专栏首页FreeBuf集齐7把钥匙,掌控全球互联网DNS

集齐7把钥匙,掌控全球互联网DNS

很少有人知道,庞大的互联网系统背后隐藏着一个神秘的组织,这个神秘组织的成员是来自世界各地的网络安全专家,他们手中的钥匙可以组合成控制DNS系统的主钥匙,可以影响整个互联网的运作。如今卫报记者詹姆斯·波尔(James Ball)就有机会加入这些钥匙持有者,近距离观摩一次安保程度极高的神秘仪式。

这是一处平凡无奇的工业园区,位于洛杉矶西南郊,离洛杉矶国际机场仅有一两英里的车程,而有20个人正等在一个没有窗户的餐厅里,等着一个特定仪式的召开。外面是二月鲜有的温暖阳光,而在室内,则只有卤素灯泡放射出的幽暗灯光。

餐厅里的男男女女一边吃着披萨喝着苏打水,一边用各种不同的语言交流——大部分是美式英语,但还是可以听到瑞典语、俄语、西班牙语和葡萄牙语。而在角落里,一台街机响着轻轻的音乐散发出各种闪光。

这种场景或许在很多办公室里也能看到,但室内的这些人必须要经历异常严苛的安检过程,这样的流程一般都用于保护核弹发射密码或者总统级别的高管访问。这听起来像是科幻小说或者是汤姆-克鲁斯主演的间谍电影,但这却发生在当下。这里的人来自世界各地,他们每个人都拥有一枚钥匙,把这些钥匙拼在一起就会组成一把主钥匙,就可以控制网络核心的中安安全措施。这些钥匙持有者的能力也引发了不少猜测:他们的钥匙能关闭整个互联网吗?或者如果有人关闭互联网,他们能够用钥匙重启互联网吗?

钥匙持有者的职责

从2010年开始,这些钥匙持有者每年进行四次会面,两次在美国东海岸,两次在美国西海岸。这些钥匙持有者来自世界各地,是一群被精心选出的网络安全专家。他们都有着很长的互联网安全工作背景,都曾为不同的互联网机构工作过。选择他们不仅因为他们经验丰富,也因为他们来自不同的国家——任何一个国家都不允许拥有过多的钥匙。他们集会的旅行之处要么是自己承担,要么由他们的雇主来承担。

这些人控制的是整个互联网的核心系统:域名解析系统(简称DNS)。这好比是互联网版本的电话簿——每个网站都与一系列的数字一一对应,而那串数字被称为IP地址。没有域名,用户就需要输入一长串的数字才能访问网站。例如用户要访问卫报网站,就必须输入"77.91.251.10"而不是theguardian.com。

每个钥匙持有者都拥有一把金属钥匙 用于打开放有智能卡的保险箱

这把主钥匙的出现也是为了让域名系统和互联网更加安全。每次这些钥匙持有者会面,他们都会验证DNS系统的每一次接入是否是真实的。这也是避免虚假网站域名的扩散,这些网站可能会让用户登录一些恶意网站,从而侵入用户的电脑或者盗取他们的信用卡信息。

钥匙持有者的人数

东海岸和西海岸的聚会每次都会有7名钥匙持有者参加,此外还有7名世界各地的专家拥有备用权限。如果有灾难性的意外发生,他们可以用这权限来重新构建这个系统。这14位钥匙持有者都拥有一把金属钥匙,可以打开一个保险箱,而保险箱内则放着一张智能卡。这张智能卡可以激活一台机器,创造出一枚新的主钥匙。后备钥匙持有者则有些不一样,他们拥有的智能卡含有一些密码残片,拥有建立一台替换用的钥匙生成机器。每年,这些钥匙持有者都需要与一张当天的报纸以及他们的钥匙合影,然后将这张照片发送给DNS的管理机构:互联网名称与数字地址分配机构(简称ICANN),以确切一切都顺利。

集会的严密安保程序

和国家政府或者一些互联网公司相比,ICANN在保证互联网安全方面起着更大的作用。不过时至今日,这个有些过分被夸大的仪式可以在ICANN网站上直播看到,以证明该机构对于所要承担的责任有多严肃。

