全球域名系統威脅與因應
2019.03.15
瀏覽數
139
壹、新聞重點
根據報導,美國系統網絡安全協會(SANS Institute)於2019年3月7日在舊金山舉行之RSA Conference 2019會議上,分享近期重大新型資安威脅與因應措施。其中特別指出,在過去數月來,駭客透過域名系統(Domain Name System, DNS)進行攻擊,並竊取大量身分驗證資訊,已經對各國多個組織造成嚴重影響,建議應積極布署域名系統安全擴充(DNS Security Extensions, DNSSEC)以因應威脅。[1]
貳、安全意涵
一、駭客透過DNS架構進行攻擊與間諜活動
網際網路上的所有電腦或設備,皆會被賦予一個數字或英數混合的獨立IP位址。DNS的功用,有如網際網路的電話簿,將較易記憶的網域名稱文字,透過層層查詢,解析為機器容易處理的IP位址,這是網際網路得以互相連結的基礎架構。近期發現透過DNS進行的複雜攻擊手法,首先是藉由偽造求職網站下載內含巨集病毒的文件,開啟後便從受害者電腦以發出DNS請求的方式,回傳訊息至駭客架設的伺服器。另外一項手法,則是域名劫持(DNS hijacking)的進化,不僅竄改DNS紀錄進行中間人攻擊(Man-in-the-middle-attack),使得流量導向駭客架設的伺服器,藉此竊取郵件以及經由虛擬私人網路(Virtual Private Network, VPN)傳遞的隱私資訊,駭客甚至進一步取得政府相關域名的SSL加密憑證,以解密竊得的郵件以及VPN流量。[2]思科公司Talos團隊(Cisco Talos)2018年11月發布報告指出,駭客攻擊的目標包括黎巴嫩與阿拉伯聯合大公國的政府網域,以及黎巴嫩的航空公司。雖然來源、攻擊動機以及確切目標均不明朗,但團隊認為兩種手法是來自同一組駭客所為。[3]
然而,亦有報告指出駭客並非單純竊取單一目標資訊,而是透過攻擊網際網路的關鍵基礎設施,來進行大規模情報收集活動。CrowdStrike公司於2019年1月25日進一步公布近兩年已知遭受類似手法綁架網路流量的目標清單,發現橫跨12國的28個不同組織均是受害者。其中大部分是中東國家的政府單位,但也有少部分是歐美國家的網路服務業者(Internet Service Provider, ISP),甚至是負責管理根域名伺服器、網路交換中心以及頂級域名等全球網路基礎架構的組織。[4]
二、現行DNS防護不足
由於功能相對單純,若DNS之伺服器和相關軟體運作正常,一般不會被列入網路系統軟硬體更新的優先名單,甚至不會留存DNS變更紀錄。因此,相較於其他防護措施,DNS管理是容易被忽視的一環。2018年11月甫成立的美國國土安全部「網路安全與基礎設施安全署」(Cybersecurity and Infrastructure Security Agency, CISA)為因應威脅,於2019年1月22日發布緊急指令(Emergency Directive 19-01),要求各級單位徹查所屬之DNS系統紀錄檔,以了解是否有可疑變更紀錄,並採取定期更改管理者密碼與新增多因子驗證模式等措施,加強安全防護。雖有官員表示,初步調查結果未發現證據顯示聯邦政府網域受害,影響應相當輕微;然而,若域名劫持發生時間短暫,後續調查亦難徹底了解實際影響情形。
參、趨勢研判
一、各方將加速布署DNSSEC
為補強現行DNS協定缺陷,國際網路治理社群多年來持續推動新協定DNSSEC的布署。這項新協定包含兩項關鍵技術,分別是數位簽章與DNS延伸安全協定(Extension Mechanisms for DNS, EDNS),前者對DNS封包進行驗證,確保DNS查詢的紀錄自最上層之根域名伺服器始並未遭到竄改,進而阻止駭客進一步利用,而後者則是擴展DNS封包,得以容納數位簽章所需要的訊息。由網際網路名稱與數字位置分配機構(Internet Corporation for Assigned Names and Numbers, ICANN)監管的根域名伺服器,其數位簽章的簽發與更新,是定期以公開儀式方式進行,藉此強化對網路基礎架構以及治理模式的信任。
2019年3月9日始於日本神戶舉行的ICANN 64會議中,參與各方,包括各國政府代表、區域性網址註冊管理組織(Regional Internet address Registry, RIR)、域名註冊局(domain name registry)、域名註冊商(domain name registrar)、電信與網路服務業者等,就加速DNSSEC布署進行討論。議程最末由安全與穩定諮詢委員會(Security and Stability Advisory Committee, SSAC)資深委員Russ Mundy總結現行之各方最佳實踐,預期各方將能依此制定加速DNSSEC布署之行動方案,並在會後透過郵件群組以及視訊會議持續追蹤並分享相關進程與討論。[5]
二、部分國家將以替代根域名伺服器(Alternative DNS root)加速網路碎片化
以俄羅斯為首的國家,長期以來並不信任由ICANN主導之全球網路治理架構,透過DNS對網路基礎架構進行攻擊的事件報導,恰好提供一個可對內宣傳的正當理由,不僅打擊ICANN公信力,更可能以強化安全為號召,透過DNS系統設定,進一步過濾並阻斷境外連線,再建立替代根域名伺服器,以確保網域解析均在境內系統完成,自成體系。由於大多數民主國家憲法保障通訊自由,一般公共DNS均未過濾其通訊,但目前俄羅斯網路業者Yandex所提供的DNS服務中,已經包括兩種不同的過濾模式,顯示俄羅斯對於DNS控制在法治與技術面已有相當掌握。若其建立替代域名伺服器,落實「網路主權」(cyber sovereignty),具類似法治架構、依賴俄羅斯網路基礎設施之國家將可能仿照跟隨,加速網際網路碎片化。
[1] RSA Conference以Ron Rivest, Adi Shamir及Leonard Adleman共同提出之常用非對稱加密演算法為名,為全球首屈一指的資訊安全大會暨展覽會,詳見報導Tom Sullivan, “RSA 2019: SANS shares top new security threats – and what to do about them,” Healthcare IT News, March 7, 2019, https://www.healthcareitnews.com/news/rsa-2019-sans-shares-top-new-security-threats-%E2%80%93-and-what-do-about-them. 會議錄影參見https://www.youtube.com/watch?v=sibeN4U1fOg。
[2] 域名劫持(DNS hijacking)指駭客透過各種手法冒充DNS,提供錯誤解析或回應假造之IP位置,使用戶無法訪問網頁、或被指向偽造的網頁。中間人攻擊(Man-in-the-middle-attack)指駭客與通訊兩端分別聯繫,交換所接收到的資料,通訊兩端雖認為正在與對方直接聯繫,實則整個資訊交換都被駭客所掌握,並可加以控制。
[3] Warren Mercer and Paul Rascangeres, “DNSpiongage Campaign Targets Middle East,” Talos Intelligence, November 27, 2018, https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
[4] Matt Dhal, “Widespread DNS Hijacking Activity Targets Multiple Sectors,” Crowd Strike Blog, January 25, 2019, https://www.crowdstrike.com/blog/widespread-dns-hijacking-activity-targets-multiple-sectors/
[5] Russ Mundy, “DNSSEC: How Can I Help,” ICANN 64 Kobe, March 13, 2019, https://64.schedule.icann.org/meetings/961939