近期,随着业界对DNS漏洞的不断披露,有迹象显示中小型互联网服务供应商(ISP)用户可能会面临在线欺诈安全风险。
起初,DNS漏洞是被IOActive研究员Dan Kaminsky于今年一月发现的。而后在沉寂了近半年之久,也就是在上个月初,在发布了安全补丁之后,各大安全厂商包括ISC(Internet Systems Consortium )、思科、Debain和微软公司才正式对DNS漏洞予以披露。
Kaminsky 提醒美国计算机应急准备小组(US-CERT)和多个供应商注意防范DNS漏洞所带来的风险,而他们也确实意识到这种风险所带来的严重后果,并表示期待漏洞早日能够得到修复。
据悉,这个安全漏洞可能导致“钓鱼”诈骗攻击。如果某家互联网服务供应商(ISP)没有安装相应漏洞补丁程序,则黑客们可针对使用该ISP服务的普通网民发起“网络钓鱼”(phishing)攻击,并把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗人们泄漏自己的账户号码、口令和其它信息。黑客还能够利用这个安全漏洞把用户引导到他要用户访问的网页,无论用户在网络浏览器上输入什么地址。
一些大型ISP,诸如澳洲电信, Optus(新加坡电信旗下子公司),Internode(澳大利亚宽带运营商)和iiNet(澳大利亚领先的互联网服务提供商)都表示已经对DNS服务器安装了补丁。不过,有消息人士指出,尽管众多安全机构再三叮嘱要及时修复该漏洞,但是还是有不少DNS管理员并没有真正修复这一漏洞。
iiNet网络工程师Mark Newton 说,由于那些小的互联网服务供应商(ISP)需要投入大量的工作来保障DNS服务器的正常运行,因而他们在修补DNS漏洞方面可能会比较滞后。另外,他们为了降低成本还缺乏独立分隔开的DNS服务器,所有的数据运行都整合在一台服务器当中,更容易遭受巨大风险。