要进入集会所在的餐厅,你需要通过一道有着个人身份号码、智能卡和手部识别三重保障的大门。之后你进入一个被称为“捕人陷阱”的隔间,这里你还需要通过一道同样有着三重保障的大门才能进入休息室。

带领卫报记者进入集会地点的是瑞克·兰姆(Rick Lamb),兰姆曾经是美国国务院高管,现在则是ICANN的资深项目经理。他的责任是推动一个更新的互联网安全系统。现在如果一枚主要是丢失或者被偷,后果将会是灾难性的:有些用户会收到安全警告,有些网络则会出现问题。一旦更新更安全的系统构建完毕(预计在未来三到五年内完成),问题就会小得多。每个服务器依然还在那里,不会出现连锁反应。

钥匙持有者如何被选出

钥匙持有者的选举过程很低调。在ICANN网站上登出了一则广告,最终21个职位仅仅收获了40份申请。最初21人的20人目前都还在任,仅有一人进行了更替:被称为互联网之父的温特·瑟夫(Vint Cerf)已经70多岁,他目前被谷歌聘请为顾问。

钥匙持有者中的一位来自俄罗斯,名叫迪米特里·布克夫(Dmitry Burkov),他是多家互联网民间组织的成员,也是一位著名的安全专家。而另一位钥匙持有者,来自瑞典的安妮·玛丽·埃克伦德·罗文德(Anne Marie Eklund Lowinder)很早就来到这里打扫卫生,等候其他成员到来。此外还有来自葡萄牙的若昂·达马斯(João Damas),美国的爱德华·刘易斯(Edward Lewis),乌拉圭的卡洛斯·马丁内斯(Carlos Martinez)等等,都是著名的网络安全专家。

在集会地点等候的共有16男4女,除了钥匙持有者之外,还有一些见证人。这些见证人中既有安全专家,也有行外人,甚至还有来自普华永道的审计师。

之后进行的整个仪式非常复杂,有兴趣的同学可以上卫报网站查看现场视频。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-03-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 海莲花组织针对中国APT攻击的最新样本分析

    安天CERT(安全研究与应急处理中心)在2018年12月至今,捕获多例针对中国用户的恶意宏文档攻击样本。这些恶意文档通过在模糊的文字背景上伪装出杀毒软件的安全检...

    FB客服
  • apple ID可绕过安全提示问题直接修改密码漏洞

    利用前提:知道受害者的apple id及其注册时的出生日期 利用步骤: 第一步:登录https://iforgot.apple.com/iForgot/iFor...

    FB客服
  • GitHub Desktop在OSX系统下的RCE漏洞

    2018年,我有幸受邀参加了HackerOne在赌城拉斯维加斯举办的,赏金超过50万美金的H1-702黑客马拉松大赛。本次大赛的测试目标包括GitHub,对我个...

    FB客服
  • 干货 | 想成为真正的数据科学家,除了资历你还需要这4个技能

    科技评论按:「数据科学家」可谓是从「大数据」和「机器学习」双双开始普及之后催生的热门职位之一了,许多接触或者学习了机器学习的学生和程序员都期待自己能够成为数据科...

    AI科技评论
  • day63-Django基础-部分常用的模板语言(补充)

    少年包青菜
  • react中使用jsonp调用百度天气API,高德API

    用户4344670
  • 快速高效调试移动端前端代码

    通常,前端调试输出一些日志信息可以使用alert或者console, 当然在Desktop机器上很容易,很多浏览器都支持,如果是在手机上,可能比较麻烦,怎么得到...

    技术小黑屋
  • R 语言中的汇总统计:如何批量计算不同因素不同水平的平均值

    有很多初学者遇到的问题,写出来,更好的自我总结,正所谓:“学然后知不足,教然后知困”。以输出(写博客)倒逼输入(学习),被动学习, kill time,是一个不...

    邓飞
  • Name Disambiguation in AMiner-Clustering, Maintenance, and Human in the Loop

    Name Disambiguation in AMiner: Clustering, Maintenance, and Human in the Loop

    超然
  • 机器学习面试之有必要手推SVM吗?

    01 单刀直入,先回答有必要吗? 最近和许多朋友交流,发现当前机器学习应聘时,手推SVM这道题已经越来越像快速排序一样,成为必点菜了。 那么,手推SVM是不是必...

    用户1332428

扫码关注云+社区

领取腾讯云代金券