РАЗДЕЛЫ
Архив
|
Андрей Колесников: "Кнопка отключения Интернета - это моветон"≡ Безопасность | интервью | 25.11.2011 01:20 18 октября Технический центр Интернет подписал доменную зону .SU ключом DNSSEC - этот протокол гарантирует целостность запроса от пользователя к узлу DNS и достоверность ответа от узла. В следующем году ТЦИ планирует приступить к подписанию корневых национальных доменов .РФ и .RU. Поскольку идея эта вызвала неоднозначные комментарии, "Вебпланета" задала несколько вопросов Андрею Колесникову, директору Координационного центра национального домена. - Мы много слышали про то, что введение DNSSEC "увеличит безопасность". Но хотелось бы конкретных примеров, какие именно проблемы решает введение этого протокола? Вот хорошо бы пройтись по громким новостям этого года и сказать, каких из них не случились бы, если бы все были подписаны на новый протокол: "Comodo Secure DNS вёл россиян на фишинговые сайты" - Вот эта последняя новость хоть как-то похожа. Но все равно не то. Хакнули сервер регистратора путем SQL-инъекции (судя по комментариям). Заменили адрес NS-серверов для некоторых доменов. Оно расползлось по доменной зоне. Это, товарищи, лом. Против него прием только один. Ломом по голове системщика, который допустил дырку в защите сервера. Остальные новости к внедрению протокола DNSSEC отношения также не имеют. Они про SSL-сертификаты, которыми подписывается цепочка "сервер сайта - браузер клиента" (https). Классика жанра, как пример нарушения целостности данных и "отравление кэша" DNS-серверов - это "атака Каминского". - Какова на данный момент география внедрения DNSSEC? Какие страны отказывается внедрять этот протокол? Что думают про это китайцы? Что думают иранцы? - Вот карта внедрения DNSSEC: Китай сообщил, что планирует подписывать доменную зону. Что думают иранцы по этому поводу, не знаю, новости с той стороны достаточно редкие. - А будет ли вообще работать эта защитная мера, если ее внедрят не все страны? Каков сценарий дальнейшего существования в "полубезопасном Интернете"? Несогласных пометят красными флажками? - Насчет флажков это вряд ли. DNS будет работать и без DNSSEC, не сломается. Я к проекту DNSSEC отношусь со смешанным чувством. С одной стороны, это шаг направлен на действительное повышение доверия между частями инфраструктуры. С другой стороны, это недешевая процедура и небыстрая. Как тут не заподозрить воротил - поставщиков решений для сетевой инфраструктуры - они точно потирают руки. Однако наш Технический центр подписывает зону собственными силами и использует полностью адаптированные решения, которые не ставят наши национальные домены в зависимость от поставщиков. - Почему внедрение DNSSEC в Рунете началось с зоны SU? Она более опасная? Или ее просто выбрали для теста, потому что не жалко? - По информации от Технического центра, зону SU выбрали исключительно из-за размера. Этот корневой домен на порядок меньше зоны РФ. До подписания специалисты ТЦИ целый год тестировали различные варианты подписания корневой зоны SU. После подписания ничего не сломалось и не затормозило. Сегодня ТЦИ выпустил новую версию EPP-клиента с поддержкой DNSSEC, так что можно переходить с подписанием зоны на уровень регистраторов. - В 2009 году после съезда ICANN в Мехико было много шума на тему того, что Россия не приемлет идею DNSSEC, когда требуется "сдать все ключи" от российских доменных зон в ICANN, да еще под контролем Министерства Внутренней Безопасности США. Ведь по сути, американцы получают "кнопку отключения Интернета". Заявления на эту тему делал и министр связи Игорь Щеголев, и представитель совета КЦ Дмитрий Бурков. Но прошло два года, и DNSSEC все-таки вводится у нас. Как же это произошло? Мы "сдали границу"? - Я например шумел по причине сложности проекта и изначально предполагал заговор вендоров. Про ключи и границу это конечно абсурд. Озабоченность Дмитрия Буркова мне понятна, однако его роль как крипто-офицера (см. ниже) наверное позволяет в какой-то мере снять эту его озабоченность. Игорь Олегович, как человек разбирающийся в иерархии адресного пространства Интернета и понимающий механизмы управления этим пространством, в том числе скрытые, выступал с вполне конкретными инициативами и комментариями относительно принципов построения системы управления. Трудно спорить с тем, что влияние США в целом на интернет-отрасль в мире очень сильно. Прежде всего в бизнесе, разработке стандартов и лоббирования их продвижения по всему миру. Но если сравнивать ситуацию в ретроспективе, то она меняется. Текущая ситуация с ростом числа пользователей и объема интернет услуг в России позволяет надеяться на рост влияния России по крайней мере в Европе. Радует, что наше профильное Министерство, а также МИД стали неотъемлемой частью процессов обсуждений интернет-будущего и его регуляций. А пресловутая "кнопка" стала настолько