想象一下這個(gè)場景：如平常一般的工作日，踏入辦公室，打開電腦，公司網(wǎng)站上掛的是黑客放置的消息和圖片，推特上還有發(fā)送給公司的內(nèi)部郵件的截屏。這就是昨天聯(lián)想集團(tuán)遭遇的狀況——盡管沒有任何證據(jù)表明這家PC巨頭自身的服務(wù)器被攻陷了。

聯(lián)想最近預(yù)裝到用戶計(jì)算機(jī)上的快魚(Superfish)廣告軟件被指易使用戶遭受SSL攻擊，先不管一場不可避免的集體訴訟官司，眼下官網(wǎng)上揮手的長發(fā)少年就又是一個(gè)丑聞。

現(xiàn)在問題來了：公司官網(wǎng)是如何在未遭真實(shí)入侵的情況下眨眼間就形象大變呢?

事實(shí)是：你的網(wǎng)站根本就不用遭到攻擊才會(huì)淪陷到黑客手中。相反，黑客們需要做的僅僅是劫持你的站點(diǎn)，要達(dá)到這個(gè)目的，稍微動(dòng)動(dòng)你的域名系統(tǒng)(DNS)記錄就行了。

安全人員聲稱，聯(lián)想官網(wǎng)被劫持是因?yàn)轵狎嫘￡?duì)(黑客團(tuán)伙)侵入了托管著Lenovo.com和其他約60萬個(gè)網(wǎng)站的DNS條目的馬來西亞域名注冊(cè)機(jī)構(gòu)Webnic.cc。

DNS就是互聯(lián)網(wǎng)世界的黃頁，將人們易記憶的網(wǎng)址(如“amazon.com”, “google.com”等)翻譯成互聯(lián)網(wǎng)能識(shí)別的數(shù)字IP地址(如72.21.215.232, 74.125.224.2等)。

通過變更聯(lián)想網(wǎng)站的DNS條目，黑客將對(duì)聯(lián)想網(wǎng)頁的請(qǐng)求重定向到了在他們控制之下的網(wǎng)頁服務(wù)器上——訪客們會(huì)看到一組以幻燈片瀏覽形式循環(huán)展示的搞笑圖片，還伴隨著影片《歌舞青春》那歡快的主題曲。

[[128262]]

更絕的是，攻擊者還變更了聯(lián)想網(wǎng)站的郵件交換記錄。這些可是定義郵件服務(wù)器地址的設(shè)置項(xiàng)。郵件服務(wù)器是代理特定域接收郵件的設(shè)施，它的地址被更改，這樂子就大了。

換句話說，蜥蜴小隊(duì)現(xiàn)在有能力接收所有發(fā)送至聯(lián)想網(wǎng)站的電子郵件，而他們也非常樂于在推特上展示這些郵件。

網(wǎng)站被篡改后幾小時(shí)，聯(lián)想發(fā)布了如下聲明：

聯(lián)想不幸成為網(wǎng)絡(luò)攻擊的受害者。此次攻擊的一個(gè)影響是對(duì)聯(lián)想網(wǎng)站的訪問請(qǐng)求被重定向了。我們正積極調(diào)查其他方面的影響。我們正對(duì)面向公眾的網(wǎng)站做出響應(yīng)，并已恢復(fù)了網(wǎng)站的某些功能。

對(duì)因?yàn)椴荒茉L問我們的部分站點(diǎn)而給用戶造成的困擾，我們深感抱歉。我們正仔細(xì)檢查自身網(wǎng)絡(luò)安全，并將采取適當(dāng)?shù)拇胧?qiáng)化我們的站點(diǎn)，保護(hù)用戶信息和體驗(yàn)的完整性。

我們也積極主動(dòng)地與第三方一起處理這次攻擊事件，當(dāng)事情有所進(jìn)展，我們會(huì)披露更多相關(guān)信息。這個(gè)時(shí)候?qū)β?lián)想發(fā)起指責(zé)很容易，但其他公司也一樣可能成為此類攻擊的潛在對(duì)象。甚至谷歌都在本周早些時(shí)候發(fā)現(xiàn)自己已經(jīng)被類似的惡作劇困擾了——蜥蜴小隊(duì)用同樣的劫持方式玩弄了谷歌的越南官網(wǎng)。此外，大家還記得2010年1月12日，百度的頁面是什么樣子嗎?

DNS劫持近年來有增多趨勢。它不僅為蜥蜴小隊(duì)這樣的網(wǎng)絡(luò)流氓所用，敘利亞網(wǎng)軍和其他網(wǎng)絡(luò)罪犯也在用。

黑客劫持公司網(wǎng)站DNS記錄對(duì)公司品牌造成的破壞是巨大的，大多數(shù)公眾可能會(huì)認(rèn)為公司自身的電腦被黑客控制了。

想要保護(hù)自身網(wǎng)站和電子郵件不受劫持的公司，需要去咨詢一下他們的域名注冊(cè)機(jī)構(gòu)，看看都有哪些措施正被應(yīng)用來防范此類攻擊。

比如說，引入雙因子身份驗(yàn)證和域名鎖定就能幫助預(yù)防未經(jīng)授權(quán)的DNS記錄修改，也能嚇阻黑客。

你可以問問注冊(cè)機(jī)構(gòu)是否實(shí)現(xiàn)了DNS安全擴(kuò)展協(xié)議(DNSSEC)，這個(gè)協(xié)議能保證用戶正在訪問的網(wǎng)站就是用戶意圖訪問的，而不是被劫持后重定向到不知哪里去了的。

然而，不幸的是，截至目前，很多域名注冊(cè)機(jī)構(gòu)都不提供DNSSEC，讓網(wǎng)站所有者只能寄希望于注冊(cè)機(jī)構(gòu)的服務(wù)沒有漏洞，或者其他安全措施(強(qiáng)密碼，雙因子身份驗(yàn)證等)足以保護(hù)他們的記錄不被黑客篡改。