Глава 5 Оплот Рунета – домен RU

We use cookies. Read the Privacy and Cookie Policy

Глава 5

Оплот Рунета – домен RU

Союз Советских Социалистических Республик распался в 1991 году. Ранее образовывавшие единое государство республики обрели самостоятельность, в том числе и самостоятельность во всемирной системе адресации Интернета. Правда, как мы только что подробно рассказали, при делении виртуальной географии домен СССР вовсе не исчез. То есть виртуальное отражение политической карты мира после распада СССР приобрело новые домены, сохранив нетронутым исходный, исторический домен SU.

Новые национальные домены в Интернете возникают не просто так, а в соответствии со сложившейся практикой присвоения государствам международных двухбуквенных кодов. Порядок использования этих кодов регулируют международные организации, ответственные за выработку единых стандартов. И вот для России как независимого государства, субъекта международной политики, код RU был введен в стандарты в 1992 году. Между тем, домен первого уровня RU начал функционировать только в апреле 1994 года. Почему же возникла столь длинная задержка?

Дело в том, что в 1992 году у заинтересованных в Интернете российских компаний уже был накоплен некоторый опыт (еще советский) по использованию доменных имен. И, конечно, как только на горизонте замаячил новый домен верхнего уровня, заявки на его получение очень оперативно направили сразу несколько российских организаций.

В начале 1990-х годов распределением адресного пространства Интернета ведала такая организация, как IANA (Internet Assigned Numbers Authority – в несколько вольном переводе: Уполномоченная организация по распределению нумерации в сети Интернет). Сейчас IANA в качестве одного из подразделений входит в корпорацию ICANN. Но и во времена «до ICANN» IANA также оставалась организацией осторожной и сторонящейся всевозможных конфликтов интересов. Поэтому конкурирующим за право администрирования нового домена RU компаниям пришлось прежде повоевать между собой и самим разобраться, кому же достанется новый кусок виртуального пространства.

Основными участниками схватки за домен RU тогда были крупнейшие интернет-провайдеры: Demos Plus, SovAm Teleport, GlasNet, Techno, EUnet/Relcom, X-Atom, FREEnet. Сейчас эти названия ничего не говорят рядовому пользователю Рунета – так уж распорядилась история. В итоге споров, пересудов и разбирательств, длившихся почти два года, администрирование домена RU было решено доверить более или менее нейтральной организации, устраивавшей все ключевые стороны «доменной войны». Такой организацией оказался РосНИИРОС, как раз управлявший и доменом SU, который, как ожидалось, должен был стать основным «донором» новых доменных имен в RU. Ведь домен SU тогда собирались ликвидировать, и сразу после появления домена RU регистрацию имен второго уровня в SU РосНИИРОС приостановил.

Итак, домен новой России RU, запись о котором в реестр национальных доменов внесена 7 апреля 1994 года, достался в управление РосНИИРОС. А правила администрирования зоны .ru, которых должен был придерживаться РосНИИРОС, выработали с участием ключевых игроков рынка Интернета того времени. РосНИИРОС до 2000 года осуществлял функции по регистрации имен в домене RU, обрабатывая заявки от интернет-провайдеров или юридических лиц. Также за институтом закреплялись функции по техническому сопровождению функционирования национального домена.

Интернет тем временем развивался, активно превращаясь из академической среды общения в среду ведения бизнеса. Изменение рыночной ситуации требовало коррекции правил регистрации доменных имен. Тем не менее домен RU длительное время демонстрировал чудеса консерватизма.

С ростом бизнес-значения доменных имен возросла и активность домейнеров (или, как этих предприимчивых господ поголовно называли в те времена, киберсквоттеров). Домейнеры регистрировали «вкусные имена» по цене регистрации, инвестируя свои средства, и, позже, предлагали заинтересованным лицам и компаниям выкупить у них права на управление «вкусным именем» за сумму, значительно превышающую стоимость регистрации. А так как двух одинаковых имен зарегистрировать нельзя, то бизнесмены, успевшие застолбить домен ранее других, получали преимущество. Активность на рынке подобных перепродаж росла особенно интенсивно в конце 1990-х годов.

Между тем, правила регистрации доменов в зоне. ru прямо запрещали подобную деятельность по «возмездной передаче» прав администрирования домена. Подобный запрет был вызван желанием помешать массовому захвату доменных имен сквоттерами. Сторонники запрета полагали, что имена, которые удерживали сквоттеры-домейнеры, изымались из числа доступных ресурсов, однако при этом сквоттеры не использовали эти имена «по прямому назначению» (не размещали под доменами «живые» сайты), что в итоге могло пагубно сказываться на удобстве пользования Интернетом.

Впрочем, на практике никаких серьезных рычагов воздействия на формировавшееся сообщество домейнеров у РосНИИРОС не было. Домены интенсивно «столбили» желающие позже перепродать имя по выгодной цене. В итоге попытка предотвратить возникновение вторичного рынка доменов привела к тому лишь, что рынок все равно возник, но длительное время существовал в «серой зоне».

Домен в зоне .ru становился все более важным активом, рост числа регистраций подстегивало планомерное снижение стоимости регистрации (со 100 долларов в год стоимость снизилась сперва до 50 долларов, а к 2001 году до 24 долларов).

