域名劫持案例頻發 企業應如(rú)何保護域名？

　　今年(nián)1月23日(rì)晚上，黑(hēi)客組織UGNazi入侵了奢侈品牌Coach的網站(zhàn)。在域名被劫持的幾個小時裡(lǐ)，那些想從(cóng)Coach.com購(gòu)買古馳新款Willis手袋和想從(cóng)Coachfactory.com購(gòu)買Penelope單肩包的用戶都(dōu)被轉接到UGNazi的網站(zhàn)。這一事(shì)件(jiàn)着實令購(gòu)買者很沮喪。
　　
　　Coach是幸運的，因爲黑(hēi)客是出于政治目的而非商業勒索。UGNazi之所以看(kàn)中Coach是因爲這家産品被大(dà)量仿制的奢侈品公司支持備受争議(yì)的SOPA(停止線上侵犯智慧财産權)。如(rú)果UGNazi想進一步威脅Coach及其客戶，則可(kě)能控制發送到Coach.com的郵件(jiàn)或是将客戶直接導向釣魚網站(zhàn)。UGNazi在自(zì)己網站(zhàn)上稱：“我們不想偷取用戶數據，隻是希望由此意識到SOPA，PIPA和ACTA給互聯網帶來(lái)的危害。”
　　
　　Coach新聞發言人(rén)告訴CIO.com稱域名劫持對公司的業務影(yǐng)響并不大(dà)。其他(tā)域名曾被劫持過的公司則不見(jiàn)得(de)有這麽幸運。例如(rú)，2008年(nián)，黑(hēi)客攻擊CheckFree.com的時候，就(jiù)将網頁轉接到烏克蘭的一家網站(zhàn)，然後把惡意軟件(jiàn)下載到CheckFree用戶的電腦裡(lǐ)(當時的惡意軟件(jiàn)旨在偷取用戶名和密碼)。CheckFree的用戶不是唯一易受攻擊的對象。一些與CheckFree有合作(zuò)關系(提供在線分(fēn)期付款服務)的小銀行客戶也受到波及，因爲他(tā)們的網站(zhàn)是鏈接到CheckFree.com，美國(guó)安全公司InternetIdentityCEOLarsHarvey如(rú)是說(shuō)。
　　
　　域名劫持之所以很嚴重還(hái)應該它會對企業敏感信息造成威脅。域名注冊商AfiliasCTORamMohan稱，黑(hēi)客有權查看(kàn)公司收到的所有郵件(jiàn)，這樣憑證信息會被共享而造成破壞。
　　
　　Mohan稱他(tā)知道有一家公司的域名被黑(hēi)客攻擊了五個月而這家公司渾然不知。直到其域名被完全劫持他(tā)們才發現，原因是黑(hēi)客謹小慎微：黑(hēi)客不是将用戶轉接到另一個網站(zhàn)，而是将用戶發到一個準備好的域名，不過他(tā)們會監聽所有流量。在這段時期内，公司網站(zhàn)的所有數據，郵件(jiàn)都(dōu)是通過黑(hēi)客安裝的一組服務器尋找路(lù)徑。Mohan稱這種破壞非常嚴重，因爲它具有極強的隐蔽性。
　　
　　域名劫持：不斷增長的威脅
　　
　　Harvey和Mohan稱域名劫持的案例增長增加，因爲它的破壞性很大(dà)，也因爲很多企業都(dōu)開設在線商店(diàn)，還(hái)因爲域名劫持易于操作(zuò)。
　　
　　“犯罪分(fēn)子發現域名劫持的價值遠(yuǎn)大(dà)于其他(tā)形式的攻擊”Mohan說(shuō)。“黑(hēi)客現在可(kě)以有效進行在線身(shēn)份盜竊。他(tā)們已經可(kě)以獲取企業的在線身(shēn)份，而且企業的品牌也可(kě)以被黑(hēi)客獨占。”
　　
　　Mohan補充道，他(tā)的公司發現自(zì)2005年(nián)以來(lái)，域名劫持案例的數量就(jiù)增長了三倍。事(shì)實上，域名劫持的增長速度超過了域名增長的速度。在2005年(nián)，互聯網上的域名少于10億。而到2011年(nián)底，域名數量已經超過22億。
　　
　　Harvey稱，很多公司對自(zì)己無法保護域名的事(shì)實沒有給予重視。他(tā)估計(jì)這可(kě)能是域名注冊一直以來(lái)都(dōu)交由企業法律部門(mén)負責而非安全部門(mén)負責所導緻的結果。
　　
　　Mohan稱當IT部門(mén)中有人(rén)要購(gòu)買域名時，他(tā)們可(kě)能因爲不想支付額外的費用或是因爲沒有意識到自(zì)己需要保護而取消供應商理(lǐ)應提供的保護。
　　
