Thursday, October 02, 2008

域名系統漏洞 影響經濟及社會安定

域名系統漏洞 影響經濟及社會安定

域名系統(DNS)在今年初被發現有嚴重的漏洞,容許黑客插入虛假的域名記錄。DNS把域名轉成IP位址;如果黑客成功入侵這DNS漏洞,可以癱瘓網絡,引導用戶去虛假的網站。如果你以域名進入網站有可能被騎劫(hijack),豈非我們對整個網絡的安全信心完全崩潰?

專業網絡安全研究人員Dan Kaminsky是發現這潛藏於DNS的設計中漏洞的人,而漏洞已影響大多數的DNS產品,駭客有可能進行快取下毒(cache poisoning)攻擊,以致使用者在無預警的情況下,連結到拐騙誘捕(phishing,俗稱網釣)網站。

Kaminsky
指出,漏洞影響所及已超乎初期的想像。他原本認為漏洞主要會被用作導向惡意網站;但後來發現,漏洞甚至可能讓黑客攻擊VPNSSL認證、軟體自動更新系統、垃級郵件過濾工具,以及VoIP系統等至少有15種的攻擊可能性。大型企業的電子郵件會因為該漏洞而被全部被截取; 黑客也可把企業郵件中的附加檔案,置換成惡意程式。目前有關攻擊程式已廣泛流傳,甚至有示範攻擊的影片。

根據估計,全球至8月初約有1.2億名寬頻用戶所使用的DNS伺服器已獲得修補,約佔全球寬頻使用者的42%;在五百大企業中,有七成的企業已修補該漏洞,另有一成半正在修補,但仍有一成半尚未採取任何行動。業界(包括:思科微軟等)已聯手於今年78日進行大規模的產品同步更新,以降低安全風險。

多數互聯網用戶使用ISP提供的DNS;不少中小型企業的DNS,亦是詢問所屬ISPDNS,所以修補ISPDNS是首要的任務。大部份ISP已迅速修補DNS漏洞,但仍有少數缺乏安全意識。要檢查自己使用的DNS有否漏洞,可以使用在www.doxpara.com網上檢查器。如果結果是「safe」那就沒問題,如果是「vulnerable」,那你就要通知公司的網絡管理同事或你的ISP去趕快修補了。

香港修補今次DNS漏洞的工作主要依靠香港電腦保安事故協調中心(HKCERT),但卻缺乏大規模的宣傳。結果,傳媒也發現,亦報導了一些機構的電子郵件,的確曾因該漏洞而被截取。因為上述事故,讓人批評香港保安意識薄弱,破壞國際形象,又何苦呢?

筆者一向倡議特區政府應為HKCERT提供一筆可持續運作的撥款,以設立採取主動監察網絡的安全系統,監察網上的侵略趨勢,務求在問題出現前發現網絡的弱點及作處理;並制定一站式的舉報渠道,讓市民可舉報與資訊保安有關的罪案或事故,如:仿冒詐騙、黑客入侵、惡性軟件攻擊、甚至侵犯版權及其他電腦相關罪行等。這方面工作,對香港的經濟及社會安定,實至為重要。

刊載於《ezone》 2008年10月2日

2 Comments:

At 11:30 PM, Anonymous Anonymous said...

My school is using HGC service. I found that their DNS server is still vulnerable.

Who should I report to?

 
At 1:52 PM, Blogger Charles Mok said...

Report to HKCERT at hkcert@hkcert.org ASAP!

 

Post a Comment

<< Home

-->