Вернемся к становлению домена RU. К началу XXI века некоторые коммерческие фирмы находились в такой зависимости от своих сайтов, размещенных под узнаваемыми доменными именами, что ликвидация домена неминуемо привела бы к автоматической ликвидации и всего бизнеса компании. Причем речь шла не только об интернет-компаниях вроде известных поисковых систем, но и о некоторых торговых, производственных фирмах.

Важно заметить, что в домене RU в те времена было выделено довольно значительное число доменов второго уровня, регистрация в которых осуществляется бесплатно. Это так называемые «домены общего пользования», к которым относили, например, «отраслевые домены», «географические домены», «домены для государственных нужд». Так, домен com.ru предназначался для коммерческих организаций, и регистрация имен в этом домене (например, test.com.ru) осуществлялась бесплатно. В свою очередь, домен net.ru предназначался для проектов, так или иначе связанных с жизнью и развитием Интернета. Например, по адресу www.provider.net.ru располагался один из старейших узкоспециальных информационных ресурсов Рунета – «Независимый обзор провайдеров». Примерами географических доменов служат msk.ru и spb.ru. Специальные типы доменов RU были отменены в 2010 году. Сами эти доменные зоны передали компании RU-CENTER, а регистрация имен стала платной. Это, конечно, не способствовало росту зон «третьего уровня», но внесло несколько больше порядка в данный доменный сегмент, попутно вызвав массу скандалов.

Столь серьезные изменения рынка коснулись и базовых принципов управления доменом RU. Все возраставшее число конфликтов и просто спорных ситуаций вокруг доменов в зоне .ru, и особенно вокруг процедур их регистрации, привело к введению в 2000 году так называемой распределенной системы регистрации. Функции регистрации доменов от РосНИИРОС начали передавать конкурирующим между собой независимым регистраторам, которые предварительно получали аккредитацию.

Со своей стороны РосНИИРОС учредил в 2000 году регистратора RU-CENTER, ставшего крупнейшим игроком на российском доменном рынке.

Дальнейшее бурное развитие привело к учреждению в 2001 году «Координационного центра национального домена RU» (далее в этой главе просто – Координационный центр, КЦ), который должен был определить устраивающие игроков рынка правила игры, а точнее – правила регистрации доменов в зоне .ru. При этом Рос-НИИРОС, вошедший в состав учредителей Координационного центра, сохранил за собой функции технического центра, обеспечивающего функционирование домена RU. Функции же по регистрации фактически полностью перешли к компаниям-регистраторам.

Одновременно с этими процессами под давлением реальности в 2001 году оформился легальный вторичный рынок доменов. Из Правил зоны .ru наконец-то изъяли запрет на «продажу» доменов. Более того, весной 2004 года дошло до того, что, реагируя на изменения ситуации, ведущий регистратор доменов RU – компания RU-CENTER – запустил «официальный» аукцион доменов. Появление аукциона, где гарантом сделки выступал крупнейший аккредитованный регистратор доменов, наконец-то вывело вторичный рынок из «серой зоны», дав продавцам и покупателям вполне «белый» механизм для совершения сделок по передаче права администрирования.

С 4 января 2006 года администратором домена RU официально стал Координационный центр, демонстрировавший тогда инертность и консерватизм, напоминающие корпорацию ICANN. Особенно остро инертность Координационного центра ощущалась игроками рынка при возникновении конфликтных ситуаций. А разнообразных масштабных конфликтов вокруг доменов RU возникало много.

Так, в конце 2007 – начале 2008 года в домене RU сложилась довольно напряженная ситуация, связанная с минимальной стоимостью регистрации доменов. Суть проблемы составляло соглашение между регистраторами, зафиксированное в правилах зоны .ru, о том, что на розничном рынке минимальная цена регистрации домена составляет 500 рублей. При этом, согласно тем же правилам, частью себестоимости регистрации домена для регистратора является платеж в пользу технических и административных служб домена RU, ведь поддержание функционирования DNS также требует существенных затрат. Впрочем, сумма этого платежа в несколько раз меньше 500 рублей и составляла в 2008 году 70 рублей.

В 2007–2008 годах, в условиях жесткой конкуренции на рынке доменов, в розничном секторе возникли предложения услуг регистрации доменов в зоне .ru по цене, значительно меньшей 500 рублей. Первые подобные предложения появились на закрытых интернет-форумах и не афишировались. Источником «новых розничных цен» послужили партнеры некоторых регистраторов. Партнеры таким образом пытались развивать собственный бизнес, привлекая клиентов выгодными ценами.

Дело в том, что в соглашениях и правилах регистрации доменов RU нашлась лазейка: официальные Правила и соглашения между регистраторами регламентировали только минимальную цену, по которой услуги регистрации оказываются на розничном рынке, физическим лицам. Для своих партнеров, проводящих «оптовые» регистрации, регистраторы могли предлагать и другую цену, меньше установленного предела. При этом компании-партнеры регистраторов, не являясь участниками регистраторских соглашений, как раз и предлагали на рынке домены «по сниженным ценам».

Довольно длительное время ведущие регистраторы строго следили за деятельностью своих партнеров, пресекая попытки доменного «демпинга», пытаясь сохранить в действии установленные правила. Игроки рынка ждали, что Координационный центр вмешается и «прекратит безобразие», призвав тех регистраторов, которые позволяют своим партнерам нарушать правила игры, к ответу. Однако Координационный центр молчал.

