攻擊。其首頁一度被篡改,黑客攻擊方法和無法訪問的現(xiàn)象與本次一致。

    域名如何被劫持?方濱興舉例說,在上網(wǎng)時輸入“baidu.com”,通過域名解析服務(wù)器(DNS),就能找到其實際對應(yīng)的IP地址,即“121.14.89.10”,這樣才能登錄成功。而當(dāng)黑客攻擊域名解析服務(wù)器,篡改了其中的映射表,這樣當(dāng)用戶詢問baidu.com在哪時,對方返回的是篡改后的IP地址,這就造成了用戶訪問百度卻登錄到了其他的網(wǎng)頁。

    近幾年來,域名安全事件屢有發(fā)生:2009年,我國的“5·19”事件,暴風(fēng)影音域名解析系統(tǒng)遭受網(wǎng)絡(luò)攻擊,導(dǎo)致六省市互聯(lián)網(wǎng)癱瘓,其陰影現(xiàn)在依然罩在網(wǎng)民心里;在瑞典,由于域名日常維護時出現(xiàn)嚴(yán)重失誤,導(dǎo)致.se之下的90萬個域名不能正確解析,并進而影響到了包括網(wǎng)站訪問在內(nèi)的瑞典全國范圍內(nèi)各類互聯(lián)網(wǎng)應(yīng)用一夜之間全部癱瘓。2008年,黑客攻擊了國際互聯(lián)網(wǎng)域名與地址管理機構(gòu)ICANN的官方網(wǎng)站,將其域名改變了原來指向,并在更改后指向的網(wǎng)頁上留下了囂張的字眼。而ICANN是業(yè)界公認的互聯(lián)網(wǎng)域名監(jiān)管機構(gòu),主要負責(zé)管理和協(xié)調(diào)域名系統(tǒng)。一直以來,這個機構(gòu)都行使著監(jiān)管和分配全球IP地址及域名的權(quán)力。

    這只是近幾年域名引發(fā)網(wǎng)絡(luò)安全事件的冰山一角。多次類似事件給網(wǎng)絡(luò)安全乃至整個社會,都敲響了警鐘?,F(xiàn)在的技術(shù)水平,還存在著很大的局限,互聯(lián)網(wǎng)本身很脆弱。一旦域名解析服務(wù)器出現(xiàn)問題,后果會異常嚴(yán)重。

    銀行加強防范

    有人估算本次事件百度損失700萬元,而如果是一家銀行域名被劫持,損失也許不堪設(shè)想。域名被劫持雖然銀行還沒有遇到,但有關(guān)域名的安全問題是最主要的安全問題,最常見的就是釣魚網(wǎng)站。

    釣魚網(wǎng)站是不法分子利用各種手段,主要是仿冒真實網(wǎng)站的互聯(lián)網(wǎng)地址、仿冒真實網(wǎng)站的頁面內(nèi)容,或者利用真實網(wǎng)站服務(wù)器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的網(wǎng)頁代碼,以此來騙取用戶資料,如信用卡賬號等。攻擊者利用欺騙性的電子郵件和偽造的互聯(lián)網(wǎng)站點來進行網(wǎng)絡(luò)詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號、網(wǎng)絡(luò)銀行賬號及密碼等內(nèi)容。詐騙者通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。這種仿冒網(wǎng)站網(wǎng)頁內(nèi)容不容易發(fā)現(xiàn)有什么異樣,看上去儼然是個正規(guī)的網(wǎng)站,讓人防不勝防。

    這些釣魚網(wǎng)站層出不窮,目前不斷增加,為互聯(lián)網(wǎng)治理帶來較大難度。釣魚網(wǎng)站使很多互聯(lián)網(wǎng)用戶遭受損失,也讓銀行不敢掉以輕心。

    銀行在這方面不斷加強防范措施,目前主要有兩個辦法。一是設(shè)置個性化頁面。用戶可以設(shè)置一句留言,當(dāng)用戶登錄到相應(yīng)的銀行網(wǎng)站以后,之前設(shè)置的留言就會出現(xiàn),這個留言很難仿冒。這就像用戶在銀行網(wǎng)站設(shè)置的隱性暗號一樣,不容易被黑客發(fā)現(xiàn)和利用。二是設(shè)置手機驗證?,F(xiàn)在手機很普及,通過手機驗證,用戶登錄銀行網(wǎng)站會得到短信提示,這也是釣魚網(wǎng)站很難做到的。

    對于用戶而言,安全意識很重要。應(yīng)當(dāng)在電腦上部署安全軟件,安裝各種各樣的系統(tǒng)補丁,保持自己的系統(tǒng)和第三方軟件都在最新的版本,這是有效的一個防范方法。

