从几个迹象判断,百度被黑事件属于海外民间黑客的个人行为。从动机上看,“恶搞”的可能性大于商业谋利。
本报记者 辛苑薇 徐志强 北京报道
1月12日晨7∶40,北京网民王浩(化名)一如平常地打开百度,却发现这个网站已无法访问,点击首页打开的是“雅虎的错误提示”或带有某国国旗的页面,在此页面上有一句话,显示该站点已经被上述国家的“cyber army”攻击。
百度是王浩每日必登录以搜集信息的常用网站。由于使用频繁,王浩甚至将百度设成了首页。百度的网页突然不能正常打开,让王浩顿时不知所措。
在新浪微博(t.sina.com.cn)上,“百度被黑”的话题登榜不足一天,就追上了上榜数周的“阿凡达”。除北京的用户外,辽宁、江苏、四川、安徽等多个省份的网友在围脖上贴出帖子,表示自己登录百度首页无法打开,或者打开后跳转到一个英文雅虎页面。
百度公司此时已是忙成一团。“公司技术人员正在抓紧解决这一问题。”12日上午,百度方面告诉记者,“我们接到无数人致电询问相关情况。”
这是百度历史上遭受的最严重、持续时间最长的攻击。截至当天11∶10分前后,北京用户才可以登录baidu.com页面。用户无法登录时间长达两个多小时。
过去10年,除2006年9月12日遭受一次短暂的黑客攻击外,百度的服务基本处于安全状态。这家国内顶尖的高科技公司此次遇袭,使更多互联网公司丧失了安全感。
“DNS服务器(Domain Name System)在创立之初就带有技术缺陷。”趋势科技产品营销经理郑弘卿12日说,在世界级别的安全大会上,技术专家多次提出要加强DNS服务的安全性。
谁干的?
百度被黑一小时后,百度官方对外公布信息:“由于www.baidu.com在美国域名注册商处的域名解析被非法篡改,导致不能正常访问。百度有关部门正在积极处理此事。”
本报记者查阅专业域名查询网站who.is,显示的结果是,百度在美国的域名注册商为REGISTER.COM, INC。创建日期为1999年10月11日,到期日为2014年10月11日。按照百度官方解释,纰漏环节即出现在REGISTER.COM, INC上。这是一家大型域名提供商。
“黑客是通过登录域名提供商网站,修改百度信息的方式达到目的。”百度方面12日下午告诉记者,“但我们也不知道,百度为什么被黑。”
百度在公开声明中称:“不法分子并没有攻击百度的服务器,而是选取美国域名注册商为攻击对象,这一现象值得我们警惕。”
微软安全服务提供商知道创宇创始人赵伟认为,通过技术途径,一般难以查询到黑客的真实信息。但从几个迹象判断,百度被黑事件属于海外民间黑客的个人行为。
“虽然页面上出现声称此站点已被某国的cyber army攻击的字样,但由该国政府所为的可能性很小。”赵伟说,“政府不大可能针对大型网站做出这样影响恶劣的愚蠢行为。”
绝大部分老牌黑客的行为基本都与商业目的挂钩,转而攻击电子商务、杀毒等网站,不会仅破坏网页的首页。据了解,在百度首页被黑时,若通过IP地址输入,依然能获取正常服务。
据知名域名经纪人和尊米网的创办人王权峰介绍,域名被劫持是互联网上经常发生的情况。在之前互联网安全度较低的几年里,流量大的网站往往成为被劫持的对象,而被劫持后跳转的网页多指向“劫匪”的广告页面或者其希望被关注的网站,有时一个小时的劫持就能为“绑匪”带来数以万计的广告流量。
“如果这次百度劫持涉及到商业利益,作案者的量刑估计会比较严重,”王权峰表示,“但由于这次百度被劫持转向的网页是“XX数字剧团”以及“无法显示”页面,不排除更多是恶搞或其他原因。
王权峰也提出了自己的疑惑——如果是百度在美国的域名注册商出现问题,除了部分响应慢的地区,作为主干网的北京和广州应该会出现同样的结果,但上午时分广州以及美国加州地区却仍可以正常访问百度网页,所以,问题也可能出现在北京地区提供域名解析的运营商处。
两小时的利益失血
百度方面12日晚间表示:“截至目前,用户对百度的访问在大部分国家和地区已经恢复正常。预计很快全球网民都能通过www.baidu.com正常访问百度。”