На фоне молчания Координационного центра регистраторы все больше ослабляли контроль над партнерами, а цены партнерских регистраций падали все ниже – до 300, 200 рублей. А в итоге к 2008 году несложно было найти предложения и по 100 рублей за домен.

Низкие фактические цены регистрации доменов. ru на розничном рынке были доступны и многими годами ранее. Более того, довольно часто домены вообще предлагались бесплатно. Однако новизна ситуации 2007–2008 годов заключалась в том, что ранее «дешевые домены» предлагались в качестве «бонуса» к другим «пакетным услугам» крупных интернет-компаний, например при покупке хостинга или услуг доступа к Интернету. В этом случае клиент оплачивал другие услуги (на сумму более 500 рублей) и получал «домен в подарок», что, с чисто формальной точки зрения, могло быть истолковано так: домен за клиента оплачивает компания, фактически предложившая скидку на пакет своих услуг, а не на стоимость регистрации домена. Различие схем с «пакетом» и «простой регистрацией» очевидно: во втором случае клиент без вариантов и юридического крючкотворства получает домен по «демпинговой» цене.

Более того, к 2008 году бизнес регистраций по «демпинговым» ценам, охвативший партнеров всех сколько-нибудь

крупных регистраторов, стал совершенно откровенным. Предложения о регистрации доменов «по 100 рублей» уже встречались не только на специальных закрытых форумах, а во вполне открытой печатной рекламе.

Важный аспект «новых цен» в том, что клиент получает совершенно такие же права по управлению выбранным доменным именем, как и те администраторы, кто регистрировал домены по 600 (500 + НДС) рублей у компаний, придерживавшихся правила минимальной цены.

Конечно, компании, предлагавшие регистрацию по низкой цене (или вообще бесплатно), получали существенное конкурентное преимущество перед теми регистраторами, что придерживались буквы соглашения.

Формально у Координационного центра в руках находился рычаг воздействия на регистраторов, который не посвященному в скрытые механизмы доменного рынка наблюдателю может показаться эффективным. По крайней мере более эффективным, чем «общественное» порицание способствующих снижению цен регистраторов на заседаниях Совета Координационного центра и в кулуарах «доменных встреч» и мероприятий. Этот рычаг – лишение аккредитации.

Действительно, согласно Правилам зоны .ru, для осуществления «регистраторского доступа» к реестру доменов компания, желающая стать регистратором, должна получить аккредитацию у Координационного центра. По тем же Правилам Координационный центр (в рамках неких процедур, которые, впрочем, были тогда не до конца формализованы) вправе лишить регистратора аккредитации. Однако в реальности лишение аккредитации к регистраторам не применялось: Координационный центр по внутренним причинам не смог решиться на столь радикальную меру. Разумно предположить, что

Координационный центр действовал подобным образом, опасаясь последствий и ответных судебных исков регистраторов, которые в результате лишения аккредитации понесут убытки. Так что эффективность единственного рычага давления в те времена была мнимой.

Позднее, в 2010-х годах, Координационный центр стал гораздо активнее использовать свои «функции регулятора», в том числе даже дошел до приостановления аккредитации регистратора, нарушившего правила работы с реестром.

В 2008 году юридическая коллизия состояла в том, что соглашения и правила, по которым управляется зона. ru, являются не более чем «джентльменскими соглашениями», а точнее, договорами, заключенными между юридическими лицами. С точки зрения, например, судебной системы Российской Федерации, соглашения и правила домена RU не обладают какой-то «силой закона», как можно было бы подумать. А Координационный центр не имеет юридического статуса «регулятора рынка», да и вообще какого бы то ни было особого статуса среди прочих юридических лиц.

Поэтому нарушение, например, пункта правил о минимальной цене регистрации домена, да еще и совершенное не регистратором, а его партнерами, может в худшем случае трактоваться лишь как невыполнение взятых в рамках «джентльменского соглашения» обязательств. В разрезе судебных разбирательств (если они возникнут) нужно еще учитывать, что такое нарушение не наносит непосредственно убытка другим сторонам «джентльменского соглашения», а тем более КЦ, который получает свою долю от стоимости регистрации домена в любом случае.

А вот лишение аккредитации самым прямым образом повлияет на бизнес компании-регистратора (собственно, этот бизнес остановится) и приведет к значительным прямым и косвенным убыткам у этой компании – очень весомые причины для судебного иска, правда?

Вообще с точки зрения «деловых традиций» отношение правил зоны .ru к минимальной цене розничной регистрации доменных имен еще несколько лет назад представлялось вполне обоснованным и отражающим нормальную рыночную практику.

Например, действующие на рынке промышленных товаров компании-производители отпускают крупные партии продукции своим дилерам по специальной, оптовой цене. Правда, при этом подобные компании-производители обычно не договариваются о минимальной цене на розничном рынке (они там обычно и не присутствуют).

Минимальная рыночная цена регистрации домена определялась регистраторами на основе анализа возможной себестоимости проведения транзакций по «фиксированию» права администрирования и по дальнейшему сопровождению прав администратора на домен, с учетом возможных рисков. Ведь вряд ли регистратор должен работать в убыток. Однако те компании, для которых собственно регистрация доменов не является основным источником прибыли, могут себе позволить сделать эту часть своего бизнеса убыточной (бесплатные домены), зарабатывая больше на других услугах, по отношению к которым регистрация домена является сопутствующей.

