Интернет запрут американским ключом
В июле корпорация ICANN выпустила неприметный документ, в котором сообщила о скором внедрении DNSSEC на корневых серверах. Эта новость прошла в Рунете практически незамеченной. Стремление обезопасить систему DNS, по сути, уже породило еще одну «красную кнопку», которая окажется в руках США. Российский доменный рынок по-разному реагирует на предстоящее внедрение DNSSEC: одни смотрят на происходящее с равнодушным фатализмом, другие – со смутным беспокойством. Дополнительные «ключи от Интернета» постепенно становятся реальностью.
Взгляд в корень
Защищенный DNS – безусловное благо как для пользователя, так и для сайтовладельца. Система, разработанная Полом Мокапетрисом (Paul Mockapetris) в начале восьмидесятых годов, в последнее время все чаще демонстрирует свою уязвимость. Попыткой изменить ситуацию в лучшую сторону стал DNSSEC, представляющий собор набор спецификаций для безопасного функционирования системы. Защищенная версия протокола позволяет гарантировать, что сведения о DNS не были изменены в процессе передачи. Достигается это использованием цифровой подписи, при этом сами записи хранятся по-прежнему в открытом виде, проверяется лишь их целостность. DNSSEC обеспечивает обратную совместимость, что позволяет внедрять его опционально - там, где это необходимо.
Стремление ICANN подписать корневые сервера DNS кажется вполне оправданным. В пояснении к документу говорится о свежих уязвимостях системы, исправлением которых заняты специалисты. Сообщается, что для корневых серверов они не представляют серьезной опасности, однако угрожают DNS-серверам организаций и провайдеров. Внедрение DNSSEC способно несколько снизить угрозу фишинга, поскольку затруднит незаметное перенаправление пользователей на фальшивые сайты.
В ICANN честно признают, что такая защита корневых серверов не является панацеей от любых интернет-напастей. Более того, существуют и вполне разумные опасения: например, увеличение времени отклика, дополнительные затраты ресурсов, появление у Сети очередной «ахиллесовой пяты». Однако преимущества все-таки способны перетянуть чашу весов на свою сторону. С середины 2007 года регистратуры национальных доменов (ccTLD) и доменов общего пользования (gTLD) начали внедрять технологию у себя, а от ICANN требуют подписать корневые сервера «как можно скорее».
Мы, нижеподписавшиеся
Совершенно добровольно «ключами» к доменам обзавелись сразу несколько стран: Швеция (.SE), Бразилия (.BR), Болгария (.BG), Пуэрто-Рико (.PR). Внедрением DNSSEC занялась и организация PIR, отвечающая за поддержку .ORG. В будущем защищеный DNS начнут поддерживать также Великобритания (.UK) и Чехия (.CZ), будут подписаны и сервера «правительственного» домена США .GOV. Относиться к внедрению DNSSEC нужно «как к должному», - не сомневается Андрей Воробьев, руководитель Департамента по связям с общественностью компании RU-CENTER. «Конечно, внедрять необходимо, - соглашается Дмитрий Денискин, гендиректор «ВЕБДРАЙВА». - К сожалению, многие начинают понимать это только столкнувшись с утечкой данных или фишингом. Даже в нашей индустрии это видно, хотя, казалось бы, уж регистраторы должны уделять безопасности и защите данных особое внимание». Беглый анализ сайтов отечественных регистраторов из ТОР5 показал, что трое из них передают данные из формы заказа доменов по HTTP (а не HTTPS). Эта информация может быть перехвачена сниффером.
В RU-CENTER убеждены, что использовать DNSSEC рано или поздно придется и национальному домену RU. Вот только в числе пионеров он вряд ли окажется, российской регистратуре пока не до этого. Дмитрий Денискин полагает, что защищенный DNS в зоне RU в течение ближайшего года не появится.
Независимая ключница под флагом США
Основные опасения вокруг DNSSEC связывают с личностью «хранителя ключей». Разработчики технологии изначально предполагали, что эту роль возьмет на себя какая-нибудь международная организация или банк. Корпорация ICANN, которая в последнее время старается избавиться от имиджа узурпатора «всея Интернета», пытается примерить функции «ключницы» на себя. В июльском документе говорится, что такое решение потребует дополнительной визы Департамента торговли, но за ее получением – можно догадаться – дело не станет.
«На сегодня формальным хранителем ключей является ICANN, а Министерство Внутренней Безопасности США имеет к ним беспрепятственный специальный доступ, - изложил свои опасения Алексей Созонов, директор «Регтайма». - Ключи от DNSSEC, по определению его создателя, являются ключами от «королевства Интернет», и владеть ими - примерно то же самое, что владеть «красной кнопкой» от всего Интернета». Он напомнил о недавнем грузинском отключении зоны .RU, которое можно считать неплохим примером демонстрации аналогичной власти. Андрей Воробьев считает разговоры о потенциальной опасности DNSSEC «больше паранойей», однако «подотчетность ICANN Правительству США «напрягает», особенно с учетом последних событий на Кавказе».
«А есть ли здесь какой-то выбор? – интересуется Дмитрий Денискин («ВЕБДРАЙВ»). - Я думаю, выбора тут нет, а параноики вполне могут построить собственный интернет, как это сделал Китай».
- 28.08.2008 в 17:33
- 7 голосов
- одобрить
- утопить
- 0 комментариев
на своём сайте!