美國互聯網保安專家發現,互聯網設計存在一個根本性缺陷,黑客可以利用這個漏洞,控製互聯網信息的流動,把用戶轉接到假網站,盜取密碼等資料。
互聯網出現這樣嚴重的缺陷,是極壞的消息,幸好,至今並未發現相關的行騙案件,而各大軟件與硬件商多個月來,已悄悄合作研究出補救方法,並在周二召開記者會發表“補丁”(patch)軟件。保安專家希望這些補丁範圍夠廣,使得黑客無法進行反向利用。
電腦係統管理人
有一個月時間下載補丁
電腦係統管理人有一個月時間來下載這些來自微軟、太陽微係統和紅帽等公司的補丁,有關方麵下個月將在拉斯維加斯的黑帽安全研討會上,公布缺陷的細節。
無意間發現這一個缺陷的IOActive Inc公司係統研究員唐·卡明斯基(Dan Kaminsky)說:“能發現此缺陷實在太幸運了,因為這是個設計漏洞,在所有網絡都存在,所以修補也是針對設計而進行,沒有直接指明改進了哪裏。”
黑帽會議發起人莫斯說:“唐的發現對整個互聯網的穩定極為重要。”他說,要是他把這一個重大發現出售,肯定能賺得大筆金錢。
Securosis公司分析師莫古爾在媒體電話會議上說:“問題十分嚴峻,涉及到整個域名框架如何運行。如果不修複這一漏洞,互聯網仍將存在,但已不再是你想要的互聯網了,因為黑客將控製一切。”
這個在於網絡域名係統(Domain Name System)中的漏洞,讓襲擊者可以控製所有網絡使用者,不管用戶輸入什麽網址,黑客都可以將他們轉至偽造的銀行或信用卡等公司頁麵,騙取銀行賬號、密碼及其他信息。
卡明斯基在六個月前發現這一個前所未見的域名係統安全漏洞,並且立即聯係微軟、太陽和思科等行業巨頭合作製定解決方案。他說:“人們應該擔心這個問題。但不必恐慌。”
卡明斯基特別設立了網頁
www.doxpara.com
用戶可以上網查看自己的電腦有沒有域名係統缺陷。
新加坡微軟:用戶不必太擔憂
吳漢鈞●報道
針對互聯網設計上出現根本性的保安缺陷,新加坡微軟說,隻要視窗更新(Windows Update)保持在自動狀態,視窗應該就會自動下載補丁和更新這個漏洞,用戶不必過於擔憂。
至於沒有設置自動更新的用戶,新加坡微軟平台策略經理哈德曼勸請他們盡快下載補丁。
微軟前天在網站公布這項互聯網技術問題,並在新加坡時間昨天早上向本地視窗用戶發出補丁。哈德曼暫時無法確知有多少用戶下載了補丁。
會受這個保安問題影響的微軟操作係統,主要是視窗2000、視窗XP和視窗Server 2003。微軟最新的操作係統視窗Vista則不受影響,因為它較早前發布的視窗Vista補丁包(Service Pack 1)已修正這個保安問題。補丁包是微軟發布的產品更新的集成,包含係統穩定性、安全及其他方麵的更新。
哈德曼受訪時說,這個保安缺漏可能讓電腦黑客有機可乘。比方說,即使用戶鍵入所要瀏覽的銀行網址,黑客可以透過這個漏洞把用戶騙到虛假或冒充的網站,從而套取用戶的個人資料如銀行戶頭號碼、密碼等。
他強調,這不是微軟的問題,而是互聯網技術上的缺漏。無論如何,他勸請用戶設置操作係統處於自動更新狀態,讓係統及時下載最新的補丁。
防毒軟件公司賽門鐵克(Symantec)係統工程經理黃文慶受訪時說,無論是公司服務器或家用電腦,上網時都會用到域名服務器,除非用戶可以記得與每個網址相對應的IP地址。
即使用戶安裝了補丁,也應該維持良好的電腦使用習慣,以防黑客有機可乘。用戶應安裝具防病毒、反惡意軟件、防火牆、反入侵、反釣魚(anti-phishing)功能的互聯網保安軟件,同時確保操作係統和防毒軟件及時更新。
用戶也應該提高安全意識,避免安裝和使用文件分享(file sharing)的程序、免費軟件、共享軟件(shareware)等,因為它們可能在用戶不知情情況下安裝惡意代碼(malicious code)。