2011年4月21日星期四

Skype登录证书被劫持(二)

昨天有网友在我以前的一篇叫“Skype登录证书被劫持”的文章后留言,说他发现了一样的问题:
1. 上Skype.com正常(国际站,美国IP),没有被引导到Tom Skype。
2. 点击“Login”后,自动转至https,提示证书属于www.bb-in.com;
3. 用这个证书的登录页面IP为:114.255.209.142
我怀疑是钓鱼。
TA提到的这个IP让我产生了兴趣,因为以前没有注意过IP。我whois 114.255.209.142得到如下结果:

这个注册人提供的地址是“qianmendongdajie9hao”,用Google搜索了下“前门东大街9号”,这是北京市公安局的地址。再看开头的netname“BJSGAJWLAQBWC-GOV”,应该是“北京市公安局网络安全保卫处”的意思,确实有这么个部门。

 为啥Skype登录页面https://login.skype.com的IP是上面这个部门的呢?应当不是Skype配合当局在服务器上做的定向,而正是上面网友所说的钓鱼。

我现在不翻墙,通过默认的DNS服务器来看login.skype.com的记录:
$ dig login.skype.com

; <<>> DiG 9.7.1-P2 <<>> login.skype.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23362
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;login.skype.com.        IN    A

;; ANSWER SECTION:
login.skype.com.    213    IN    A    114.255.209.142

;; Query time: 4 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Apr 21 14:53:46 2011
;; MSG SIZE  rcvd: 49
得到的正是北京市公安局的那个地址。而我登录到VPS上,再做同样的操作:
$ dig login.skype.com

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.6.amzn1 <<>> login.skype.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12968
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;login.skype.com.        IN    A

;; ANSWER SECTION:
login.skype.com.    300    IN    CNAME    login.skype-apps.akadns.net.
login.skype-apps.akadns.net. 300 IN    A    193.95.154.30

;; Query time: 45 msec
;; SERVER: 172.16.0.23#53(172.16.0.23)
;; WHEN: Thu Apr 21 14:56:12 2011
;; MSG SIZE  rcvd: 90
这样是没有被篡改的结果。login.skype.com是CNAME到login.skype-apps.akadns.net的一个别名,这个意思是说login.skype.com的正宗名(Canonical NAME)是login.skype-apps.akadns.net,而这个域名实际指向193.95.154.30这个IP地址。这样是很常见的做法,让CNAME所在主机提供一个类似CDN(Content Delivery Network)的服务,根据用户的IP地址提供不同的服务器IP地址。我在VPN连接下,login.skype.com就分别出现过爱尔兰、卢森堡和爱沙尼亚的IP地址(根据Firefox的Flagfox插件的显示)。

上面作DNS查询我没有在自己电脑上用8.8.8.8查询,这样查询的结果也已经被污染了:
$ dig @8.8.8.8 login.skype.com

; <<>> DiG 9.7.1-P2 <<>> @8.8.8.8 login.skype.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45598
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: Messages has 1 extra bytes at end

;; QUESTION SECTION:
;login.skype.com.        IN    A

;; ANSWER SECTION:
login.skype.com.    213    IN    A    114.255.209.142

;; Query time: 10 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Apr 21 15:10:21 2011
;; MSG SIZE  rcvd: 50
上面的DNS查询,有时候也会得到正确的结果,但具体规律难以得知。

114.255.209.142这个IP我也遇到了:

特殊的IP地址

我这里如果不用SSH Tunnel或者VPN的话,skype.com还是被定向到skype.tom.com。劫持后的证书我在“加入Skype”页面再次发现了,截图如下:
Firefox的安全警告
来路不明的证书
感谢这个网友提供了这枚特殊的IP地址,让我发现了新问题。建议在网页登录过Skype的,通过安全的连接修改一下密码,也希望大家以后在用Skype的时候,提高警惕,Skype的问题比Twitter,Facebook被封的还要严重。