corp.com，史上最危險(xiǎn)域名，堪稱(chēng)域名界的“魔鬼”。

作為史上最危險(xiǎn)域名，corp.com 在今年首次被公開(kāi)出售，售價(jià) 170 萬(wàn)美元。幸好，這個(gè)域名最終被微軟買(mǎi)下，沒(méi)有落入網(wǎng)絡(luò)犯罪分子手中。否則后果不堪設(shè)想。

據(jù) KrebsOnSecurity 報(bào)道，為防止其落入網(wǎng)絡(luò)犯罪分子手中被濫用，微軟宣布同意購(gòu)買(mǎi)高度危險(xiǎn)域名 corp.com。

域名專(zhuān)家稱(chēng) corp.com 極其危險(xiǎn)。因?yàn)榻?jīng)過(guò)多年的技術(shù)測(cè)試表明，這個(gè)域名堪稱(chēng)“魔鬼”。任何人只要擁有 corp.com，就能訪(fǎng)問(wèn)全球主要公司數(shù)十萬(wàn)臺(tái) Windows PC 中海量的密碼、電子郵件和其他敏感數(shù)據(jù)。換句話(huà)說(shuō)，誰(shuí)掌握了 corp.com 域名，他就能隨時(shí)獲取公司內(nèi)部機(jī)密信息和敏感數(shù)據(jù)。這也意味著公司內(nèi)部信息安全不復(fù)存在。

本周一，corp.com 所有者邁克·奧康納(Mike O’Connor )稱(chēng)，微軟已經(jīng)同意購(gòu)買(mǎi)“魔鬼”域名 corp.com。但是，他表示自己不能詳細(xì)透露交易條款，并且對(duì)此事不宜做過(guò)多評(píng)論。

微軟在一份書(shū)面聲明中表示，收購(gòu)該域名是為了更好地保障用戶(hù)安全與隱私?！拔覀円恢惫膭?lì)用戶(hù)在規(guī)劃內(nèi)部域和網(wǎng)絡(luò)名稱(chēng)時(shí)具備安全意識(shí)?！甭暶鲗?xiě)道，“我們?cè)?2009 年 6 月發(fā)布了一份安全公告和相應(yīng)的安全更新。為了能持續(xù)為客戶(hù)提供安全保障，我們還收購(gòu)了 corp.com 域名。”

corp.com 的所有者：美國(guó)版蔡文勝

在國(guó)內(nèi)，談到域名生意，就不得不提蔡文勝。2000 年，蔡文勝進(jìn)入互聯(lián)網(wǎng)領(lǐng)域，投資域名并獲得巨大成功。比如，他出售 360.com 域名，賣(mài)了一個(gè)億，成功入選史上十大最貴域名交易名單。

相比蔡文勝，邁克·奧康納(Mike O’Connor )同樣在域名生意上獲得很大成功。一直以來(lái)，邁克·奧康納都是 corp.com 域名的所有者。作為一名早期的域名投資者，他在 1994 年以低價(jià)將幾個(gè)國(guó)寶級(jí)珍稀域名收入囊中，包括 bar.com、cafes.com、grill.com、place.com、pub.com 和 television.com。

這些年，靠出售域名，奧康納日子不愁，生活無(wú)憂(yōu)。雖然不時(shí)賣(mài)掉一些域名，但是他對(duì) corp.com 一直“諱莫如深”，絕口不提出售之事。因?yàn)樗钪@個(gè)域名太重要，因此不會(huì)輕易出手。

不過(guò)據(jù)小道消息，奧康納透露幾年前微軟曾提出以 2 萬(wàn)美元收購(gòu) corp.com 遭到他拒絕。奧康納認(rèn)為 2 萬(wàn)美元價(jià)格太低，沒(méi)有達(dá)到域名的市場(chǎng)價(jià)值。

如今，奧康納年近 70，更喜歡“落袋為安”，開(kāi)始考慮出售 corp.com，要價(jià) 170 萬(wàn)美元。對(duì)于這種商務(wù)范十足的絕版域名而言，這個(gè)價(jià)格相當(dāng)實(shí)惠。不過(guò)，即使有人想買(mǎi)，恐怕也“拿不住”。相反，那些在網(wǎng)絡(luò)犯罪集團(tuán)或國(guó)家黑客組織中工作的人都想得到 corp.com，有了它，網(wǎng)絡(luò)不法分子相當(dāng)于得到“魔戒”。

奧康納一直都希望微軟可以購(gòu)買(mǎi) corp.com 域名，因?yàn)橛袛?shù)十萬(wàn)臺(tái)不明身份的 Windows PC 一直試圖與 corp.com 分享敏感數(shù)據(jù)。同時(shí)，Windows 的早期版本慫恿用戶(hù)對(duì)不安全設(shè)置的采用，讓 Windows 電腦更可能試圖和 corp.com 分享敏感數(shù)據(jù)。

魔鬼域名：corp.com

這個(gè)問(wèn)題被稱(chēng)為 namespace collision。一旦發(fā)生這種情況，原來(lái)只打算在公司內(nèi)網(wǎng)中使用的域名最后與外部互聯(lián)網(wǎng)中正常解析的域名發(fā)生重疊，因此公司內(nèi)數(shù)據(jù)會(huì)流向外網(wǎng)。

