Самое горячее: Европа признала соцсети опасными (50); "Фобос-Грунт" уже не спасти (11); Мобильники убивают детей (26); ЕЩЕ >>
РАЗДЕЛЫ
Архив
« июнь 2020  
пн вт ср чт пт сб вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

Андрей Колесников: "Кнопка отключения Интернета - это моветон"

18 октября Технический центр Интернет подписал доменную зону .SU ключом DNSSEC - этот протокол гарантирует целостность запроса от пользователя к узлу DNS и достоверность ответа от узла. В следующем году ТЦИ планирует приступить к подписанию корневых национальных доменов .РФ и .RU. Поскольку идея эта вызвала неоднозначные комментарии, "Вебпланета" задала несколько вопросов Андрею Колесникову, директору Координационного центра национального домена.

- Мы много слышали про то, что введение DNSSEC "увеличит безопасность". Но хотелось бы конкретных примеров, какие именно проблемы решает введение этого протокола? Вот хорошо бы пройтись по громким новостям этого года и сказать, каких из них не случились бы, если бы все были подписаны на новый протокол:

"Comodo Secure DNS вёл россиян на фишинговые сайты"
""Иранские хакеры" подделали SSL-сертификаты"
"Хакеры подменяют сайты Google, Yahoo и Mozilla через поддельные SSL-сертификаты"
"Турецкие хакеры дефейснули The Register и The Daily Telegraph"

- Вот эта последняя новость хоть как-то похожа. Но все равно не то. Хакнули сервер регистратора путем SQL-инъекции (судя по комментариям). Заменили адрес NS-серверов для некоторых доменов. Оно расползлось по доменной зоне. Это, товарищи, лом. Против него прием только один. Ломом по голове системщика, который допустил дырку в защите сервера. Остальные новости к внедрению протокола DNSSEC отношения также не имеют. Они про SSL-сертификаты, которыми подписывается цепочка "сервер сайта - браузер клиента" (https).

Классика жанра, как пример нарушения целостности данных и "отравление кэша" DNS-серверов - это "атака Каминского".

- Какова на данный момент география внедрения DNSSEC? Какие страны отказывается внедрять этот протокол? Что думают про это китайцы? Что думают иранцы?

- Вот карта внедрения DNSSEC:
https://labs.ripe.net/Members/wnagele/dnssec-deployment-today

Китай сообщил, что планирует подписывать доменную зону. Что думают иранцы по этому поводу, не знаю, новости с той стороны достаточно редкие.

- А будет ли вообще работать эта защитная мера, если ее внедрят не все страны? Каков сценарий дальнейшего существования в "полубезопасном Интернете"? Несогласных пометят красными флажками?

- Насчет флажков это вряд ли. DNS будет работать и без DNSSEC, не сломается.

Я к проекту DNSSEC отношусь со смешанным чувством. С одной стороны, это шаг направлен на действительное повышение доверия между частями инфраструктуры. С другой стороны, это недешевая процедура и небыстрая. Как тут не заподозрить воротил - поставщиков решений для сетевой инфраструктуры - они точно потирают руки.

Однако наш Технический центр подписывает зону собственными силами и использует полностью адаптированные решения, которые не ставят наши национальные домены в зависимость от поставщиков.

- Почему внедрение DNSSEC в Рунете началось с зоны SU? Она более опасная? Или ее просто выбрали для теста, потому что не жалко?

- По информации от Технического центра, зону SU выбрали исключительно из-за размера. Этот корневой домен на порядок меньше зоны РФ.

До подписания специалисты ТЦИ целый год тестировали различные варианты подписания корневой зоны SU. После подписания ничего не сломалось и не затормозило. Сегодня ТЦИ выпустил новую версию EPP-клиента с поддержкой DNSSEC, так что можно переходить с подписанием зоны на уровень регистраторов.

- В 2009 году после съезда ICANN в Мехико было много шума на тему того, что Россия не приемлет идею DNSSEC, когда требуется "сдать все ключи" от российских доменных зон в ICANN, да еще под контролем Министерства Внутренней Безопасности США. Ведь по сути, американцы получают "кнопку отключения Интернета". Заявления на эту тему делал и министр связи Игорь Щеголев, и представитель совета КЦ Дмитрий Бурков. Но прошло два года, и DNSSEC все-таки вводится у нас. Как же это произошло? Мы "сдали границу"?

- Я например шумел по причине сложности проекта и изначально предполагал заговор вендоров. Про ключи и границу это конечно абсурд. Озабоченность Дмитрия Буркова мне понятна, однако его роль как крипто-офицера (см. ниже) наверное позволяет в какой-то мере снять эту его озабоченность. Игорь Олегович, как человек разбирающийся в иерархии адресного пространства Интернета и понимающий механизмы управления этим пространством, в том числе скрытые, выступал с вполне конкретными инициативами и комментариями относительно принципов построения системы управления.

