今年以来,全国人大《数据安全法》出台、国务院发布《关键信息基础设施安全保护条例》、工信部公布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》等,都充分表明了在数字化转型中统筹安全和发展,以数据安全(特别是核心数据安全)为先,充分体现了国家坚定不移地维护主权、安全、发展利益的战略思维、战略决心和战略自信。
经过半个多世纪的发展演进,因特网(Internet,下同)成为全球数以万计的自治或非自治网络(AS Networks)互联所形成的网络,其承载的数字化业务和应用的具体表现形式,是互通的网络化(Networked)数据。
虽然因特网的互联和互通已有30多年的历史,仍在不断地演变和发展。因特网的管理,最初仅仅是少数专业计算机工程师的专长,标准化似乎只是一个技术性和协调性的问题。如今,对互联网络的治理,已经成为全球性争论的焦点和探讨的热点,甚至被作为是地缘政治和地缘战略的支点之一。
其中最为显著的标的,是因特网的域名系统(DNS)。我们在之前发表的《域名系统DNS安全的正本清源》文章中,以叙事方式分析了DNS从来就是“固有政治”的技术,以及DNS的一个直观且简单的转型是:DNS从被作为因特网的“电话簿”(文件系统),演变为互联网络的“中枢”(指挥和控制系统)和“制高点”(定位和重定向的导航系统)。同时,DNS还被利用作为搭载恶意勒索软件、承载钓鱼邮件入侵、实载域名放大攻击等威胁及危害网络信息安全的手段和工具。
必须指出的是,因特网DNS的转型和演变,是基于互联网络数字化的发展以及满足业务和应用的需求,而并不止于对漏洞的补丁、不限于对骚扰的处置,且不纠缠于“你有我也有”的无序竞争。
保障国家数据(特别是核心数据)安全,首要的是数据治理和风险管理。当且仅当“辨症施治”,方能“对症下药”。DNS安全(以及诸如域名安全、邮件安全、网站安全、内容分发网络CDN安全等)技术,应该且必须是服务于、服从于治理和管理。没有任何一项技术能够单独地有效应对数据安全所面临的动态挑战;否则,难以避免“头痛医头、脚痛医脚”,误入歧途(或满足于“马甲”式的包装)。
一、DNS的变异与新的安全威胁
微软公司在2021年10月2日发布“2021年数字化防御报告”(Digital Defense Report),10月5日发布了Windows 11。据统计,微软的操作系统全球市场占有率超过77%,电子邮件系统(MS Exchange)的全球市场(用户端)占有率超过78%。
显然,微软掌握了大量的第一手数据和信息,鉴于此,“2021年数字化防御报告”值得参考。其中指出:区块链域名和DNS是逃避监管的新兴安全威胁。
1)DNS的变异
不同于正常域名的注册和管理,“区块链域名”不受任何集中式域名注册机构(如ICANN)的约束,规避了对域名滥用的监管以及逃避执法的查封。
在过去的两年中,区块链技术的应用在许多垂直业务领域快速发展。在实际应用中区块链技术涵盖了供应链管理、身份识别管理、域名体系架构等。但是,已观察到“区块链域名”被集成到网信罪犯(Cyber Criminals)的基础结构和运行操作中。
例如,在调查Necurs僵尸网络时发现,“区块链域名”被大规模地运用。Necurs僵尸网络多年来一直在全球范围内主导着网络恐怖活动,不仅发送恶意的垃圾邮件,而且通常承载恶意勒索软件。Necurs有一个强大的“另类”(alternative)系统,包含一组“域名生成算法”(DGA);其中的一个DGA,大约每30天从43个不同的顶级域名(TLD)生成2,048个新域名,其中包括区块链顶级域名“.bit”。
在一般情况下,“区块链域名”是通过加密数字货币向区块链DNS提供商购买和交易。加密数字货币(钱包)使用非对称密码,其中涉及区块链交易密码的私钥和公钥。完成交易后,域名和关联的IP地址以及交易的哈希值被记录到区块链中。进而,拥有数字货币钱包和密码私钥并进行购买域名初始交易的人,是唯一可以更改区块链上的IP地址记录的实体。
“区块链域名”的不同应用方式,对安全监管和执法都带来了挑战。一方面,“区块链域名”通过恶意软件和浏览器的插件或递归域名解析服务的代理得以应用。另一方面,网信罪犯在“区块链域名”方面所面临的问题,是从区块链上获取更新的IP地址,并将区块链域名映射解析为新的IP地址。由于区块链域名是在非正常的DNS模式下运作,恶意软件的制作者就不得不使被感染的受害者执行附加的域名解析指令;这些指令通常是被嵌入在恶意软件中,通过篡改被感染受害者的系统设置,以指向区块链的代理域名解析服务器的IP地址。