моветоном, что даже шутить на эту тему перестали. Говорить об этом - все равно что играть "Лестницу в небо" в магазине электрогитар. - Несколько лет назад один из зарубежных борцов за копирайт сказал на анти-пиратском съезде: "Детское порно - это прекрасно! Сначала мы научим их блокировать детское порно, а потом и весь файлообмен". Не получится ли, что технология DNSSEC станет аналогичным рычагом "многоцелевого использования"? США в последнее время активно взялись за пиратские сайты (именно через отключение доменов) и не раз высказывались о том, что хотят делать это и с зарубежными сайтами... - Заявления сумасшедших фриков я оставлю без комментариев. С торрентами тоже не просто - домены для торрентов не нужны в принципе. Только для сайтов публикации ссылок на личеров и сидеров. Но это можно делать где угодно. Отдельный домен не нужен. Ситуация с torrents.ru это великолепно продемонстрировала. Что касается блокирования, то DNSSEC делает доверительными отношения по цепочке от корня, к корневому домену, до регистратуры, до регистратора, к провайдеру DNS и до клиента. В такой схеме любое вмешательство со стороны технического оператора функции IANA по требованию властей США (правообладателей, политиков, Президента, полиции и тд) и отключение любого странового домена, находящегося вне юрисдикции США будет актом интернет - самоубийства и началом конца феномена ICANN. Тем более, что пользы в этом и смысла нет никакого. Блокировка контента путем снятия делегирования DNS-методами - это абсолютно топорный метод, которые - Возможно ли появление другой международной организации типа ICANN, которая будет более независима от США и возьмет на себя управление адресами Интернета? Ну и соответственно, альтернативные протоколы безопасности, не столь завязанные на Америку? Кажется, в 2009 году на съезде в Мехико российская делегация предлагала какой-то альтернативный вариант системы безопасности? - Нужно вспомнить, что ICANN это американская некоммерческая корпорация зарегистрированная в штате Калифорния. Главная функция этой корпорации - чтобы интернет-адресация работала. Мандата на управление глобальным Интернетом (в части законодательства, регулирования контента, построения межправительственных отношений, интернет бизнесе, фильтрации, итд.) у ICANN не было, нет и не будет. Адресное пространство это весьма узкая тема. И конечно у ICANN может быть преемник. Схема очень простая. Кто-то, кто придет на смену, должен сделать лучше и обеспечить безболезненный транзит без катастрофических сбоев Интернета. Сейчас такая схема маловероятна. Но в Интернете нет вечных авторитетов и нет слова "нет". - В СМИ было много противоречивых страшилок про загадочную процедуру генерации Key Signing Key и последующей раздачи частей ключа пяти доверенным лицам. Правильно ли мы понимаем, что сценарий заимствован из фильма "Пятый элемент"? Будет ли среди доверенных лиц рыжая девушка из России, как было в кино? Или туда берут только агентов американских спецслужб? - Дмитрий Бурков, который упоминался выше - один из "избранных". Знаю Дмитрия много лет, на русскую разведчицу с рыжими волосами он не тянет. Скорее на заслуженного и умудренного опытом крипто-офицера, который наблюдает процесс подписи корневой зоны Интернета воочию и следит, чтобы не жульничали. Хотя не очень понимаю - где там можно жульничать. Это скорее обряд инициации ICANN, показывающий их истинную международную суть, чем техническая необходимость. Представители собраны с разных континентов и стран. Однако у Дмитрия есть брелок с куском кода. И собравшись все вместе, крипто-офицеры смогут восстановить исходный код, и тогда Земля не падет под пятой разумных кошачих вирусов с Юпитера. комментарии(29) | разделы: интервью | Безопасность Материалы по теме Алексей Созонов: "Кризис ICANN дает новые возможности для России" Минюст США собрался блокировать "пиратские" домены по всему миру Другие интервью |
Последние комментарии
Гость про Суд велел "Твиттеру" сдать сторонников WikiLeaks (12)
Гость про Книгоиздатели начали судиться с торрентами (2)
l_e_x_a про "ВКонтакте" принудительно протестирует пользователей (35)
andrey_kadetov про Google назвал Facebook "ловушкой без выхода" (6)
volv про День папуасского робошахтёра (14)
l_e_x_a про Русские кликботы признаны самыми активными (11)
все комментарии looli спрашивает: Земля вампиров смотреть онлайн в HD качестве looli спрашивает: Зеленый Фонарь смотреть онлайн в HD качестве looli спрашивает: Защитник смотреть онлайн в HD качестве looli спрашивает: Запретная зона смотреть онлайн в HD качестве looli спрашивает: Закон доблести смотреть онлайн в HD качестве looli спрашивает: Вышибала смотреть онлайн в HD качестве looli спрашивает: Встречный ветер смотреть онлайн в HD качестве looli спрашивает: Все любят китов смотреть онлайн в HD качестве |
Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.