Тут уместно привести пример из области страхового бизнеса (где, кстати, тоже случаются соглашения о минимальной цене полиса по тем или иным видам страхования). Крупные страховые компании могут себе позволить страховать некоторые риски клиентов в убыток. Расчет здесь делается на то, что клиент, застраховавший по минимальной цене один риск, захочет приобрести некоторое другое, «пакетное» предложение, которое, напротив, приносит страховой компании высокую прибыль.

Так что неверным будет считать «договорное» ограничение минимальной цены для розничной услуги исключительно «сговором», направленным на получение сверхприбыли за счет «доверчивых клиентов». Наоборот, такое соглашение могло бы послужить созданию стабильного рынка, противодействуя «демпингу» и монопольному захвату рынка со стороны крупных компаний с большими деньгами. Впрочем, на доменном рынке RU, в отсутствие реальных рычагов регулирования и при бездействии Координационного центра, вышло иначе: в 2009 году возникли ожидания, что отсутствие регулирующего механизма может привести к тому, что такой механизм предоставит государство.

Логика тогда была такова: в случае, если стоимость регистрации доменов упадет практически до нуля, все сколько-нибудь привлекательные доменные имена рискуют оказаться в руках тех игроков, кто профессионально занимается «доменным бизнесом». Эти игроки имеют большой опыт и серьезные технические инструменты, позволяющие им быстрее реагировать на появление новых имен, чем рядовым розничным покупателям прав администрирования. Снижение стоимости розничной регистрации приведет к тому, что крупнейшие профессионалы смогут еще больше расширить поле своей игры, вытеснив мелких «домейнеров».

В ситуации, когда рыночные механизмы не позволили разумным образом отрегулировать распределение общедоступного ограниченного ресурса – доменного адресного пространства – и рядовые потребители оказались в заведомо проигрышном положении (а им в лучшем случае придется выкупать домены на вторичном рынке по немалой спекулятивной цене), логичным является введение государственного регулирования.

В какой форме возможно такое регулирование? Хорошим примером служит распределение радиочастот в эфире. Радиоэфир – общее пространство. Для нормального обмена информацией требуется закреплять радиочастоты за тем или иным «вещателем» (передатчиком). При этом, очевидно, сама по себе радиочастота ничего не стоит, и технически вещание на данной частоте требует лишь наличия передатчика. Регулирование порядка в эфире проводится через выделение частот заинтересованным лицам особым государственным органом (комиссией при министерстве, например) при помощи последующего контроля использования частот (проводимого, опять же, государством). Сходным образом можно распределять и домены, если рыночный путь оказался неподходящим.

Время показало, что интерес российского государства к регулированию доменного рынка достаточно велик. Так, в 2009 году в состав Совета Координационного центра (а это высший административный орган в КЦ) в рамках соглашения с Министерством связи и массовых коммуникаций РФ вошел представитель министерства. Впрочем, непосредственно на ценовую политику в домене RU КЦ повлиял другим способом: спорный пункт о минимальной розничной цене в 500 рублей переформулировали, цена стала «рекомендованной». Это, конечно, снизило градус конфликта. В итоге типичная стоимость регистрации домена RU упала где-то до 300–400 рублей, но многие рядовые пользователи по прежнему продолжают регистрировать такие домены за «стандартные» 500–600 рублей.

В 2009 году директором Координационного центра стал Андрей Колесников, сменивший на этом посту Андрея

Романова. В период 2009–2010 годов произошли некоторые важные изменения, касающиеся управления доменом RU.

Из самых заметных – так называемая паспортизация домена. Речь идет о попытке Координационного центра бороться с (потенциальной) анонимностью администраторов доменов. Дело в том, что в течение многих лет домен RU можно было зарегистрировать, используя только Интернет, без необходимости являться лично в тот или иной офис регистратора. Соответственно, часть администраторов доменов указывала при заключении договора неверные данные (например, вымышленные имя и фамилию, номер паспорта и так далее).

В 2009 году возросла популярность темы борьбы с противоправным контентом в Интернете. Потребовались публичные, узнаваемые в СМИ, меры по контролю, в том числе и за доменным пространством. Эффективность этих мер стояла на втором плане. Очевидно, что доменное имя – важный ресурс для распространителей того или иного контента, нарушающего законы: именно по имени домена такой контент находят. Хостинг при этом может изменяться, переезжать из страны в страну. Анонимность регистрации доменов в зоне. ru, конечно, не способствует поиску администраторов «противоправных» доменов. Но, с другой стороны, никак не мешает такие домены отключать – это важный момент.

Что было сделано? КЦ силами новых правил, утвержденных Советом, предложил обязать всех администраторов доменов RU дополнительно идентифицировать себя перед регистраторами. Сама по себе идея, может, и неплохая (хотя и не способствующая росту доменной зоны). Но вот предложенная в итоге регистраторами реализация выглядела, с точки зрения специалиста по безопасности, весьма странно.

Администраторам доменов предлагалось прислать регистраторам простые копии своих гражданских паспортов (точнее, копии некоторых страниц). При этом наравне с другими вариантами без ограничений принимались электронные копии (на техническом жаргоне «сканы»), присланные по e-mail. Что это означало?

