北京
你打開(kāi)伯克利統(tǒng)計(jì)系的頁(yè)面,想查因果推斷的論文,結(jié)果跳出的是色情視頻。這不是惡作劇——是34所頂尖大學(xué)的真實(shí)遭遇。
安全研究員Alex Shakhov最近發(fā)現(xiàn),包括加州大學(xué)伯克利分校、哥倫比亞大學(xué)、圣路易斯華盛頓大學(xué)在內(nèi)的名校官網(wǎng)子域名,正被用來(lái)托管色情內(nèi)容和惡意詐騙。攻擊者沒(méi)黑進(jìn)服務(wù)器,只是撿走了管理員忘刪的DNS記錄。
攻擊手法:撿垃圾式劫持
大學(xué)IT部門(mén)有個(gè)常見(jiàn)操作:為某個(gè)項(xiàng)目申請(qǐng)子域名,比如causal.stat.berkeley.edu,同時(shí)創(chuàng)建一個(gè)CNAME記錄指向外部服務(wù)。項(xiàng)目結(jié)束后,子域名停用,但DNS記錄沒(méi)人刪。
CNAME記錄沒(méi)有過(guò)期時(shí)間。目標(biāo)服務(wù)下線后,不會(huì)自動(dòng)提醒管理員。攻擊者掃描到這些"孤兒記錄",搶注對(duì)應(yīng)的域名,就能接管大學(xué)子域名。Shakhov指出,Hazy Hawk團(tuán)伙專門(mén)干這個(gè)。
被劫持的頁(yè)面包括:
? causal.stat.berkeley.edu — 色情視頻
? conversion-dev.svc.cul.columbia.edu — 色情內(nèi)容
? provost.washu.edu — 虛假殺毒詐騙,聲稱電腦中毒并要求付費(fèi)
Google搜索結(jié)果中,這類被劫持頁(yè)面數(shù)以千計(jì)。
為什么大學(xué)特別容易中招
大學(xué)IT架構(gòu)天生碎片化。各院系、實(shí)驗(yàn)室、學(xué)生組織都能獨(dú)立申請(qǐng)子域名。人員流動(dòng)頻繁,離職交接清單里從來(lái)沒(méi)有"清理DNS記錄"這一項(xiàng)。
Shakhov說(shuō)得很直接:「組織創(chuàng)建DNS記錄,但從不清理。沒(méi)有過(guò)期機(jī)制,目標(biāo)失效也沒(méi)警報(bào),大多數(shù)大學(xué)IT部門(mén)甚至沒(méi)有完整的子域名清單。」
這不是技術(shù)漏洞,是流程漏洞。攻擊成本極低——掃描工具遍地都是,搶注廢棄域名幾美元搞定。防御成本卻很高:需要資產(chǎn)盤(pán)點(diǎn)、生命周期管理、定期審計(jì)。
清單:五個(gè)被忽視的細(xì)節(jié)
這次事件暴露的問(wèn)題,企業(yè)IT同樣存在:
一、DNS記錄即資產(chǎn),需要臺(tái)賬
多數(shù)組織把DNS當(dāng)基礎(chǔ)設(shè)施背景噪音。實(shí)際上,每一條CNAME、NS、MX記錄都是攻擊面。沒(méi)有清單,就不知道哪些記錄指向已失效的服務(wù)。
二、去中心化是雙刃劍
大學(xué)讓院系自主申請(qǐng)子域名,提升了靈活性,但犧牲了可見(jiàn)性。企業(yè)里的影子IT同理——市場(chǎng)部開(kāi)個(gè)SaaS賬號(hào),IT部門(mén)可能完全不知情。
三、人員流動(dòng)=安全債務(wù)累積
項(xiàng)目owner離職,DNS記錄成為無(wú)主之物。沒(méi)有自動(dòng)化的資產(chǎn)關(guān)聯(lián)和過(guò)期提醒,這些記錄會(huì)永久懸置,直到被攻擊者發(fā)現(xiàn)。
四、搜索引擎放大危害
大學(xué)域名權(quán)重極高,被劫持的子域名能快速爬到搜索結(jié)果前列。這意味著攻擊者不僅獲得免費(fèi)托管,還獲得SEO紅利。
五、清理比預(yù)防更難
創(chuàng)建DNS記錄只需幾秒鐘,梳理存量記錄卻需要跨部門(mén)協(xié)調(diào)、歷史文檔考古、業(yè)務(wù)影響評(píng)估。技術(shù)債的利息,最終用聲譽(yù)償還。
為什么這事值得產(chǎn)品人關(guān)注
表面看是運(yùn)維事故,實(shí)質(zhì)是權(quán)限設(shè)計(jì)和生命周期管理的產(chǎn)品缺陷。DNS管理工具的市場(chǎng)長(zhǎng)期被Infoblox、BlueCat等傳統(tǒng)廠商占據(jù),用戶體驗(yàn)停留在2000年代。
痛點(diǎn)很明確:可視化缺失、自動(dòng)化清理缺失、跨團(tuán)隊(duì)協(xié)作缺失。創(chuàng)業(yè)公司如DNSFilter、Control D在做安全層面的替代,但生命周期管理仍是空白。
更深層的問(wèn)題是組織慣性。安全團(tuán)隊(duì)關(guān)注漏洞掃描、滲透測(cè)試,但DNS記錄這種"配置層面的漏洞"不在傳統(tǒng)評(píng)估框架內(nèi)。直到丑聞爆發(fā),預(yù)算才會(huì)傾斜。
對(duì)科技從業(yè)者來(lái)說(shuō),這是提醒:你的組織可能也有成噸的DNS爛賬。檢查方法很簡(jiǎn)單——用site:你的域名在Google搜索,看有沒(méi)有異常子域名;用DNS歷史查詢工具,梳理CNAME指向的外部服務(wù)是否仍然可控。
Shakhov的發(fā)現(xiàn)沒(méi)有涉及數(shù)據(jù)泄露或系統(tǒng)入侵,但聲譽(yù)損失難以量化。當(dāng)家長(zhǎng)搜索"伯克利統(tǒng)計(jì)系"卻看到色情內(nèi)容,信任修復(fù)的成本遠(yuǎn)超預(yù)防投入。
這件事的核心判斷:DNS hygiene(DNS衛(wèi)生)將成為企業(yè)安全合規(guī)的標(biāo)配檢查項(xiàng),相關(guān)產(chǎn)品機(jī)會(huì)正在浮現(xiàn)。現(xiàn)在動(dòng)手清理,比等監(jiān)管要求或公關(guān)危機(jī)更便宜。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