但被黑的两个多小时,已成为利益流失的巨大黑洞。而以Google.cn为首的其它搜索引擎则获益。以文学网站对搜索引擎流量的依赖性做为例子,据互联网数据统计公司CNZZ披露的数据,通过谷歌相关的搜索产品输出给这类站点的访客量提升幅度平均可以达到35%左右。
在本次域名劫持事件中,一些平时对百度输出的访客非常依赖的站点受到很大冲击,一家在百度投放了竞价广告的生活时尚用品站点的负责人12日上午通过电话向CNZZ表示,当天早晨数小时之中网站的访问量图标几近于“零流量”。
一位搜索关键字代理商说,由于关键字是以点击付费,这段时间内用户发生的点击会受到影响,但广告客户的费用不会被浪费,除非某些按照事件出现的展示类广告,“最直接的是,百度在这个时间段内会减少部分收入”。
百度官方迄今尚未公布损失的程度。对于百度是否将就损失提起诉讼,百度方面称“目前尚并不清楚”。
同样还是个谜的是此次“劫匪”的作案动机,。
随着互联网全球受众人群飞速增长,黑客们也在发生变化,与早期黑客以炫耀隐蔽 技术为荣不同,现在的很多网络攻击都带有着政治目的和诉求,大张旗鼓成为其制造声音的手段,“劫持知名度高网站的DNS域名被认为是一个效果很好的方式”。
对此,域名专家沈阳认为,这次百度劫持事件暴露了知名公司对安全性的掉以轻心。“尽管百度已经注册了cn、com以及net多个域名,但是它仍然是使用.com为主的单独域名解析,如果百度提前做好多个域名的独立解析,这次事件本可避免。”
沈阳12日上午调取了域名Baidu.com的数据库(Whois),发现其域名解析服务器 (DNS Servers)在使用Yahoo公司的两台服务器。这与有网友早上访问时跳转到yahoo网页以及声称是某国黑客相吻合。
沈阳又进一步访问属于百度(上海)公司所有的Baidu.net,以及域名 baidu.cn和baidu.com.cn,它们的数据库(Whois)显示正常,但是访问却都没有成功,“这似乎暗示百度并没有对这三个重要域名做解析。”
“百度此前仅仅启用一个baidu.com域名,对于baidu.cn主域名则冷藏不用,导致一旦baidu.com遭到攻击时,baidu.cn在紧要关头无法启用,谷歌在这方面做得比较全面,连g.cn也启用了。”沈阳说。
王权峰也认为,多个域名分别独立解析能降低风险,在某域名受到攻击或者故障时,可及时启动其他域名。
DNS服务器之患
就在百度被黑前不久,2009年12月18日,美国大型社交网站Twitter也遭遇黑客攻击,访问者被重新定向到一个被篡改的页面上。攻击者自称是某国的“网络部队”,并在页面上写下了一些反美言论。
这两起黑客事件具有一定的相似性。百度和Twitter都是聚集大量人气的热门网站,关注度非常高。一旦被黑,都引起网民和舆论的高度关注。两者被黑情景也如出一辙,都声称是某国黑客所为。
“从域名攻击的难度来看,大型网站和中小网站没有太大区别。黑客主要通过攻击域名提供商的方式来进行,与互联网公司没有直接关系。” 趋势科技产品营销经理郑弘卿表示,“但是大型网站流量庞大,受关注度高,容易遭受黑客侵袭,也属于常理范畴。”
金山毒霸技术总监陈勇说,域名管理不在百度掌控范围内,遭受攻击后,百度除了与域名提供商增进沟通,加强监控,提高反应速度之外,“能做的或许只是更换域名提供商。”
目前难点在于,无论哪家域名提供商都无法保证域名服务体系的绝对安全。IP地址信息不太好记忆,所以网络中出现了域名。企业的域名是通过DNS服务器解析,即告知访问者,您的网站处于哪个IP主机上,以实现正常服务。DNS服务器即由域名注册服务商提供。
DNS服务器实现是一种跳转功能,占用资源小,因此,往往一台DNS服务器对应众多域名地址。这使得黑客只要攻击了DNS服务器,就可以将对应的解析地址任意指向黑客所指定的网站。”
道高一尺魔高一丈,“现在域名管理想做到百分之百的安全,还是不太可能。”赵伟说,“事件爆发后,域名提供商只能通过修补漏洞的方式,避免该事件再发生。”
“从目前的技术手段看,域名注册服务商的服务在近几年改善很大,但他们与黑客还是处在不断博弈的过程。”万网前副总裁马文佳说,“互联网用户需要和域名服务提供商加强合作,共同克服此难题。”
百度12日稍晚的时候通过官方声明中呼吁DNS厂商“加强网络安全方面的建设”,并表示自己“愿意积极配合”。