新型冠狀病毒全球疫情中的域名濫用與防治作為

「嚴重特殊傳染性肺炎」(COVID-19)疫情持續延燒全球,不只我們習慣的日常生活已全面改觀,各行各業也都連帶受到影響,ICANN(Internet Corporation for Assigned Names and Numbers)當然也無法自外於這場撼動世界的病毒大流行。不僅多場實體活動因疫情取消或改為線上舉行,身為全球網域名稱系統(Domain Name System,DNS)的管理者,ICANN不僅持續密切監控COVID-19對DNS的影響,也不時透過網路說明會、部落格文章等,持續向社群分享ICANN的相關工作和研究結果。

「從技術角度探討COVID-19與DNS」網路座談會

今(2020)年4月9日舉辦的「從技術角度探討COVID-19與DNS」網路座談會中,ICANN技術長辦公室(Office of Chief Technology Officer,OCTO)的研究副主任Matt Larson向社群分享OCTO針對疫情期間,ICANN轄下根伺服器(ICANN Managed Root Server,IMRS)經手訊務的觀測變化,並根據現有資料及分析結果,提出「整體而言,COVID-19疫情對DNS的影響可見但並不顯著」的階段性結論。

OCTO的安全、穩定及靈活性(Security, Stability and Resiliency,SSR)負責人John Crain也在說明會中,分享疫情期間的DNS濫用情形。Crain強調,疫情期間的常見DNS濫用手法無異於過往,仍集中於詐騙郵件、惡意軟體及竊取個資等。唯一不同的,是犯人開始廣泛使用COVID-19相關的誘餌,例如過去利用「忘記密碼」詐騙個資的電子郵件,現在可能會變成「填寫資料登記購買COVID-19防護設備」以誘人上鉤。

Crain也提醒,雖然近期出現大量「COVID-19相關域名註冊量暴漲」等媒體報導,人們也可能因此推斷COVID-19將大幅惡化域名濫用,但實情並非如此。事實上,很多COVID-19相關域名是由正當的機關、團體註冊後合理使用,也有當局為防範域名濫用,而搶先防衛性註冊域名的案例。

其中當然不乏投機搶註,甚至是惡意濫用的例子,但業者及網路安全社群也早已集結行動,聯手反制疫情期間趁火打劫的域名濫用情形。例如ICANN受理註冊機構團體發布的《COVID-19受理註冊機構應對守則》,提供各種解決方案及資源,協助受理註冊機構共同防制COVID-19的域名濫用情形。

另一方面,全球各地的網路安全專家、研究學者等也自發串連組成COVID-19網路威脅連線(COVID-19 Cyber Threat Coalition,CTC)和COVID-19網路威脅情報聯盟(COVID-19 Cyber Threat Intelligence League,CTI League),期在疫情蔓延之際,盡一己之力,共同維護網路世界的安全。

針對DNS濫用的全方案因應對策

ICANN也特別發表長篇部落格文章,向社群說明ICANN針對DNS濫用的全方位因應對策。包括負責確保註冊管理機構、受理註冊機構遵守合約的ICANN履約部門,提供專業的技術長辦公室(OCTO),以及協調、支援合約方的全球域名部門(Global Domain Division,GDD),都是ICANN防制DNS濫用規劃中的重要角色。

部落格文中強調,目前上述所有部門都將處理COVID-19相關事件列為第一優先。文中也分別詳盡解釋各單位的主要工作,節錄如下:

  • 技術長辦公室(OCTO)

OCTO的SSR團隊建立了一套專門識別 COVID-19疫情相關域名濫用行為的系統。系統會搜尋所有類似或含有coronavirus、covid、pandemic、ncov字詞的域名,並比對多個高信譽安全威脅資料庫,確認域名是否被用於惡意用途。一旦確認域名濫用行為屬實,ICANN會將蒐集到的域名資料傳給負責單位,要求後者採取行動。本系統仍在測試階段,團隊也積極與社群成員交流合作,務求未來系統準確率高且符合使用者需求。

如上所述,OCTO成員也分別加入上文提及的COVID-19網路威脅連線(CTC)和COVID-19網路威脅情報聯盟(CTI League),即時通報並分享COVID-19相關安全威脅情報。

  • ICANN履約部門

ICANN履約部門的主要責任是執行合約,包括註冊管理機構協議及受理註冊機構協議(Registry-Registrar Agreement,RRA)。履約部門也與OCTO密切合作,辨識並找出惡意域名背後的合約方。除了利用稽核資料評估註冊管理機構、受理註冊機構是否遵守DNS安全威脅義務,履約部門也會利用OCTO提供的資料,主動聯絡轄下惡意域名比例過高的合約方,要求對方儘速處理。

履約部門也鼓勵全球使用者,若發現任何COVID-19相關的域名濫用行為,應立即通報該域名所屬的註冊管理機構與受理註冊機構。若對方未即時回應或不積極處理,也可向ICANN履約部門投訴。

  • ICANN全球域名部門(GDD)

GDD負責維繫ICANN與gTLD註冊管理機構、ICANN認證受理註冊機構的商業關係,並提供服務、支援對方履行合約義務。也因此,在防治DNS安全威脅中,GDD的主要任務是擔任聯繫管道,負責協調並疏通合約方、ICANN ORG,以及ICANN社群的交流。

GDD密切關注COVID-19相關域名濫用情形,以及對域名產業的影響。GDD最近也特地發布指南,要求受理註冊機構在疫情期間,採取必要措施,保護因疫情無法及時更新域名註冊的註冊人。

DNS安全協調技術研究小組

域名安全威脅的影響層面從來不僅限於網路世界中的單一組織或個人。新類型的域名攻擊,如海龜行動(Sea Turtle hijacking)、DNSpionage等層出不窮,為了對抗攻擊、維護網路安全,更進步、更即時的跨社群協作也益發重要。

有鑑於此,ICANN在與社群合作之下,成立了「DNS安全協調技術研究小組」(Domain Name System Security Facilitation Initiative Technical Study Group)。本小組的任務,是探討ICANN應該做些什麼,以加強與DNS生態中多方利害關係團體的協作與交流,並進一步改善DNS的安全。

本小組將由ICANN安全及穩定諮詢委員會( Security & Stability Advisory Committee,SSAC)駐董事會聯絡人Merike Käo擔任召集人。小組成員將透過邀請,由來自包括緊急回報協調、DNS安全、大範圍DNS營運、網路架構設計、DNS政策規劃等各安全領域的頂尖專業人才參與。

結語

在這個COVID-19全球大流行的時代,網路儼然成為許多坐困愁城者的救命索。不論是遠距會議、線上教學、網路購物和宅配,從工作、求學,到日常必需品,我們仰賴網路的程度前所未見。

雖然維繫安全、穩定及全球通用的網際網路一直是ICANN的首要使命,但在眾人高度憑藉網路維繫基本日常生活的現在,ICANN的角色更顯關鍵。ICANN自今年4月開始頻繁舉辦網路說明會、發布各式各樣部落格文章,或許也是想確保組成ICANN的金三角:ORG、董事會、社群,得以持續對話、交流,為維護全球網際網路貢獻一己之力。

 

Photo created by freepik & freepik

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll to Top