保安建議：加強 DNS 基建保安

Talos [1] 及 FireEye [2] 分別於 2018 年底及 2019 年初發佈持續發生的域名伺服器（DNS）劫持攻擊的警告。有見及此，美國的 Cybersecurity and Infrastructure Security Agency (CISA) 發出緊急指令 [3]，要求所有美國政府機關必須執行相關措施加強 DNS 基建的保護。

雖然該指令針對美國政府機關發出，但當中提及的措施其實都是各機構保護 DNS 基建免受不同攻擊的基本守則。DNS 的作用就像一個「翻譯器」，把一般人看得懂的域名轉換為伺服器 IP 地址。因此對於機構或用戶來說，DNS 的保安為互聯網保安中關鍵一環。若能劫持 DNS 就可偽冒機構身份、截取 HTTP 通訊或造成其他影響。

以下為 CISA 提出加強 DNS 基建的保安措施 [4]：

• 驗證 DNS 記錄以確保能正確進行解析。此舉能幫助發現任何 DNS 正被劫持的活動。
• 更新 DNS 帳戶密碼。此舉可阻礙未經授權人員存取帳戶。
• 為管理 DNS 記錄的帳戶加設多重驗證措施，當受攻擊時，可阻截並凍結帳戶存取。
• 監測數碼證書透明度（Certificate Transparency）日誌。如有人試圖偽冒機構或窺探用戶，透過此舉則較易被發現。

另外你亦可參照 .hk 域名註冊機構 HKIRC 的建議加強 DNS 保安 [5]：

• 定期更改及使用高強度密碼以保護網域管理帳戶。若你的註冊商提供雙重認證，應啟用它。
• 更改註冊商資料庫中網域名記錄時，啟用電郵或短信通知功能。請勿使用上述同一個域名的電郵地址用作警報通知用途，以避免此類警報遭截獲。
• 在你的網絡供應商及註冊商協助下，於網域啟用 DNSSEC。DNSSEC 能確保網域的 IP 地址是從可信的來源解析出來。
• 定期監測數碼證書透明度（Certificate Transparency）日誌以發現於數碼證書發證機構（CA）未經授權、可疑或惡意註冊你的域名。

HKIRC 亦提供 .hk LOCK 服務（https://www.hkirc.hk/content.jsp?id=296），當改變 .hk 域名設定時，會加入額外的認證措施。若你持有非 .hk 域名，亦可向註冊商查詢有否提供類似服務。

參考

[1] https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
[2] https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html
[3] https://cyber.dhs.gov/ed/19-01/
[4] https://cyber.dhs.gov/blog/#why-cisa-issued-our-first-emergency-directive
[5] https://www.cybersechub.hk/en/post/170