【赛迪网讯】一名安全研究人员于当地时间上周六表示,使互联网用户能够查找和连续互联网上计算机的技术可以用来创建秘密的通信渠道,绕过安全机制,存储分布式内容。
这种“黑客行为”利用了由DNS服务器传输的数据来隐藏网络通讯中的“额外”数据。DNS服务器是互联网上的“白页”,将人们容易记忆的域名━━例如www.cnet.com转换为计算机使用的数字形式的网络地址。电信厂商Avaya公司的安全研究人员凯明斯基在Defcon黑客大会上发言时说,防火墙等企业安全措施都不会注意DNS数据,因为它们认为这些数据是无害的。他说,DNS无所不在,没有人注意到DNS,没有人监视它。
凯明斯基表示,大多数企业网络安全方面的这一缺陷留下了很大的隐患,它可能被黑客用来窃取企业的知识产权,与公司内部不安全的服务器通讯,免费使用许多咖啡厅、宾馆的无线和有线互联网服务。
秘密渠道是安全专家和黑客的一个研究领域。去年,另一名安全专家演示了将少量数据隐藏在网络数据包中发送的方法。这一概念早在15年前就有人提出来了,但凯明斯基开发了可以供人们通过DNS传输秘密数据的工具。在Defcon黑客大会上,凯明斯基展示了可以用作秘密信息通信中枢的服务器软件和能够在DNS请求中插入数据的软件。通过该软件,他能够通过虚假的DNS请求在加密通讯渠道上发送即时消息。另外,他还展示了通过秘密渠道进行的流式广播。凯明斯基说,这些数据不会被现有的安全机制记录或发现,因为它看起来完全是DNS服务器之间合法的通讯。
DNS数据包还存在另一个网络管理人员没有注意到的另一个安全负作用。允许用户登录后获得互联网访问权限的网络服务━━例如在星巴克咖啡厅使用户通过无线方式访问互联网的系统,使得DNS数据包能够绕过安全机制,这意味着黑客可以使用凯明斯基的软件免费使用大多数这样的网络。
凯明斯基表示,网络管理人员应当更多地关注DNS。例如,被冲击波蠕虫病毒感染的服务器利用DNS服务查找微软公司windowsupdate.com服务器的地址,这使得DNS成为发现被感染的计算机的好方法。他说,我们知道这个问题已经好多年了,现在应当是关注它的时候了。
(责任编辑:王力欧)