При регистрации домена в зоне .ru требуется указывать паспортные данные администратора домена, но так как договоры заключаются в форме публичной оферты (грубо говоря, через веб-форму в Интернете), то, как я уже упоминал, администраторы доменов могут указать фиктивные персональные данные. И иногда указывают: «Иванов Иван Иванович, номер паспорта 1234 567890, тел. 0000000», и т. п., и т. д. При заключении договора корректность данных никак не проверяется, у регистратора просто нет возможности проверить, кто там сидит за клиентским компьютером и что это за данные он вводит. В тех случаях, когда попадается недобросовестный администратор, домен может быть оформлен на кого угодно.

Часто путают идентификацию и аутентификацию. Отличие этих двух понятий из области технологий обеспечения безопасности можно объяснить на простом занимательном примере. Идентификация – это когда мужской голос в телефоне в ответ на ваш вопрос «А хто ето?» представляется Петром Ивановичем Булкиным, старшим сантехником по подъезду; аутентификация – это когда уже назвавшийся Булкиным мужской голос может еще и правильно назвать девичью фамилию консьержки, а также другие пароли, известные только настоящему Петру Ивановичу, в результате вы более или менее уверены, что разговариваете действительно с сантехником Булкиным. Ну просто голос у него претерпел аберрацию.

Идея «паспортизации», по логике ее возникновения, по выдвигавшимся аргументам – направлена на избавление от подобных «левых» регистраций. Строго говоря, изначально речь должна была вестись не о самом паспорте, а о построении системы аутентификации администраторов доменов. Тем не менее, как только тема обрела нужную популярность в СМИ, многие услышали про «домены по паспорту» и тут же кинулись рассуждать о каких-то «сканах» паспортов, присылаемых «по e-mail, по факсу». Хотя специалисту было понятно, что такой вариант – неверный, наихудший.

С точки зрения построения системы аутентификации администраторов ситуация с пересылкой «сканов» ничем не отличается от сложившейся до введения новых требований. Просто, вместо того чтобы вводить фиктивные данные в веб-форму, требуется эти же данные вывести в файл изображения (например, в формате JPEG), сгенерировав полный «скан» паспорта. То есть изменяется только способ «кодирования» данных, а система проверки данных остается той же самой.

При этом добропорядочные клиенты и так указывают в веб-форме договора настоящие данные. А злоумышленники смогут легко сгенерировать нужный «скан» с помощью графического редактора или специальной программы. Обрабатывающие документы сотрудники регистратора не являются экспертами по анализу цифровых изображений и вряд ли смогут выявить подделку. Тем более что накладки случаются и в случае с бумажными подделками, которые всегда встречались в доменном документообороте. В общем, новую схему аутентификации нельзя построить лишь на пересылке каких-то там «сканов» – в таком случае изменяется только механизм, а схема остается старая, действующая, без аутентификации.

Добротная реализация могла бы быть такой: в цепочке обработки персональных данных администраторов вводится новое обязательное звено, которое проверяет соответствие персональных данных предъявившему их лицу. Собственно, это и есть аутентификация. Звено появляется в самом начале цепочки, ближе к клиенту.

Сотрудник компании-регистратора или, например, нотариус непосредственно удостоверяют личность администратора, попросив его предъявить паспорт. Не «скан отправить электронной почтой», а вот лично предъявить паспорт в офисе (сверяется фото в паспорте с присутствующим тут же клиентом). Схема известная.

Именно так работала система регистрации RU до того, как перешли к онлайн-схеме. И это действительно разумный способ ввести «домены по паспорту». И, видимо, единственный реальный способ (так как технологии ЭЦП пока еще недостаточно распространены).

Тем не менее изменения в правилах регистрации доменов RU вылились все же в вариант с отправкой электронных «сканов паспортов» регистраторам. То есть декларировалось проведение как бы «аутентификации» администратора домена, но в реальности использовалось просто другое представление данных. Раньше вводили вымышленные паспортные данные в веб-форму. Теперь нужно было нарисовать «скан». В Сети на специализированных форумах достаточно давно имелись предложения вида «нарисую сканы паспортов» и «программа для генерации сканов паспортов». Потому что, к сожалению, поддельные копии документов, удостоверяющих личность, используются в различных мошеннических схемах. С ужесточением правил регистрации доменов количество подобных предложений тут же возросло. Тем более что изготовление цифрового изображения паспорта анонимным «художником» не только сложно отследить, но и не так просто юридически классифицировать как подделку документа.

Интересно, что настоящие злоумышленники не используют совсем банальных, явно вымышленных персональных данных, даже если заполняют веб-форму. Напротив, берут или какие-то реальные данные, или данные, очень похожие на реальные, но сгенерированные по специальной базе. При генерации используются реальные фамилии, названия улиц, городов, номера домов и т. п. Такой подход очень давно известен и много лет назад был принят на вооружение кардерами (теми, кто специализируется на краже и подделке банковских карт). Понятно же, что вездесущие васи пупкины вызывают подозрение не только у сотрудников регистратора, просматривающих договоры.

Кстати, если договор заключается с иностранным подданным, то «детектировать реальность» паспорта какого-нибудь африканского государства – та еще задачка.

