Достоверность: а туда ли я попал?

We use cookies. Read the Privacy and Cookie Policy

Достоверность: а туда ли я попал?

Самым большим по количеству разнообразнейших проблем является класс доверия к доменам и DNS в целом. Причина в том, что классическая DNS вообще не

предусматривает эффективных способов проверки достоверности данных со стороны пользователя Интернета. При этом для неподготовленного пользователя адрес, переданный DNS, служит своего рода элементом психологического подтверждения того, что пользователь зашел именно на тот сайт, который обозначен адресом в адресной строке браузера. Этот факт наиболее активно эксплуатируется злоумышленниками, так что рассмотренные выше аспекты доменной безопасности для хакеров служат лишь фундаментом к использованию проблем из класса доверия.

Чтобы составить представление о том, насколько важна достоверность DNS, взглянем на один реальный пример (названия фигурирующих в этой истории компаний упоминаться не будут).

Несколько лет назад на московском рынке широкополосного доступа к Интернету появился новый игрок – один из крупнейших (впрочем, можно сказать, самый крупный) общегородских операторов связи. Новый провайдер, используя доступные практически в каждой квартире абонентские линии, предлагал широкополосный (то есть очень быстрый) и качественный доступ к Интернету по весьма и весьма разумной цене, да еще и построенный с помощью «верных технологий».

На момент появления этого игрока основными поставщиками широкополосного квартирного Интернета в столице являлись разнообразные домовые сети – небольшие компании (иногда даже не имевшие юридических оснований для своей работы), подключавшие квартиры и дома к Глобальной сети с помощью технологий построения локальных вычислительных сетей, а именно Ethernet. Мы не станем сейчас обсуждать технические особенности сетей интернет-доступа и преимущества различных технологий. Нам важно отметить один момент: с приходом на рынок упомянутого крупного игрока домовые сети «почуяли», что грядет конец их существования. Особенно плохо себя почувствовали мелкие сети, так как начался стремительный отток клиентов: новый провайдер предлагал более выгодные тарифы и более качественные услуги, противопоставить которым было нечего.

Разумеется, у нового игрока имелся красивый корпоративный сайт, где рассказывалось о тарифах и способах подключения. Потенциальные клиенты, узнав о новом провайдере из рекламы (например, по телевидению), направлялись на корпоративный сайт, чтобы подробнее ознакомиться с услугами. Вполне естественный и понятный способ формирования клиентской базы.

Понимали это и владельцы – администраторы домовых сетей. А также они понимали, что их клиенты для доступа к корпоративному сайту провайдера-конкурента будут пользоваться домовой сетью: другого способа подключения к Интернету у клиентов нет.

Так вот, администраторы одной из домовых сетей (скорее всего, «находка» использовалась не только в этой сети) изменили записи своей локальной DNS таким образом, что доступ к сайту конкурента для клиентов этой сети оказывался невозможным. (Тут нужно отметить, что клиентов того или иного интернет-провайдера традиционно обслуживают его DNS-серверы. И конечно, настройки этих DNS-серверов целиком находятся в руках администраторов локальной сети.)

Записи в «локальном DNS» были изменены таким образом, что с точки зрения пользователя все выглядело так, будто «сетевая неисправность» находится на стороне корпоративного сайта конкурента домовой сети. Посетитель набирал в адресной строке браузера имя домена, увиденное в рекламе, и попадал на «испорченный» сайт, в итоге перебрасывавший браузер на веб-страницу головной компании холдинга, в который входил конкурирующий с домовой сетью оператор. При этом в адресной строке браузера отображался именно адрес из рекламы – домен корпоративного сайта провайдера, – и пользователь был уверен, что все делает правильно.

Рассерженные пользователи из этой домовой сети, ничего не подозревавшие о подмене DNS, изливали гнев на интернет-форумах: «Ничего не понимаю! У них сайт не работает, ничего найти нельзя. Как же так можно! Бред! Я не стану пользоваться услугами оператора, который даже собственный сайт “из рекламы” не умеет наладить!» При этом, подчеркнем, для всего остального Интернета сайт из рекламы конкурента домовой сети хорошо работал и внятно доносил до своих посетителей информацию об услугах. Эти посетители из других уголков Интернета долго вообще не могли понять, что имеют в виду их обозленные «коллеги» по общению на форумах. «Да как же? Вот же ссылка – все об услугах написано!» – возражали они, так как в их браузерах открывался совсем другой сайт, хоть и под тем же доменным именем. Обманутые же с помощью DNS клиенты домовой сети «попадали не туда», совершенно об этом не подозревая.