多年来,在互联网上出现几个自发项目,提供不受监管的免费DNS并支持区块链域名的解析服务。其中,创建于2000年6月1日的Open Nic项目,作为“互联网域名与数字地址分配机构”(ICANN)管理的DNS网络的一个“另类”方案,主要侧重于支持去中心化的顶级域(例如“.null”等);其声称,该项目是以“DNS中立并提供不受监管的DNS访问”为使命,运行并承担了解析另类顶级域名“.bit”的加密域名服务。但是,由于“.bit”域名被广泛地滥用,2019年6月25日,Open Nic项目决定停止对“.bit”域名的解析服务。
2)源于区块链域名的重大威胁
网信罪犯的安全威胁格局在不断变化,以避免恶意行为被发现和被阻止。在过去的一年里,互联网上一些较突出的安全威胁者们,已经开始利用区块链域名作为其基础结构的一部分。“Trickbot”是金融行业中臭名昭著的一种“木马”,其不法获利模式已经演变到恶意勒索软件领域,利用由Emercoin区块链DNS提供的“.bazar”域名,对高价值目标入侵和勒索。
2020年4月发现的恶意软件“Bazarloader”与“Trickbot”,不仅存在关联关系,而且都是利用“.bazar”域名以及使用定制版本的“域名生成算法”(DGA)。
调查区块链域名存在一个特有的挑战,由于没有集中的“WHOIS”域名注册数据库,使得无法跟踪是谁注册了域名以及注册时间。幸运的是,一些区块链DNS提供商(如Emercoin)提供了对区块链浏览工具的访问,借助于这些工具搜索域名、交易哈希值和其他可能存储在区块链中的有用信息。虽然Emercoin区块链是非实名(Pseudo Anonymous),但是可以显示有关区块链域名的一些关联信息,例如IP地址和交易日期。
3)应对区块链域名的一般性方法
由于区块链域名可以被用来建立难以监控和审查的网站,并简化加密数字货币的支付,同时在一定程度上提供了匿名性,正越来越多地被网信罪犯利用。这种利用区块链域名作为基础结构的安全威胁趋势,以及所发现网络罪犯的无可辩驳证据,必须得到重视。
区块链域名的弱点,是需要第三方的代理服务或浏览器插件,以将区块链域名解析为IP地址。阻止或拦截区块链的代理解析服务以及禁用浏览器插件,将使区块链域名的解析能力失效。许多安全威胁情报提供恶意URL摘要,其中有时包括区块链域名的解析代理或区块链域名本身。
二、区块链DNS的态势与趋势
近年来,随着区块链技术的发展,出现了新的价值交换方式,特别是标记化(tokenization)、加密资产(数字化钱包)和去中心化的应用程序(简称dAPPs),以及Web 3.0,或价值化互联网(Internet of Value)。
数字化钱包和去中心化的应用程序,使用难以被第三方破解的标识符;例如,数字化钱包地址的标识是:
“0x483add28edbd9f83fb5db0289c7ed48c83f55982”。
可以想象,在一个通用的域名解析系统中,能够将这种类型的地址与域名相关联,可能对未来的网络应用具有实用意义;或是在域名后面直接配置一个加密资产的钱包(wallet),或添加一个去中心化的应用程序(dAPP),这对某些企业及其品牌的数字标识也会很有用。
根据查询美国专利和商标局(USPTO)的数据库,目前已授权的有关区块链域名和区块链DNS的专利申请,共366份。
1)区块链简介
“区块链”(Blockchain)是一种数据结构,分布在一个去中心化的网络上;数据被复制在网络的每个节点上,而没有集中式的授权;每个人都有可能阅读内容,添加数据,甚至加入网络。这个概念在2009年由“比特币”首次实现,但今天有许多不同的区块链技术,且各有各的特点。
【图1数据区块链的简化示意】
简单地说,数据是通过交易被输入区块链,交易被分组为区块,然后每个区块由网络验证后,被汇集到一起。因此,区块链包含了自其创建以来进行的所有交易历史。
网络的验证规则被作为是区块链的协议,在网络中的每个成员都必须遵守该协议。为确保网络验证规则的执行,区块链协议以“共识算法”(consensus algorithms)为基础,其中广为人知的是“工作量证明”(Proof of Work)。这些算法保证了区块链上数据的完整性、不变性和安全性。
2)区块链DNS简介
区块链技术可以满足DNS的基本需求,包括:
●可用性(Availability):一个分散式(去中心化)、对等(Peer-to-Peer)的网络不能被阻止(或查封),而且可以取代或补充“任播”(Anycast)技术的基础架构。
●一致性(Integrity):区块链的“共识协议”在本质上保证了数据的一致性,而且输入区块链的数据无法被修改。这些属性将不再需要“DNS安全扩展”(DNSSEC)及其更新(翻转)公钥的形式。