　　Harvey說(shuō)：“企業應将域名視爲容易被損壞的有價資産。”
　　
　　一些域名注冊者隻是敷衍了事(shì)
　　
　　黑(hēi)客可(kě)利用大(dà)量技術(shù)攻擊某個域。其中一種方法就(jiù)是通過公司的域名注冊商。如(rú)果注冊商安全措施不到位，就(jiù)可(kě)能允許多次輸入無效密碼，Mohan說(shuō)，認識管理(lǐ)員(yuán)的黑(hēi)客便可(kě)以多次套用用戶名和密碼進入系統。
　　
　　“通過用戶名和密碼保護的數據并不安全”Harvey補充道。“黑(hēi)客可(kě)借助釣魚郵件(jiàn)社工(gōng)用戶名和密碼。曾經就(jiù)有黑(hēi)客對Comcast公司嘗試過。”
　　
　　黑(hēi)客還(hái)可(kě)以嘗試“忘記密碼”的舊把戲。爲了獲取密碼，他(tā)們可(kě)以假裝自(zì)己是忘記密碼的注冊用戶。他(tā)們會點擊注冊商網頁上“忘記密碼”的鏈接，如(rú)果注冊商允許他(tā)們輸入用來(lái)接收密碼或是密碼重置指令的郵箱，那麽黑(hēi)客就(jiù)可(kě)能輕而易舉地控制這個域。
　　
　　第三種方法是利用服務器上已知的安全漏洞。Mohan稱不久前，Afilias客戶的網站(zhàn)就(jiù)被黑(hēi)過，原因是技術(shù)部門(mén)忘記升級最新的MySQL補丁。黑(hēi)客獲取了該域的用戶名和密碼，利用客戶MySQL數據庫中的漏洞便可(kě)以訪問(wèn)整個網站(zhàn)。
　　
　　四種保護域名的方式
　　
　　如(rú)果每個公司都(dōu)做好保護措施，域名也不會輕易就(jiù)被劫持，Harvey說(shuō)。幸好，IT管理(lǐ)員(yuán)可(kě)以通過簡單幾步阻止公司域名被劫持。
　　
　　1、選擇一個企業級的域名注冊
　　
　　一些域名公司以消費者和小企業爲目标。結果，他(tā)們不能爲企業提供企業級域名注冊商所能提供的安全保護。
　　
　　“很多公司通常會選擇收費最低的供應商或是能提供特殊服務的供應商，”Mohan說(shuō)。“或許你(nǐ)的成本隻需20美金，但(dàn)是當域名被劫持後，你(nǐ)的損失遠(yuǎn)不止這一點。”
　　
　　Harvey補充稱，“當你(nǐ)的網站(zhàn)交易涉及上百萬生(shēng)意時，你(nǐ)應該選擇對應的安全級别。”
　　
　　他(tā)提到Coach.com是由域名注冊商及托管商NetworkSolutions維護，從(cóng)其網站(zhàn)看(kàn)，這家公司的服務對象以小企業爲主。
　　
　　你(nǐ)應該在選擇域名注冊商的時候留意一下是否有特殊的安全實例：
　　
　　雙要素驗證或回調驗證。Harvey稱如(rú)果域名注冊商部署先進的驗證方法，那麽他(tā)公司見(jiàn)過的大(dà)多數劫持都(dōu)可(kě)被阻止。
　　
　　爲你(nǐ)的域部署多種鎖定的功能。Harvey稱要确保注冊鎖定和注冊商的鎖定都(dōu)已經開啓。Mohan稱企業可(kě)以鎖定自(zì)己真正的域名。一些注冊商也提供鎖定來(lái)防止域名劫持。
　　
　　有些注冊商就(jiù)會在人(rén)們完成輸入後自(zì)動鎖定，如(rú)三次輸入無效密碼後就(jiù)不向任何郵箱發送登錄憑證。
　　
　　2、及時更新安全補丁
　　
　　确保你(nǐ)的Web服務器使用的是最新的安全補丁，這樣黑(hēi)客就(jiù)不能利用已知的軟件(jiàn)漏洞。否則你(nǐ)就(jiù)是自(zì)找麻煩。因爲域名被劫持隻是早晚的問(wèn)題。這是Mohan的客戶從(cóng)沒有應用最新MySQL補丁汲取的教訓。
　　
　　3、監控網站(zhàn)的流量去(qù)了哪裡(lǐ)
　　
　　如(rú)果你(nǐ)看(kàn)到網站(zhàn)流量神秘地發往位于烏克蘭的服務器，就(jiù)像CheckFree所經曆的一樣，那網站(zhàn)就(jiù)可(kě)能是出了什麽問(wèn)題。
　　
　　4、從(cóng)注冊商處請(qǐng)求DNSSEC
　　
　　Mohan稱，DNSSEC——會爲你(nǐ)的域名系統添加安全擴展——但(dàn)不能防止域名被劫持，不過唯一可(kě)作(zuò)爲保障的技術(shù)就(jiù)是用戶點擊網站(zhàn)上的鏈接後，他(tā)/她在點擊網頁鏈接與進入你(nǐ)網頁之間的那段時間裡(lǐ)不會被劫持。