无需入侵搞定你 联想网站是这样被黑的
作者:星期六, 二月 28, 20150

想象一下这个场景:如平常一般的工作日,踏入办公室,打开电脑,公司网站上挂的是黑客放置的消息和图片,推特上还有发送给公司的内部邮件的截屏。这就是昨天联想集团遭遇的状况——尽管没有任何证据表明这家PC巨头自身的服务器被攻陷了。

15-无需入侵就能劫持你的网站 联想网站是这样被黑的3

联想最近预装到用户计算机上的快鱼(Superfish)广告软件被指易使用户遭受SSL攻击,先不管一场不可避免的集体诉讼官司,眼下官网上挥手的长发少年就又是一个丑闻。

现在问题来了:公司官网是如何在未遭真实入侵的情况下眨眼间就形象大变呢?

事实是:你的网站根本就不用遭到攻击才会沦陷到黑客手中。相反,黑客们需要做的仅仅是劫持你的站点,要达到这个目的,稍微动动你的域名系统(DNS)记录就行了。

安全人员声称,联想官网被劫持是因为蜥蜴小队(黑客团伙)侵入了托管着Lenovo.com和其他约60万个网站的DNS条目的马来西亚域名注册机构Webnic.cc。

DNS就是互联网世界的黄页,将人们易记忆的网址(如“amazon.com”, “google.com”等)翻译成互联网能识别的数字IP地址(如72.21.215.232, 74.125.224.2等)。

通过变更联想网站的DNS条目,黑客将对联想网页的请求重定向到了在他们控制之下的网页服务器上——访客们会看到一组以幻灯片浏览形式循环展示的搞笑图片,还伴随着影片《歌舞青春》那欢快的主题曲。

1_副本

更绝的是,攻击者还变更了联想网站的邮件交换记录。这些可是定义邮件服务器地址的设置项。邮件服务器是代理特定域接收邮件的设施,它的地址被更改,这乐子就大了。

换句话说,蜥蜴小队现在有能力接收所有发送至联想网站的电子邮件,而他们也非常乐于在推特上展示这些邮件。

网站被篡改后几小时,联想发布了如下声明:

联想不幸成为网络攻击的受害者。此次攻击的一个影响是对联想网站的访问请求被重定向了。我们正积极调查其他方面的影响。我们正对面向公众的网站做出响应,并已恢复了网站的某些功能。

对因为不能访问我们的部分站点而给用户造成的困扰,我们深感抱歉。我们正仔细检查自身网络安全,并将采取适当的措施强化我们的站点,保护用户信息和体验的完整性。

我们也积极主动地与第三方一起处理这次攻击事件,当事情有所进展,我们会披露更多相关信息。

这个时候对联想发起指责很容易,但其他公司也一样可能成为此类攻击的潜在对象。甚至谷歌都在本周早些时候发现自己已经被类似的恶作剧困扰了——蜥蜴小队用同样的劫持方式玩弄了谷歌的越南官网。此外,大家还记得2010年1月12日,百度的页面是什么样子吗?

2

DNS劫持近年来有增多趋势。它不仅为蜥蜴小队这样的网络流氓所用,叙利亚网军和其他网络罪犯也在用。

黑客劫持公司网站DNS记录对公司品牌造成的破坏是巨大的,大多数公众可能会认为公司自身的电脑被黑客控制了。

想要保护自身网站和电子邮件不受劫持的公司,需要去咨询一下他们的域名注册机构,看看都有哪些措施正被应用来防范此类攻击。

比如说,引入双因子身份验证和域名锁定就能帮助预防未经授权的DNS记录修改,也能吓阻黑客。

你可以问问注册机构是否实现了DNS安全扩展协议(DNSSEC),这个协议能保证用户正在访问的网站就是用户意图访问的,而不是被劫持后重定向到不知哪里去了的。

然而,不幸的是,截至目前,很多域名注册机构都不提供DNSSEC,让网站所有者只能寄希望于注册机构的服务没有漏洞,或者其他安全措施(强密码,双因子身份验证等)足以保护他们的记录不被黑客篡改。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章