●保密性(Confidentiality):读取区块链数据的请求可以被封装在HTTPS通道中,如同DNS-over-HTTPS(简称DoH)协议一样。但是,目前支持DoH的域名解析服务器尚未普及,因此DoH的域名解析数据流量仅集中在有限数量的参与者。区块链提供查询网络上任何节点的可能性,改变了集中式域名解析的模式以及缓解了单点故障(SPF)的风险。
因此,DNS区块文件(Zone Files)中包含的数据(即域名配置),可以被分布在区块链上。每个参与者(包括:域名注册管理机构、域名注册服务商)都可以直接与该区块链交互以管理域名。这就是区块链DNS(简称BDNS)的基本概念和设想。
3)区块链DNS的一般状态
目前,有一些区块链DNS项目正在开发中,每个项目都有各自的实施方案。
一些应用程序提出了对顶级域名(TLD)的新扩展(被称为是“另类”顶级域名),例如“.bit”、“.zil”、“.crypto”、“eth”等。其中,有代表性的是Namecoin(2011-4开始经营)和Unstoppable Domains(2019-11开始运营)。这些系统完全独立于传统的DNS和ICANN;域名注册由用户直接管理,域名解析一般可以通过扩展浏览器完成。例如,Opera浏览器(1995-4发布)已经集成了对这些域名的解析。
还有一些区块链项目提出了DNS的补充解决方案。例如,以太坊域名服务(简称ENS),在区块链上提供了一个与传统DNS集成的域名系统。如果域名的持有人可以通过DNSSEC的验证,就可以在区块链域名服务中注册相同的域名,这使得域名服务可以结合传统DNS和区块链DNS的优势。
“另类”顶级域名“.kred”、“.xyz”和“.luxe”已经被集成在以太坊域名服务(ENS)的区块链DNS服务中,并建议和计划为所有DNSSEC兼容的顶级域名提供区块链DNS服务。这个计划看似颇具前景,为此,以太坊域名服务最近加入了“DNS运行,分析和研究中心”(简称DNS-OARC,非营利组织,成立于2003年,为DNS的运行和安全做出了显著贡献)。
【图2区块链DNS的主要“玩家”(部分)】
区块链DNS是潜在的DNS重大演变;基于区块链技术,将可能带来一些优势和新功能,这将有利于“去中心化”网络的发展。
尽管目前有许多项目和“概念证明”(PoC)正在开发中,但是不仅业内对此仍然没有达成一致,而且相关技术和应用程序还不够成熟,无法大规模使用,需要在可扩展性、安全性和可用性方面进行改进。
三、观点归纳
尽管目前区块链域名和区块链DNS并没有形成规模性效应(或仅是应用于某些垂直行业的有限范围),但是微软在“数字化防御报告”中,强调DNS的变异及其所产生的新兴安全威胁。不能不说,微软的这个认定,也代表了美国政府对数据安全监管和治理以及机构组织(如ICANN)对域名领域集中管理的观点。事实上,“另类”顶级域名(如“.bit”,“.xyz”等)的应用能否被“正常化”,区块链DNS能否发挥其“常规化”优势和新功能,在很大程度上取决于国家和政府以及机构和组织的态度,也是安全与发展的统筹与权衡;其中包括:区块链DNS技术的研发尚不成熟,以及必须防范被网信罪犯和入侵攻击所利用。
作为一个实例,区块链DNS仅是对已显现出“衰老”的传统DNS的挑战之一。虽然Open Nic主张的“另类”域名和去中心化DNS的“项目”已经营了21年(且在研发的技术和应用上确实有些“亮点”),但至今仍然还只是一个进行中的“项目”(Project)。
综上,参考观点归纳如下:
1)鉴于因特网的历史及其应用的规模,以及显著滞后的管理水平和能力,在数字化转型的过程中,统筹及主导(和支配)安全和发展的必然是问题导向,问题是实践和创新的起点。
2)应该重新认识并感知,当前的“价值化互联网”(Internet of Value)与传统的“增值电信业务”在本质上的差别和区别,以指导和引导前所未有的网信空间态势与发展新格局。
3)必须充分意识并践行,因特网以及网络互联互通业务、应用和服务的保障,即是数据安全,亦是信息通信技术(ICT)的供应链安全;因而,不存在(也不可能有)“独门绝器”。例如,区块链DNS的应用,还需要(包括恶意)第三方的代理域名服务和浏览器插件的支持。
因此,国家核心数据安全的首要问题是治理,包括自上而下的思维方式和思考方法,以及“知彼知己”与“从善如流”的治理与管理之措施和流程、监测和评估、完善和提高。
网络化数据的安全治理是个“纲”,纲举目张。
(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任。)
