В интернете впервые меняетcя главный ключ безопасности DNS
Сбои возможны, но их число должно быть невелико
В 19.00 московского времени Корпорация по управлению доменными именами и IP-адресами (ICANN) впервые в истории интернета начала обновление криптографических ключей корневой зоны системы доменных имен интернета (Domain Name System, DNS).
Мероприятие было давно запланировано — смена ключа должна была произойти еще 11 октября 2017 г., ICANN отложила это событие на год, чтобы избежать массовых проблем у пользователей. В конце августа 2018 г. корпорация предупредила, что небольшой процент интернет-пользователей все же может испытать трудности после обновления — а именно, не найдут нужный сайт, если будут вводить привычное буквенное название сайта (например, vedomosti.ru).
DNS – одна из базовых технологий интернета. Пользователь вводит нужное ему имя сайта буквами, в то время как адресация в интернете основана на числовых IP-адресах. Итоговый IP-адрес нужного ресурса пользователю выдает цепочка DNS-серверов. Фактически это база данных с указателями на DNS-серверы доменов верхнего уровня (например, «.ru»). Те, в свою очередь, содержат указатели на DNS-серверы доменов следующего уровня. Так по цепочке запрос пользователя добирается до конечного DNS-сервера, которому известен IP-адрес конкретного ресурса.
Чтобы гарантировать пользователю, что он переходит именно на тот сайт, который искал, и нужны криптографические ключи, которыми подписываются данные различных DNS-зон (например, в корневой зоне это информация обо всех доменах верхнего уровня: .ru, .com и т. д.). Полученные цифровые подписи затем проверяются на подлинность при запросе к DNS-серверу, рассказывает глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова. В силу иерархической структуры DNS-серверов должен существовать главный ключ корневой зоны, которым и подписываются все остальные промежуточные ключи. Но у любых криптографических ключей есть срок жизни — включая и первичный ключ, — и их нужно время от времени менять.
Подпись защищает от того, что злоумышленник подменяет ответ DNS и уводит пользователя на свой сайт, поясняет директор Координационного центра доменов .RU/.РФ Андрей Воробьев.
Такая атака называется «отравление» кэша DNS-сервера, и позволяет перенаправить запрос на домен с таким же названием, как тот, к которому обращается пользователь, но это будет домен злоумышленника, рассказывает антивирусный эксперт «Лаборатории Касперского» Алексей Маланов. Такая защита особенно актуальна для банков (хотя они используют не только ее) или, например, для ресурсов с криптокошельками, которые также хотят гарантировать пользователям сохранность их данных, отмечает Маланов.
После обновления корневого ключа передача DNS-запросов с подписью старого корневого ключа окажется невозможна, объясняет Куликова. Часть сетевого оборудования провайдеров способна автоматически обновить ключ, часть — нет. Поэтому в зоне риска те операторы, кто либо некорректно настроил автоматические обновления, либо с ошибкой настроил вручную, либо полностью пропустил это событие в принципе.
Изначально планировалось обновить ключ в октябре 2017 г., но летом 2017 г. стало понятно, что не все провайдеры успевают, рассказывает Куликова. Смена была отложена, чтобы лучше изучить проблему и минимизировать процент пострадавших. Но не все провайдеры проверяют подлинность подписей DNS-данных — по подсчетам ICANN, лишь 400 млн пользователей по всему миру получают доступ в интернет таким образом. Но сейчас ICANN ожидает, что большинство крупных операторов должны быть давно готовы к процедуре и с проблемами столкнутся не более 0,05% из таких пользователей, резюмирует Куликова. Таким образом, их может быть не более 200 000, подсчитали «Ведомости»).
В четверг, 11 октября, ICANN начала подписание новым ключом, после чего в течение 48 часов будет оценивать результаты обновления.
Впрочем, есть и другой риск, считает Маланов: мошенники могут воспользоваться ажиотажем вокруг обновления ключей, рассылая сообщения с предупреждениями, что пользователям нужно пройти на тот или иной ресурс и обновить «ключи» самостоятельно. Для технически неподкованных пользователей это может стать хорошей приманкой, в результате они рискуют поделиться с мошенниками чувствительными данными, предупреждает эксперт.