据国外媒体报道,在过去数月中,计算机业巨头正忙于修补一个重大的互联网域名服务器(DNS)漏洞。业界专家称,如果该漏洞不能及时得到修补,黑客很有可能借机控制网络流量。尽管目前该问题已得以修复,但许多专家仍对此指出,用户还存在被攻击风险。目前,这一根本性设计缺陷的暴露已经引发了业界的“地震”。
系统缺陷暴露引发业界恐慌
该漏洞于一个多月前被公布,现已被黑客成功利用,并导致AT&T服务器宕机。.com和.net域名管理机构VeriSign首席技术官肯·席尔瓦(KenSilva)称:“这就好比大街上有一沓钱,先到先得。”利用该DNS漏洞,黑客们不但可以攻击企业用户的内部计算机网络,还可以窃取用户电子邮件和其他机密商业数据。“网络钓鱼”(phishing)攻击者还可以利用该漏洞,把互联网用户引导至假冒银行或信用卡公司页面,乘机骗取网民的银行账号、密码及其他个人信息。利用这一漏洞,不管用户输入何种网址,黑客都可以将他们转至其所设定的网页中。
美国互联网安全专家早先就已经发现,互联网设计存在一个根本性缺陷,黑客可以利用这个漏洞,控制互联网信息的流动,把用户转接到假网站,盗取密码等资料。互联网出现这样严重的缺陷,是极坏的消息,幸好,至今并未发现相关的行骗案件,而各大软件与硬件商多个月来,已悄悄合作研究出补救方法,并召开记者会发表“补丁”(patch)软件。保安专家希望这些补丁范围够广,使得黑客无法进行反向利用。尽管该漏洞补丁已放出,但该程序的开发者也承认,该补丁程序尚有瑕疵,会导致BIND效能下降等问题。因此,到目前为止,仍有约75%的DNS服务器尚未更新补丁程序。
互联网也许将不再是互联网
无意间发现这一缺陷的IOActiveInc公司系统研究员唐·卡明斯基(Dan Kaminsky)说:“能发现此缺陷实在太幸运了,因为这是个设计漏洞,在所有网络都存在,所以修补也是针对设计而进行,没有直接指明改进了哪里。”这个在网络域名系统(Domain Name System)中的漏洞,让袭击者可以控制所有网络使用者,不管用户输入什么网址,黑客都可以将他们转至伪造的银行或信用卡等公司页面,骗取银行账号、密码及其他信息。Se-curosis公司分析师莫古尔在媒体电话会议上说:“问题十分严峻,涉及整个域名框架如何运行。如果不修复这一漏洞,互联网仍将存在,但已不再是你想要的互联网了,因为黑客将控制一切。”
相关技术人员指出,会受这个安全问题影响的微软操作系统,主要是视窗2000、视窗XP和视窗Server 2003。微软最新的操作系统视窗Vista则不受影响,因为它较早前发布的视窗Vista补丁包(Service Pack 1)已修正这个安全问题。补丁包是微软发布的产品更新的集成,包含系统稳定性、安全及其他方面的更新。微软相关负责人强调,这不是微软的问题,而是互联网技术上的缺漏。
斯坦福大学电气工程与计算机系副教授尼可·麦克文说,10年前,人们以为互联网能够用于从远程医疗到空中交管诸多方面的服务,但是由于互联网存在设计缺陷,这些设想目前并没有得以很好地实现。目前,互联网存在着一些不尽如人意的方面,包括:没有可靠的方法了解网络信息的来源,而原先的设计使得伪造信息来源异常容易;未经允许的垃圾电子邮件难以清除;合法或是非法的信息包可能因携带和传播病毒,轻而易举地破坏整个网络,等等。目前,越来越多的研究人员认为互联网存在根本的缺陷,需要修补。以太网发明人、3Com公司的创始人鲍勃·麦特克夫认为,美国斯坦福大学提出的“清洁互联网基础设计”是个好主意,但也将面临很多问题,特别是网络基础结构方面的挑战。目前还需要采取措施保障宽带网通信,互联网只是保证了信息字符通连的快捷,现在要保证诸如视频对话等通信的顺畅进行。