Трудно спорить с тем, что влияние США в целом на интернет-отрасль в мире очень сильно. Прежде всего в бизнесе, разработке стандартов и лоббирования их продвижения по всему миру. Но если сравнивать ситуацию в ретроспективе, то она меняется. Текущая ситуация с ростом числа пользователей и объема интернет услуг в России позволяет надеяться на рост влияния России по крайней мере в Европе.

Радует, что наше профильное Министерство, а также МИД стали неотъемлемой частью процессов обсуждений интернет-будущего и его регуляций. А пресловутая "кнопка" стала настолько моветоном, что даже шутить на эту тему перестали. Говорить об этом - все равно что играть "Лестницу в небо" в магазине электрогитар.

- Несколько лет назад один из зарубежных борцов за копирайт сказал на анти-пиратском съезде: "Детское порно - это прекрасно! Сначала мы научим их блокировать детское порно, а потом и весь файлообмен". Не получится ли, что технология DNSSEC станет аналогичным рычагом "многоцелевого использования"? США в последнее время активно взялись за пиратские сайты (именно через отключение доменов) и не раз высказывались о том, что хотят делать это и с зарубежными сайтами...

- Заявления сумасшедших фриков я оставлю без комментариев. С торрентами тоже не просто - домены для торрентов не нужны в принципе. Только для сайтов публикации ссылок на личеров и сидеров. Но это можно делать где угодно. Отдельный домен не нужен. Ситуация с torrents.ru это великолепно продемонстрировала.

Что касается блокирования, то DNSSEC делает доверительными отношения по цепочке от корня, к корневому домену, до регистратуры, до регистратора, к провайдеру DNS и до клиента. В такой схеме любое вмешательство со стороны технического оператора функции IANA по требованию властей США (правообладателей, политиков, Президента, полиции и тд) и отключение любого странового домена, находящегося вне юрисдикции США будет актом интернет - самоубийства и началом конца феномена ICANN. Тем более, что пользы в этом и смысла нет никакого. Блокировка контента путем снятия делегирования DNS-методами - это абсолютно топорный метод, которые
борется со следствием, а не с причиной.

- Возможно ли появление другой международной организации типа ICANN, которая будет более независима от США и возьмет на себя управление адресами Интернета? Ну и соответственно, альтернативные протоколы безопасности, не столь завязанные на Америку? Кажется, в 2009 году на съезде в Мехико российская делегация предлагала какой-то альтернативный вариант системы безопасности?

- Нужно вспомнить, что ICANN это американская некоммерческая корпорация зарегистрированная в штате Калифорния. Главная функция этой корпорации - чтобы интернет-адресация работала. Мандата на управление глобальным Интернетом (в части законодательства, регулирования контента, построения межправительственных отношений, интернет бизнесе, фильтрации, итд.) у ICANN не было, нет и не будет. Адресное пространство это весьма узкая тема.

И конечно у ICANN может быть преемник. Схема очень простая. Кто-то, кто придет на смену, должен сделать лучше и обеспечить безболезненный транзит без катастрофических сбоев Интернета. Сейчас такая схема маловероятна. Но в Интернете нет вечных авторитетов и нет слова "нет".

- В СМИ было много противоречивых страшилок про загадочную процедуру генерации Key Signing Key и последующей раздачи частей ключа пяти доверенным лицам. Правильно ли мы понимаем, что сценарий заимствован из фильма "Пятый элемент"? Будет ли среди доверенных лиц рыжая девушка из России, как было в кино? Или туда берут только агентов американских спецслужб?

- Дмитрий Бурков, который упоминался выше - один из "избранных". Знаю Дмитрия много лет, на русскую разведчицу с рыжими волосами он не тянет. Скорее на заслуженного и умудренного опытом крипто-офицера, который наблюдает процесс подписи корневой зоны Интернета воочию и следит, чтобы не жульничали.

Хотя не очень понимаю - где там можно жульничать. Это скорее обряд инициации ICANN, показывающий их истинную международную суть, чем техническая необходимость. Представители собраны с разных континентов и стран.

Однако у Дмитрия есть брелок с куском кода. И собравшись все вместе, крипто-офицеры смогут восстановить исходный код, и тогда Земля не падет под пятой разумных кошачих вирусов с Юпитера.

Другие интервью

Последние комментарии
об издании | тур по сайту | подписки и RSS | вопросы и ответы | размещение рекламы | наши контакты | алфавитный указатель

Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.

хостинг от .masterhost