corp.com,史上最危險域名,堪稱域名界的「魔鬼」。
作為史上最危險域名,corp.com 在今年首次被公開出售,售價 170 萬美元。幸好,這個域名最終被微軟買下,沒有落入網絡犯罪分子手中,否則後果不堪設想。
據 KrebsOnSecurity 報導,為防止其落入網絡犯罪分子手中被濫用,微軟宣布同意購買高度危險域名 corp.com。
域名專家稱 corp.com 極其危險。因為經過多年的技術測試表明,這個域名堪稱「魔鬼」。任何人只要擁有 corp.com,就能訪問全球主要公司數十萬臺 Windows PC 中海量的密碼、電子郵件和其他敏感數據。換句話說,誰掌握了 corp.com 域名,他就能隨時獲取公司內部機密信息和敏感數據。這也意味著公司內部信息安全不復存在。
本周一,corp.com 所有者邁克·奧康納稱,微軟已經同意購買「魔鬼」域名 corp.com。但是,他表示自己不能詳細透露交易條款,並且對此事不宜做過多評論。
微軟在一份書面聲明中表示,收購該域名是為了更好地保障用戶安全與隱私。「我們一直鼓勵用戶在規劃內部域和網絡名稱時具備安全意識。」聲明寫道,「我們在 2009 年 6 月發布了一份安全公告和相應的安全更新。為了能持續為客戶提供安全保障,我們還收購了 corp.com 域名。」
corp.com 的所有者:美國版蔡文勝
在國內,談到域名生意,就不得不提蔡文勝。2000 年,蔡文勝進入網際網路領域,投資域名並獲得巨大成功。比如,他出售 360.com 域名,賣了一個億,成功入選史上十大最貴域名交易名單。
相比蔡文勝,邁克·奧康納同樣在域名生意上獲得很大成功。一直以來,邁克·奧康納都是 corp.com 域名的所有者。作為一名早期的域名投資者,他在 1994 年以低價將幾個國寶級珍稀域名收入囊中,包括 bar.com、cafes.com、grill.com、place.com、pub.com 和 television.com。
這些年,靠出售域名,奧康納日子不愁,生活無憂。雖然不時賣掉一些域名,但是他對 corp.com 一直「諱莫如深」,絕口不提出售之事。因為他深知這個域名太重要,因此不會輕易出手。
不過據小道消息,奧康納透露幾年前微軟曾提出以 2 萬美元收購 corp.com 遭到他拒絕。奧康納認為 2 萬美元價格太低,沒有達到域名的市場價值。
如今,奧康納年近 70,更喜歡「落袋為安」,開始考慮出售 corp.com,要價 170 萬美元。對於這種商務範十足的絕版域名而言,這個價格相當實惠。不過,即使有人想買,恐怕也「拿不住」。相反,那些在網絡犯罪集團或國家黑客組織中工作的人都想得到 corp.com,有了它,網絡不法分子相當於得到「魔戒」。
奧康納一直都希望微軟可以購買 corp.com 域名,因為有數十萬臺不明身份的 Windows PC 一直試圖與 corp.com 分享敏感數據。同時,Windows 的早期版本慫恿用戶對不安全設置的採用,讓 Windows 電腦更可能試圖和 corp.com 分享敏感數據。
魔鬼域名:corp.com
這個問題被稱為 namespace collision。一旦發生這種情況,原來只打算在公司內網中使用的域名最後與外部網際網路中正常解析的域名發生重疊,因此公司內數據會流向外網。
一直以來,Windows 系統都以一種特殊方式處理本地網絡上的域名解析。公司內網中的 Windows 計算機使用 Active Directory來驗證該網絡上的其他內容。據悉,Active Directory 服務是 Windows 平臺的核心組件,它存儲了有關網絡對象的信息。各個對象彼此查找要藉助一個名為 DNS name devolution 的 Windows 功能,這種網絡速記方法能輕鬆查找其他計算機或伺服器,而無需為這些資源指定完整的合法域名。
比如,有家公司運行一個名為 internalnetwork.example.com 的內部網絡,而這個網絡上的員工想訪問一個名為「drive 1」的共享驅動器。他不用費勁地鍵入「drive1.internalnetwork.example.com」來進入資源管理器,只需鍵入「\drive1\」,Windows 會負責剩餘的工作。
不過,如果內部 Windows 域無法映射回企業實際擁有和控制的二級域名,事情就會變得很糟糕。因為,支持 Active Directory 的 Windows 早期版本,比如 Windows Server 2000,默認或示例 Active Directory 路徑被指定為「Corp」。並且,很多公司採用這種設置,卻沒有修改成自己公司的二級域名。後來,這些公司在這種錯誤的環境下建立或整合了龐大企業網絡,這讓問題變得更嚴重,錯上加錯。
二三十年前,員工不可能帶著笨重的電腦到處轉悠。但是,在移動辦公時代,輕薄筆記本層出不窮,這個安全問題也隨之被放大。假設那些配置 Active Directory、默認網絡路徑為 Corp 的公司員工將工作用的筆記本電腦帶到星巴克,那會發生什麼?
或許,員工筆記本電腦上的某些資源依舊會嘗試訪問公司內網上的 Corp 域名,但由於 Windows 系統的 DNS name devolution 功能,電腦會通過星巴克無線網絡連接,去網際網路上的「corp.com」去尋找相同資源。
這意味著,corp.com 域名的控制者能「被動攔截」來自數十萬臺計算機的私人通信。
嚇出一身冷汗
在 2 月份的一篇報導中,KrebsOnSecurity 披露了一些測試信息。作為一名安全專家,傑夫·施密特對 DNS 名稱空間衝突進行過長期研究。
在對 2019 年流向 Corp.com 的企業內部流量進行的八個月分析中,施密特發現有超過 375,000 臺 Windows PC 正在嘗試發送信息,包括嘗試登錄公司內網以及訪問網絡上的特定共享文件。
這個測試結果驚出施密特「一身冷汗」。
「這太可怕了。我們在 15 分鐘後就中斷了實驗,並銷毀了數據。」他表示。
多年以來,微軟已經發布數個軟體更新,來幫助減少名稱空間衝突的可能性。但是,專家表示幾乎沒有任何易受攻擊的企業會聽從微軟建議,部署這些修復程序。主要有兩個原因:一是企業這樣做,需要在一段時間內關閉其整個 Active Directory 網絡;二是根據微軟的說法,補丁可能會破壞或拖慢企業日常運行所依賴的許多應用程式。
KrebsOnSecurity 博主指出:微軟買下 corp.com 這個域名,這為那些將 Active Directory 構建於「corp」或「corp.com」之上的公司提供了安全保障。事實上,任何公司如果將其內部 Active Directory 網絡與不受控的域名「綁在一起」,最終都會讓自己陷入安全噩夢中。
在筆者看來,微軟之舉不僅讓廣大 Windows 用戶鬆了一口氣,而且還消除了網絡犯罪分子或黑客利用該域名實施攻擊的可能性。