Когда паспорт предъявляют лично, то можно сверить фото с «личностью» предъявителя (понятно, что паспорт может быть поддельным, но в случае с «физическим документом» это уже совсем иная история). Собственно, паспорт, как документ, именно для такого «физического» подтверждения личности по фото (по биометрическим данным) и придуман. Использование «сканов» для «якобы аутентификации», когда физически аутентифицируемый пользователь не присутствует рядом – старая, хорошо известная дыра в системах безопасности.

Конечно, злоумышленник, планирующий нарушать закон с использованием домена, имеет и технические навыки, и готовность прислать какой-нибудь там «скан». При этом удачно «приславший скан» администратор домена получает в системе новый статус: «идентифицированный администратор». А такой статус, конечно, добавляет некоторой «надежности» персональным данным, полученным с подтверждением «сканом». На самом же деле надежность эта чисто мнимая: процедура аутентификации никак не изменилась: как присылал кто-то неизвестно откуда какие-то данные по Интернету, так и присылает кто-то что-то, но в новом формате файлов. А вот статус изменился, и администраторы в интерфейсах управления клиентской информацией вдруг «раскрасились в разный цвет». Для системы безопасности это очень плохо, потому что добавляет ложной уверенности тем, кто с данными работает.

В истории российского доменного бизнеса известны случаи, когда домен «угоняли» при помощи реального поддельного паспорта и личного визита мошенников в офис регистратора. Однако поставить такие рискованные мероприятия на поток – весьма сложно, а единичные случаи мошенничества, совершенные к тому же в офлайне, расследуются более эффективно, чем массовые онлайн-события с минимумом следов.

При этом многие и многие добросовестные пользователи и так указывали верные данные, потому что пользователи опасаются проблем с потерей домена в случае возникновения спорной ситуации. В отличие от злоумышленника, добросовестному пользователю домен реально нужен в долговременное пользование для легального проекта, ну, раз он этот домен регистрирует. И вот эти добросовестные пользователи, администраторы доменов, по новым правилам должны направо и налево рассылать «сканы» своих паспортов, часто по

открытым сетям. Например, регистраторами предлагается отправлять «скан» по электронной почте! Где потом всплывут копии «скана»? Кто знает? Остроты добавляет то, что данный «скан», сохраненный на почтовом сервере (или на локальном диске компьютера, давно зараженного трояном), уже был использован именно для регистрации домена Получается вдвойне доверенный «скан»!

Так кто же обрел дополнительные риски и потенциальные проблемы? Вопрос риторический. И так понятно, что в доменной паспортизации пострадал обычный пользователь Сети. Впрочем, уже к концу 2010 года представители КЦ признали, что эффект от введенной схемы паспортизации – не совсем тот, на который рассчитывали. А в 2011 году норму отменили, сделав дополнительную «проверку документов» факультативной.

Вторым знаковым событием стала отмена специальных типов доменов второго уровня, регистрация в которых была бесплатной. Географические и «отраслевые тематические» домены – КЦ упразднил. В апреле 2010 года на коммерческую поддержку в RU-CENTER переданы около 80 географических доменов, в их числе хорошо известные MSK.RU и SPB.RU. А с декабря 2010 года регистратор на коммерческой основе обслуживает и домены COM. RU, NET.RU, ORG.RU и PP.RU. Ранее все эти доменные зоны были бесплатными, что, с одной стороны, позволяло малобюджетным проектам иметь доменное имя внутри зоны .ru, а с другой – временами приводило к захвату бесплатных зон предприимчивыми киберсквоттерами, навострившими специальных программных роботов для автоматической подачи заявок на регистрацию. В частности, это произошло с зоной. COM.RU. Таким образом, отдельные администраторы захватывали многие тысячи бесплатных доменов, а массовый пользователь, пытавшийся зарегистрировать один домен, сталкивался

с неожиданными препятствиями и ограничениями, созданными против роботов.

В 2010 году несколько миллионов доменных имен третьего уровня перешли на новую технологическую платформу в RU-CENTER. Далеко не все домены были перерегистрированы на новый срок, на коммерческой основе. Число регистраций в упомянутых зонах упало. Однако наиболее ценные домены остались. Более того, пользователи начали регистрировать новые имена в ставших платными зонах.

Сам процесс передачи доменов в RU-CENTER проходил не очень гладко. Так как управление бесплатными доменами не включало прямого коммерческого интереса, то, вполне ожидаемо, реестр владельцев таких доменов велся не самым лучшим образом, и в момент передачи доменов не было понятно, кто именно управляет тем или иным именем. Несколькими главами раньше мы рассматривали сервисы WHOIS и столкнулись с тем, что даже для доменов второго уровня RU эти источники контактной информации не блещут достоверностью и иногда выдают противоречивые сведения. С бесплатными доменами третьего уровня ситуация была еще хуже. При регистрации администраторы этих доменов руководствовались некоторыми неформальными правилами и были, в общем, довольны. Пока не пришел момент формализации. Тогда оказалось, что формальный взгляд RU-CENTER (а при массовом заключении коммерческих договоров только формальный подход и может сработать) и множество неформальных точек зрения владельцев доменов третьего уровня в отмененных специальных зонах сильно различались.

