Домены. Все, что нужно знать о ключевом элементе Интернета
Шрифт:
Добротная реализация могла бы быть такой: в цепочке обработки персональных данных администраторов вводится новое обязательное звено, которое проверяет соответствие персональных данных предъявившему их лицу. Собственно, это и есть аутентификация. Звено появляется в самом начале цепочки, ближе к клиенту.
Сотрудник компании-регистратора или, например, нотариус непосредственно удостоверяют личность администратора, попросив его предъявить паспорт. Не «скан отправить электронной почтой», а вот лично предъявить паспорт в офисе (сверяется фото в паспорте с присутствующим тут же клиентом). Схема известная.
Именно так работала система регистрации RU до того, как перешли к онлайн-схеме. И это действительно разумный способ ввести «домены по паспорту». И, видимо, единственный реальный способ (так как технологии ЭЦП пока еще недостаточно распространены).
Тем
Интересно, что настоящие злоумышленники не используют совсем банальных, явно вымышленных персональных данных, даже если заполняют веб-форму. Напротив, берут или какие-то реальные данные, или данные, очень похожие на реальные, но сгенерированные по специальной базе. При генерации используются реальные фамилии, названия улиц, городов, номера домов и т. п. Такой подход очень давно известен и много лет назад был принят на вооружение кардерами (теми, кто специализируется на краже и подделке банковских карт). Понятно же, что вездесущие васи пупкины вызывают подозрение не только у сотрудников регистратора, просматривающих договоры.
Кстати, если договор заключается с иностранным подданным, то «детектировать реальность» паспорта какого-нибудь африканского государства – та еще задачка.
Когда паспорт предъявляют лично, то можно сверить фото с «личностью» предъявителя (понятно, что паспорт может быть поддельным, но в случае с «физическим документом» это уже совсем иная история). Собственно, паспорт, как документ, именно для такого «физического» подтверждения личности по фото (по биометрическим данным) и придуман. Использование «сканов» для «якобы аутентификации», когда физически аутентифицируемый пользователь не присутствует рядом – старая, хорошо известная дыра в системах безопасности.
Конечно, злоумышленник, планирующий нарушать закон с использованием домена, имеет и технические навыки, и готовность прислать какой-нибудь там «скан». При этом удачно «приславший скан» администратор домена получает в системе новый статус: «идентифицированный администратор». А такой статус, конечно, добавляет некоторой «надежности» персональным данным, полученным с подтверждением «сканом». На самом же деле надежность эта чисто мнимая: процедура аутентификации никак не изменилась: как присылал кто-то неизвестно откуда какие-то данные по Интернету, так и присылает кто-то что-то, но в новом формате файлов. А вот статус изменился, и администраторы в интерфейсах управления клиентской информацией вдруг «раскрасились в разный цвет». Для системы безопасности это очень плохо, потому что добавляет ложной уверенности тем, кто с данными работает.
В истории российского доменного бизнеса известны случаи, когда домен «угоняли» при помощи реального поддельного паспорта и личного визита мошенников в офис регистратора. Однако поставить такие рискованные мероприятия на поток – весьма сложно, а единичные случаи мошенничества, совершенные к тому же в офлайне, расследуются более эффективно, чем массовые онлайн-события с минимумом следов.
При этом многие и многие добросовестные пользователи и так указывали верные данные, потому что пользователи опасаются проблем с потерей домена в случае возникновения спорной ситуации. В отличие от злоумышленника, добросовестному пользователю домен реально нужен в долговременное пользование для легального проекта, ну, раз он этот домен регистрирует. И вот эти добросовестные пользователи, администраторы доменов, по новым правилам должны направо и налево рассылать «сканы» своих паспортов, часто по
открытым сетям. Например, регистраторами предлагается отправлять «скан» по электронной почте! Где потом всплывут копии «скана»? Кто знает? Остроты добавляет то, что данный «скан», сохраненный на почтовом сервере (или на локальном диске компьютера, давно зараженного трояном), уже был использован именно для регистрации домена Получается вдвойне доверенный «скан»!
Так кто же обрел дополнительные риски и потенциальные проблемы? Вопрос риторический. И так понятно, что в доменной паспортизации пострадал обычный пользователь Сети. Впрочем, уже к концу 2010 года представители КЦ признали, что эффект от введенной схемы паспортизации – не совсем тот, на который рассчитывали. А в 2011 году норму отменили, сделав дополнительную «проверку документов» факультативной.
Вторым знаковым событием стала отмена специальных типов доменов второго уровня, регистрация в которых была бесплатной. Географические и «отраслевые тематические» домены – КЦ упразднил. В апреле 2010 года на коммерческую поддержку в RU-CENTER переданы около 80 географических доменов, в их числе хорошо известные MSK.RU и SPB.RU. А с декабря 2010 года регистратор на коммерческой основе обслуживает и домены COM. RU, NET.RU, ORG.RU и PP.RU. Ранее все эти доменные зоны были бесплатными, что, с одной стороны, позволяло малобюджетным проектам иметь доменное имя внутри зоны .ru, а с другой – временами приводило к захвату бесплатных зон предприимчивыми киберсквоттерами, навострившими специальных программных роботов для автоматической подачи заявок на регистрацию. В частности, это произошло с зоной. COM.RU. Таким образом, отдельные администраторы захватывали многие тысячи бесплатных доменов, а массовый пользователь, пытавшийся зарегистрировать один домен, сталкивался
с неожиданными препятствиями и ограничениями, созданными против роботов.
В 2010 году несколько миллионов доменных имен третьего уровня перешли на новую технологическую платформу в RU-CENTER. Далеко не все домены были перерегистрированы на новый срок, на коммерческой основе. Число регистраций в упомянутых зонах упало. Однако наиболее ценные домены остались. Более того, пользователи начали регистрировать новые имена в ставших платными зонах.
Сам процесс передачи доменов в RU-CENTER проходил не очень гладко. Так как управление бесплатными доменами не включало прямого коммерческого интереса, то, вполне ожидаемо, реестр владельцев таких доменов велся не самым лучшим образом, и в момент передачи доменов не было понятно, кто именно управляет тем или иным именем. Несколькими главами раньше мы рассматривали сервисы WHOIS и столкнулись с тем, что даже для доменов второго уровня RU эти источники контактной информации не блещут достоверностью и иногда выдают противоречивые сведения. С бесплатными доменами третьего уровня ситуация была еще хуже. При регистрации администраторы этих доменов руководствовались некоторыми неформальными правилами и были, в общем, довольны. Пока не пришел момент формализации. Тогда оказалось, что формальный взгляд RU-CENTER (а при массовом заключении коммерческих договоров только формальный подход и может сработать) и множество неформальных точек зрения владельцев доменов третьего уровня в отмененных специальных зонах сильно различались.
Так, в качестве контактных адресов e-mail в базе данных WHOIS для многих доменов были указаны давно заброшенные почтовые ящики либо адреса, уже не имеющие отношения к домену. Непосредственно в DNS сохранялись контактные адреса интернет-провайдеров, управлявших доменами в интересах своих клиентов, и так далее. Нужно, впрочем, признать, что проблем добавила ошибка КЦ и регистратора RU-CENTER: домены начали передавать без должного общественного обсуждения, что, конечно, не в традициях Интернета. Если бы процесс перевода доменов третьего уровня на новые рельсы с самого начала выстраивался с привлечением экспертов интернет-сообщества, с широким обсуждением, то можно было бы рассчитывать на появление более эффективных механизмов идентификации настоящих владельцев доменов – а ведь именно с идентификацией и возникли основные трудности.