DNS漏洞更易威胁小型ISP用户的安全

    近期，随着业界对DNS漏洞的不断披露，有迹象显示中小型互联网服务供应商(ISP)用户可能会面临在线欺诈安全风险。

　　起初，DNS漏洞是被IOActive研究员Dan Kaminsky于今年一月发现的。而后在沉寂了近半年之久，也就是在上个月初，在发布了安全补丁之后，各大安全厂商包括ISC(Internet Systems Consortium )、思科、Debain和微软公司才正式对DNS漏洞予以披露。

　　Kaminsky 提醒美国计算机应急准备小组(US-CERT)和多个供应商注意防范DNS漏洞所带来的风险，而他们也确实意识到这种风险所带来的严重后果，并表示期待漏洞早日能够得到修复。

　　据悉，这个安全漏洞可能导致“钓鱼”诈骗攻击。如果某家互联网服务供应商(ISP)没有安装相应漏洞补丁程序，则黑客们可针对使用该ISP服务的普通网民发起“网络钓鱼”(phishing)攻击，并把人们引诱到假冒的银行和信用卡公司等商业网页，欺骗人们泄漏自己的账户号码、口令和其它信息。黑客还能够利用这个安全漏洞把用户引导到他要用户访问的网页，无论用户在网络浏览器上输入什么地址。

　　一些大型ISP，诸如澳洲电信， Optus(新加坡电信旗下子公司)，Internode(澳大利亚宽带运营商)和iiNet(澳大利亚领先的互联网服务提供商)都表示已经对DNS服务器安装了补丁。不过，有消息人士指出，尽管众多安全机构再三叮嘱要及时修复该漏洞，但是还是有不少DNS管理员并没有真正修复这一漏洞。

　　iiNet网络工程师Mark Newton 说，由于那些小的互联网服务供应商(ISP)需要投入大量的工作来保障DNS服务器的正常运行，因而他们在修补DNS漏洞方面可能会比较滞后。另外，他们为了降低成本还缺乏独立分隔开的DNS服务器，所有的数据运行都整合在一台服务器当中，更容易遭受巨大风险。