Целью акции, несомненно, являлось отпугивание клиентов от услуг конкурента. Понятно, что подобное мероприятие можно отнести лишь к разряду поступков «обезумевшего администратора». В итоге подлог довольно быстро раскрылся, ведь Интернет существует и вне «обиженной» домовой сети, а клиенты, узнав об истинном положении вещей (некоторых оно шокировало), полностью утратили доверие к нагло обманувшему их провайдеру. Домовая сеть не «прожила» после этого и полугода, что, впрочем, только подчеркивает важность проблемы с подделкой ответов DNS.

Администратор, официально зарегистрировавший домен, должен понимать: сам факт регистрации совсем не гарантирует, что другие пользователи Сети увидят под этим доменом именно тот сайт, который разместил администратор. К сожалению, DNS, находящаяся в данном случае между владельцем домена и конечным пользователем Интернета, позволяет провайдерам на местах подделать соответствие домена и сайта.

Нужно отметить весьма важный момент: сама по себе DNS не является пособником хакеров, подделывающих сетевые адреса. Напротив, тщательное соблюдение стандартов и протоколов DNS приведет к тому, что все адреса окажутся настоящими, а система будет работать без сбоев. Корень проблемы в другом: DNS не позволяет противодействовать активным злоумышленникам, которые осознанно нарушают протоколы и стандарты. Другими словами, не являясь источником зла, классическая DNS этому злу попустительствует.

При этом действенных мер, позволяющих бороться с подделкой ответов DNS о сайтах, пока не выработано. Хотя проблема специалистам понятна, и способы ее решения ищутся. Например, одним из методов противодействия подделке ответов DNS является технологическая инициатива DNSSEC (http://www.dnssec.net/), предлагающая набор мероприятий, которые позволят DNS-серверам, ответственным за тот или иной конкретный домен, подписывать ответ с помощью электронной подписи и механизма сертификации. Введение DNSSEC позволяет на стороне операционной системы компьютера конечного пользователя проверять корректность полученных от локального DNS-сервера ответов об адресах сайтов.

Другой способ, позволяющий помочь администратору домена удостовериться, что конечные пользователи будут видеть под доменом именно тот сайт, который разместил там администратор, – это введение дополнительных защищенных каналов связи между браузером конечного пользователя и неким авторитативным сервером. Пользователя обязательно придется уведомить об этом по каналам, в той или иной мере независимым от провайдера, хотя бы с помощью защищенной электронной почты.

DNS играет важную роль и в блокировании запрещенного контента (не будем называть это «цензурой Интернета»), проводимого по указанию государственных ведомств. Так, в России рекомендации Роскомнадзора по блокированию доступа на сетях интернет-провайдеров, учитывают информацию, получаемую из DNS. С помощью этой системы предлагается определять действующие IP-адреса блокируемых ресурсов.

Впрочем, неверная реализация метода из рекомендаций крупнейшим российским канальным провайдером однажды привела к блокировке «Яндекса». Ключевую роль опять сыграла DNS. Владельцы заблокированного ресурса просто взяли и перенастроили свой домен так, что он стал показывать на IP-адреса «Яндекса». Это можно сделать с любым доменом, никаких проблем тут нет. В результате в список блокировки попали адреса «Яндекса», и один из ключевых сервисов российского сегмента Интернета оказался в течение примерно часа недоступен для большой части интернет-пользователей.

Эта история показывает, что среди основных угроз существованию современного Интернета числится и блокирующая «Красная кнопка», которая однажды может попасть в неумелые руки.

Конечно, общепринятые (но не имеющие юридической силы) правила работы в Интернете запрещают провайдерам нарушать связность сети и валидность DNS.

А подделка сетевых реквизитов числится в ряду самых серьезных нарушений. Тем не менее провайдеры правила нарушают – с умыслом и без – по разным причинам: будь то цензура содержимого Сети (как в описанном выше случае с домовой сетью), системный сбой или хакерская атака. Радует только одно: такие нарушения пока не носят массового характера.

Мы рассмотрели комплекс проблем, связанных с достоверностью адресов, имен доменов и с доверием к адресной системе с одной стороны, со стороны администратора (владельца) доменного имени. Не менее многогранным предстает тот же комплекс с другой стороны – со стороны рядовых пользователей Сети, рядовых посетителей сайтов. Именно на этой стороне «фокусы с доверием» вносят наибольший вклад в формирование реалий современного Интернета.

Данный текст является ознакомительным фрагментом.