    域名安全戰(zhàn)略

    網(wǎng)絡(luò)攻擊技術(shù)越來越智能化,針對域名系統(tǒng)的攻擊與日俱增,網(wǎng)絡(luò)攻擊是互聯(lián)網(wǎng)頭上的一片新烏云。域名系統(tǒng)就像是“空氣”,平時我們感覺不到它的存在,但是一旦出現(xiàn)問題,其影響可能是“致命”的。

    百度域名事件也給我們一些啟示,應(yīng)當(dāng)完善域名部署。有分析人士認為,百度似乎太迷信.com的域名了,把寶都壓在了baidu.com這一域名上,沒有啟用baidu.cn等域名,自然容易出現(xiàn)這種極端現(xiàn)象。相比之下,谷歌的多個域名中,連g.cn也啟用了。

    在這次百度事件中,百度的baidu.com域名在美國域名注冊商處被非法篡改,但百度的baidu.com.cn全球解析未受影響。同時應(yīng)百度公司請求,中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)在第一時間將百度CN域名baidu.com.cn、baidu.cn納入重點監(jiān)測保護,提高域名信息安全性,保障正常訪問。

    據(jù)了解,我國歷來高度重視國家域名(“.CN”域名和“.中國”域名)系統(tǒng)解析安全保障工作,積極推進國家域名全球范圍內(nèi)的頂級節(jié)點部署。目前,我國在海外完成的亞洲、歐洲和北美等三大節(jié)點部署,與國內(nèi)六大頂級節(jié)點及災(zāi)備中心相配合,構(gòu)筑起遍布全球的CN域名全球服務(wù)平臺。從技術(shù)原理上講,在出現(xiàn)地震、臺風(fēng)、海嘯等自然災(zāi)害對域名解析產(chǎn)生影響后,只要有一個頂級節(jié)點能夠正常工作,就可以保障全球范圍內(nèi)的CN域名頂級域正常解析。

    針對百度域名被黑的事件,多名網(wǎng)絡(luò)以及域名安全領(lǐng)域?qū)<抑赋?,境外域名注冊服?wù)商對中國互聯(lián)網(wǎng)企業(yè)重視程度不足,建議企業(yè)重視對境外域名的備用以及域名安全管理。這次事件也引發(fā)了業(yè)界對百度域名是否應(yīng)該轉(zhuǎn)往國內(nèi)的熱議。此前,另一家互聯(lián)網(wǎng)巨頭騰訊(QQ)已經(jīng)將域名從國外轉(zhuǎn)移到國內(nèi)。這次被攻擊事故發(fā)生后,百度方面是否會采取轉(zhuǎn)移行動也成為了業(yè)界關(guān)注的焦點。

    域名作為互聯(lián)網(wǎng)的地址,是整個互聯(lián)網(wǎng)發(fā)展的基礎(chǔ)服務(wù)。而安全是域名服務(wù)的基礎(chǔ),在域名的發(fā)展已經(jīng)形成規(guī)模,其價值被發(fā)揮出來之后,圍繞域名所產(chǎn)生的任何一個小的安全事故都會給行業(yè)、相關(guān)企業(yè)產(chǎn)生巨大的危害。同時,域名的安全問題是一個系統(tǒng)工程。維護域名的安全不僅僅是域名管理者、域名注冊服務(wù)者、域名持有人的社會責(zé)任,同時隨著國家立法的推進,這也將是它們的法律責(zé)任。

    域名是企業(yè)一個重要的互聯(lián)網(wǎng)資產(chǎn),也是一個重要的無形資產(chǎn),尤其是對于互聯(lián)網(wǎng)公司尤為重要?;ヂ?lián)網(wǎng)公司、知名企業(yè)、金融機構(gòu)等企業(yè)的域名在建設(shè)電子商務(wù)網(wǎng)站的時候都非常重要,一定要全方位地考慮怎么樣對域名進行保護,落實一系列的措施。只有把預(yù)防措施做好,才能更加有效地應(yīng)對攻擊。

    面對日益嚴(yán)重的網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)安全問題,互聯(lián)網(wǎng)專家普遍認為,要從國家層面加強互聯(lián)網(wǎng)的安全與治理,重視并加大域名系統(tǒng)等重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護力度,為億萬網(wǎng)民營造一個“安全、可靠”的互聯(lián)網(wǎng)環(huán)境。

    春節(jié)假日前后是網(wǎng)上購物高峰期,各種各樣的網(wǎng)絡(luò)釣魚網(wǎng)站會通過論壇、貼吧和即時聊天工具等發(fā)送虛假中獎、打折、贈送信息,用戶一旦點擊該鏈接即可中毒,網(wǎng)上銀行賬號、密碼隨時面臨被盜危險。請廣大網(wǎng)民注意提高警惕,謹防上當(dāng)受騙。

關(guān)注 卡寶寶 (ID:cardbaobao2021)公眾號 ,獲取更多放水資訊,學(xué)習(xí)更多提額秘方。


卡寶寶公眾號 卡寶寶申卡
看過該文章的網(wǎng)友還看了