Так, в качестве контактных адресов e-mail в базе данных WHOIS для многих доменов были указаны давно заброшенные почтовые ящики либо адреса, уже не имеющие отношения к домену. Непосредственно в DNS сохранялись контактные адреса интернет-провайдеров, управлявших доменами в интересах своих клиентов, и так далее. Нужно, впрочем, признать, что проблем добавила ошибка КЦ и регистратора RU-CENTER: домены начали передавать без должного общественного обсуждения, что, конечно, не в традициях Интернета. Если бы процесс перевода доменов третьего уровня на новые рельсы с самого начала выстраивался с привлечением экспертов интернет-сообщества, с широким обсуждением, то можно было бы рассчитывать на появление более эффективных механизмов идентификации настоящих владельцев доменов – а ведь именно с идентификацией и возникли основные трудности.

RU-CENTER, приложив все усилия, провел идентификацию владельцев в несколько этапов, основанных на рассылке уведомлений по адресам, указанным в базе данных WHOIS и непосредственно в самой DNS. В результате в большинстве своем администраторы смогли, пусть и с некоторыми трудностями, перевести действительно нужные им домены на обслуживание в RU-CENTER. В 2010 году были установлены следующие цены: регистрация домена третьего уровня в одной из «географических» или «отраслевых» доменных зон – 450 рублей в год; продление регистрации – 360 рублей в год. Вернемся к доменам второго уровня .RU. В 2011 году напряжение вокруг регулирования доменного пространства продолжало расти. Можно сказать, что стали традицией угрозы регистраторов друг другу и, особенно, Координационному центру судебными исками и различными «обращениями в государственные органы», которые, вполне вероятно, приведут к тому, что тот или иной участник рынка если и не будет полностью уничтожен, то как минимум навсегда окажется не у дел.

В течение всего 2011 года готовились новые, универсальные правила регистрации для доменов RU и .РФ (этому уникальному в своем роде, замечательному кириллическому домену посвящена отдельная глава книги). Правила, принятые Советом КЦ, вступили в силу 11 ноября 2011 года. Многие пункты правил вызвали жаркие споры, даже после того, как документ уже вступил в силу. Так, правила внесли существенные изменения в порядок делегирования доменов.

Например, для делегирования требовалось, чтобы регистратор «проверял возможность связи с администратором по хранящемуся в Реестре номеру телефона с функцией приема коротких текстовых сообщений (sms)». Вполне вероятно, что данный пункт подразумевал отправку, при помощи SMS некоторого кода по телефонному номеру, указанному администратором в своих контактных данных. Цель такой отправки – убедиться, что номер действительно существует и администратор (либо кто-то еще) получает на него короткие сообщения. Ключевой момент – проверка возможности связи. Ее можно трактовать разными способами. Во-первых, регистратор мог бы, конечно, позвонить по телефону силами того или иного сотрудника, выяснить, присутствует ли по заданному номеру администратор делегируемого домена. Однако это крайне затратная процедура, особенно если у регистратора на обслуживании сотни тысяч доменов. Во-вторых, регистратор мог бы автоматически отправить сообщение SMS и позже проверить, что кто-то его принял, например запросив ввод отправленного SMS-кода в специальную форму на сайте. Ну а в-третьих, норму правил можно было трактовать совсем свободно: ведь возможность связи и приема SMS есть у подавляющего большинства мобильных телефонов – почему бы просто не сверить полученный номер с базой данных и определить, что номер принадлежит оператору мобильной связи?

В итоге с реализацией размытого требования об SMS возникли различные проволочки. Тем не менее та или иная проверка рядом регистраторов проводится. Вероятно, в будущем контроль за исполнением требований будет ужесточен.

Надо заметить, что идея с проверкой доступности администратора домена посредством телефонной связи обрела большую популярность в мире. Причем подобный способ подтверждения используется не только для доменов, но и при размещении сайта, создании аккаунта в том или ином онлайн-сервисе, во многих других случаях. Действительно, указание в контактных данных заведомо доступного телефона хоть и не дает гарантии, что администратора при необходимости будет легко найти, но существенно повышает шансы успеха поиска.

Другим относительно свежим изменением в правилах регистрации доменов .RU стало перекраивание алгоритмов работы с доменами, подлежащими удалению из реестра. Мы подробнее рассмотрим цикл жизни доменов и проблему освобождающихся доменов позже, сейчас лишь отмечу, что через определенное время после окончания срока регистрации домен может освободиться. Это происходит в том случае, если администратор не продлил регистрацию. Освобождающиеся домены – важный элемент доменного рынка. Среди них попадаются довольно ценные экземпляры, которые рады перехватить доменные инвесторы. За освобождающиеся домены традиционно происходили «гонки»: кто первый «подхватит» домен? А подхватить домен можно только после того, как его удалили из реестра (основной базы данных). Именно процедуры удаления доменов из реестра и коснулись изменения: во-первых, список удаляемых доменов стал публичным (он загодя публикуется в специальном разделе сайта оператора реестра домена RU – ТЦИ – http://tcinet.ru/); во-вторых, всем заинтересованным сторонам известно расписание, по которому производится удаление доменов (расписание опять же находится в общем доступе на сайте ТЦИ).