一直以來(lái)，Windows 系統(tǒng)都以一種特殊方式處理本地網(wǎng)絡(luò)上的域名解析。公司內(nèi)網(wǎng)中的 Windows 計(jì)算機(jī)使用 Active Directory(活動(dòng)目錄)來(lái)驗(yàn)證該網(wǎng)絡(luò)上的其他內(nèi)容。據(jù)悉，Active Directory 服務(wù)是 Windows 平臺(tái)的核心組件，它存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息。各個(gè)對(duì)象彼此查找要借助一個(gè)名為 DNS name devolution 的 Windows 功能，這種網(wǎng)絡(luò)速記方法能輕松查找其他計(jì)算機(jī)或服務(wù)器，而無(wú)需為這些資源指定完整的合法域名。

比如，有家公司運(yùn)行一個(gè)名為 internalnetwork.example.com 的內(nèi)部網(wǎng)絡(luò)，而這個(gè)網(wǎng)絡(luò)上的員工想訪(fǎng)問(wèn)一個(gè)名為“drive 1”的共享驅(qū)動(dòng)器。他不用費(fèi)勁地鍵入“drive1.internalnetwork.example.com”來(lái)進(jìn)入資源管理器，只需鍵入“\drive1\”，Windows 會(huì)負(fù)責(zé)剩余的工作。

不過(guò)，如果內(nèi)部 Windows 域無(wú)法映射回企業(yè)實(shí)際擁有和控制的二級(jí)域名，事情就會(huì)變得很糟糕。因?yàn)?，支?Active Directory 的 Windows 早期版本，比如 Windows Server 2000，默認(rèn)或示例 Active Directory 路徑被指定為“Corp”。并且，很多公司采用這種設(shè)置，卻沒(méi)有修改成自己公司的二級(jí)域名。后來(lái)，這些公司在這種錯(cuò)誤的環(huán)境下建立或整合了龐大企業(yè)網(wǎng)絡(luò)，這讓問(wèn)題變得更嚴(yán)重，錯(cuò)上加錯(cuò)。

二三十年前，員工不可能帶著笨重的電腦到處轉(zhuǎn)悠。但是，在移動(dòng)辦公時(shí)代，輕薄筆記本層出不窮，這個(gè)安全問(wèn)題也隨之被放大。假設(shè)那些配置 Active Directory、默認(rèn)網(wǎng)絡(luò)路徑為 Corp 的公司員工將工作用的筆記本電腦帶到星巴克，那會(huì)發(fā)生什么?

或許，員工筆記本電腦上的某些資源依舊會(huì)嘗試訪(fǎng)問(wèn)公司內(nèi)網(wǎng)上的 Corp 域名，但由于 Windows 系統(tǒng)的 DNS name devolution 功能，電腦會(huì)通過(guò)星巴克無(wú)線(xiàn)網(wǎng)絡(luò)連接，去互聯(lián)網(wǎng)上的“corp.com”去尋找相同資源。

這意味著，corp.com 域名的控制者能“被動(dòng)攔截”來(lái)自數(shù)十萬(wàn)臺(tái)計(jì)算機(jī)的私人通信。

嚇出一身冷汗

在 2 月份的一篇報(bào)道中，KrebsOnSecurity 披露了一些測(cè)試信息。作為一名安全專(zhuān)家，杰夫·施密特(Jeff Schmidt)對(duì) DNS 名稱(chēng)空間沖突進(jìn)行過(guò)長(zhǎng)期研究。

在對(duì) 2019 年流向 Corp.com 的企業(yè)內(nèi)部流量進(jìn)行的八個(gè)月分析中，施密特發(fā)現(xiàn)有超過(guò) 375，000 臺(tái) Windows PC 正在嘗試發(fā)送信息，包括嘗試登錄公司內(nèi)網(wǎng)以及訪(fǎng)問(wèn)網(wǎng)絡(luò)上的特定共享文件。

這個(gè)測(cè)試結(jié)果驚出施密特“一身冷汗”。

“這太可怕了。我們?cè)?15 分鐘后就中斷了實(shí)驗(yàn)，并銷(xiāo)毀了數(shù)據(jù)?！彼硎?。

多年以來(lái)，微軟已經(jīng)發(fā)布數(shù)個(gè)軟件更新，來(lái)幫助減少名稱(chēng)空間沖突的可能性。但是，專(zhuān)家表示幾乎沒(méi)有任何易受攻擊的企業(yè)會(huì)聽(tīng)從微軟建議，部署這些修復(fù)程序。主要有兩個(gè)原因：一是企業(yè)這樣做，需要在一段時(shí)間內(nèi)關(guān)閉其整個(gè) Active Directory 網(wǎng)絡(luò);二是根據(jù)微軟的說(shuō)法，補(bǔ)丁可能會(huì)破壞或拖慢企業(yè)日常運(yùn)行所依賴(lài)的許多應(yīng)用程序。

KrebsOnSecurity 博主指出：微軟買(mǎi)下 corp.com 這個(gè)域名，這為那些將 Active Directory 構(gòu)建于“corp”或“corp.com”之上的公司提供了安全保障。事實(shí)上，任何公司如果將其內(nèi)部 Active Directory 網(wǎng)絡(luò)與不受控的域名“綁在一起”，最終都會(huì)讓自己陷入安全噩夢(mèng)中。

在筆者看來(lái)，微軟之舉不僅讓廣大 Windows 用戶(hù)松了一口氣，而且還消除了網(wǎng)絡(luò)犯罪分子或黑客利用該域名實(shí)施攻擊的可能性。

參考鏈接：

https：//krebsonsecurity.com/2020/04/microsoft-buys-corp-com-so-bad-guys-cant/

本文來(lái)自于微信公眾號(hào)InfoQ（ID：infoqchina）