В марте 2013 года случился первый в новейшей истории домена RU прецедент прямого и смелого регулирования доменного рынка со стороны Координационного центра. Причиной послужило судебное разбирательство вокруг одного из доменов. Суд поддержал сторону, требовавшую передать ей спорный домен, постановив так и сделать. Однако регистратор данного домена – ООО «СейлНеймс» (Salenames.ru) – не сумел выполнить решение суда или, по другой версии, просто «не захотел» суметь. В результате технической ошибки регистратора, которую также можно трактовать как бездействие, спорный домен освободился и был тут же перехвачен другим регистратором. Последний, соответственно, уже не фигурировал в судебных тяжбах по этому домену, что создало дополнительные трудности в исполнении решения суда. Таким образом, спорный домен как бы повис в воздухе.

Координационный центр сперва вынес предупреждение регистратору «СейлНеймс», а потом, так как нарушения устранены не были, достаточно оперативно приостановил его аккредитацию. Надо заметить, многие сомневались, что КЦ пойдет на столь строгие меры, но ошиблись. КЦ подтвердил свое новое реноме «реального регулятора».

Приостановка аккредитации означает, что регистратор не может регистрировать новые имена .RU, но продолжает поддерживать старые, зарегистрированные до момента приостановления. Следующий за приостановкой шаг («СейлНеймс» удалось его избежать) – лишение аккредитации. В этом случае деятельность регистратора по регистрации имен. RU прекращается, а находящиеся у него на поддержке имена изымаются и передаются специальному «техническому регистратору», с тем чтобы позже администраторы доменов могли их перевести к иным аккредитованным регистраторам: естественно, процедура не ставит задачи отобрать домены у администраторов.

Впрочем, «СейлНеймс» аккредитации не лишили. Этот регистратор, надо сказать, в ответ на приостановление регистрации начал контратаку: отправив жалобы на действия КЦ в сложившейся ситуации в Федеральную антимонопольную службу (ФАС) и в Министерство связи. Кроме того, был подготовлен судебный иск. Может возникнуть вопрос: при чем здесь ФАС? Но чуть выше мы разобрались, что лишение регистратора доступа к реестру доменов прямо влияет на возможность ведения соответствующим юридическим лицом бизнеса – так что очевидны признаки недобросовестной конкуренции. Конечно, эти признаки усматриваются только в том случае, если придерживаться точки зрения, что Координационный центр не является никаким регулятором рынка, а лишь «самовольно присвоил функции по регулированию», «занял доминирующее положение» и препятствует, таким образом, в осуществлении коммерческой деятельности другим участникам рынка. Но такая точка зрения непопулярна ни в судах, ни в ФАС, ни в Минсвязи, дальнейшее развитие ситуации это подтвердило – каких-то мер к Координационному центру принято не было.

Надо отметить, что Координационный центр действует в рамках соглашения с международной корпорацией ICANN – которая и наделила его фактическим полномочиями по административному управлению доменом .RU. ICANN достаточно давно при выборе администратора национальных доменов принимает во внимание одобрение со стороны уполномоченных государственных органов, регулирующих сферу телекоммуникаций в государстве, которому данный национальный домен принадлежит. Так что КЦ, конечно, имеет такое одобрение. Более того, в состав Совета КЦ, как указано выше, входит представитель государства (Администрации связи РФ).

Итак, после скандала в профильной прессе и угроз судебного разбирательства ситуацию удалось урегулировать, по крайней мере на какое-то время: после заседания согласительных комиссий и рабочих групп уже в апреле 2013 года аккредитация «СэйлНэймс» была возобновлена (http://cctld.ru/ru/press_center/news/ news_detail.php?ID=4475).

Другой новинкой Правил регистрации явились процедуры досудебного урегулирования доменных споров и конфликтов вокруг «зловредных» доменов. Правила предоставили механизм предварительного блокирования некоторых действий с доменом по заявлению правообладателя, в случае если последний усматривает какие-то нарушения его прав в связи с доменным именем. Обратите внимание, что речь идет только о товарных знаках. Получив соответствующим образом оформленное заявление правообладателя, регистратор должен заблокировать возможность смены администратора домена, возможность передачи его другому регистратору, а также аннулирования регистрации. Правила предполагают, что правообладатель, заблокировав домен, незамедлительно обратится в суд с соответствующим исковым заявлением.

Что касается «зловредных» доменов, то тут речь идет о доменах, используемых в противоправной деятельности. Новые Правила несколько формализовали отношения с регистраторами уполномоченных организаций, прямо наделив последние возможностью приостанавливать делегирование доменных имен. Естественно, прежде всего эти возможности касаются государственных силовых структур: регистраторы, согласно Правилам, могут прекратить делегирование доменного имени «на основании письменного решения руководителя (заместителя руководителя или приравненного к нему должностного лица) органа, осуществляющего оперативно-розыскную деятельность». Обратите внимание, что речь в Правилах идет именно об органах, осуществляющих оперативно-розыскную деятельность – их список включает не только полицию.

Также регистратор «вправе прекратить делегирование домена при поступлении регистратору мотивированного обращения организации, указанной Координатором как компетентной в определении нарушений в сети Интернет…». Здесь, впрочем, речь идет о доменах, используемых во вполне конкретных (перечисленных в Правилах) целях злоумышленниками – в частности, для фишинга, распространения программ-зловредов и противоправного контента. Список компетентных организаций определяет Координационный центр, так, в 2013 году в него входили «Лига безопасного Интернета», Group-IB и «Лаборатория Касперского».

Данный текст является ознакомительным фрагментом.