В этом году Корпорация по управлению доменными именами и IP-адресами (ICANN) впервые в истории глобального интернета проводит обновление настроек защиты мировой системы доменных имен (DNS). Переход на новые ключи намечен на 11 октября. При этом ICANN предупредила, что «небольшой процент интернет-пользователей» испытает сложности в связи с этим. Проблема может возникнуть при преобразовании имени ресурса в числовой IP-адрес, который компьютеры используют для соединения друг с другом. Из-за этого некоторые сайты могут не открываться. The Village поговорил с экспертами по информационной безопасности и крупными игроками Рунета о том, готовятся ли они к каким-то проблемам из-за новых настроек в мировой Сети.

Зачем меняют ключи в глобальном интернете и в чем тут риски


Александр Калинин

руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT-GIB) компании Group-IB

Как и любая другая система, использующая инфраструктуру закрытых-открытых ключей, DNS требует периодического обновления. Оно нужно, чтобы злоумышленники не взломали ключи и не скомпрометировали систему. Это своего рода профилактика для снижения вероятности хакинга. Она необходима, хоть с 2010 года не зафиксировали ни одного такого инцидента.

К появлению новых уязвимостей в системе процесс обновления не приведет. Однако киберпреступники, как на любом хайпе такого рода, могут воспользоваться неосторожностью или паникой людей. Например, разошлют спам или вредоносную рекламу с такими заявлениями: «Не хочешь, чтобы интернет перестал работать завтра? Тогда скачай программу, и не будет проблем». К таким вещам нужно относиться внимательно и, конечно, не скачивать все подряд на свои устройства.

Обычным пользователям беспокоиться и предпринимать какие-то дополнительные меры безопасности не нужно

Весь процесс смены ключей внимательно контролируется ICANN, а подготовка к нему началась уже давно. Более того, он даже переносился в 2015 году из-за отсутствия полной уверенности в том, что все готовы к такому переходу. За это время провели конференции и семинары с крупными операторами, а также выпущены все необходимые мануалы, чтобы операция прошла гладко. Даже если оператор по определенной причине не подготовится к смене ключей, то проблему выявят моментально из-за снижения скорости работы ресурса или полного отсутствия доступа. Однако уже сейчас понятно, что теоретически это коснется небольшого процента пользователей и, вероятнее всего, проблемы будут только со скоростью загрузки страниц.

Обычным пользователям беспокоиться и предпринимать какие-то дополнительные меры безопасности не нужно. Это задача поставщиков сервиса DNS — системных администраторов в компаниях, регистраторах, хостинг-провайдерах и специализированных организациях. Но, чтобы максимально облегчить процесс смены ключей, ICANN выпустила подробное руководство для аудитории с любым уровнем технических знаний — «What to Expect During the Root KSK Rollover». Вся информация в нем поможет понять сам процесс и крайне доступно объяснит, чего именно стоит ожидать от обновления ключей.


Александр Демидов

директор направления облачных сервисов «Битрикс24»

Я считаю, что текущая ситуация значительного риска не представляет. По сравнению с проблемой Y2K она значительно более контролируема. Если в преддверии 2000 года были опасения о сбоях, так как никто не мог достоверно знать, как написано то или иное ПО, подвержено ли оно проблеме, то сейчас речь идет о полностью документированных стандартами RFC протоколах и процедурах смены ключей.

Скорее всего, пострадать могут лишь относительно небольшие провайдеры и их клиенты. Вряд ли случатся какие-либо глобальные сбои. Ключи хотели обновить осенью 2017 года. Но ICANN, сделав оценку количества DNS, не готовых к этой процедуре, перенесла ее на более поздний срок. Раз она готова сделать это сейчас, значит, считает процент тех, кто потенциально может пострадать, настолько мизерным, что не видит в этом значительных рисков.

Скорее всего, пострадать могут лишь относительно небольшие провайдеры и их клиенты. Вряд ли случатся какие-либо глобальные сбои

Речь идет не об уязвимости, а о том, что обновление ключей безопасности — относительно сложная и поэтапная процедура. Ее можно автоматизировать, можно выполнять вручную. Но всегда остается риск ошибок — человеческий фактор. Поэтому я бы сказал, что ключевой риск — это банально квалификация технических специалистов провайдеров, обслуживающих те или иные DNS, которыми, в свою очередь, пользуются клиенты. Конкретно нам ничего делать было не нужно.


Что говорят в Рунете

Илья Грабовский

пресс-секретарь «Яндекса»

Все будет работать. На работоспособность сервисов «Яндекса» это никак не повлияет.


Мария Заикина

директор по связям с общественностью интернет-компании Ozon

Не стоит пророчить коллапс интернета или электронной торговли. Во-первых, в среде e-commerce и других секторах, таких как поиск и видеохостинг, крупнейшие российские и международные игроки далеко не повсеместно используют DNSSEC. Но это не означает пониженной планки безопасности: ее обеспечивает целый комплекс других технологических решений.

Мы не предвидим каких-либо проблем и сбоев, связанных с обновлением настроек

Во-вторых, обновление настроек защиты мировой системы доменных имен прежде всего затрагивает публичные DNS-серверы. При этом учтем, что DNS представляет собой иерархическую структуру. То есть не произойдет ситуации, когда для обновления ключей — связки между сайтом и его именем — в каталог обращаются миллионы серверов. Это происходит по-другому: самые крупные серверы ходят в корневой каталог и обновляют ключи для связки сайтов и их имен. Серверы меньшего масштаба подключаются к крупным и получают информацию у них. Поэтому обновиться должны будут только большие. А поскольку ICANN предупреждает о процедуре заранее, обновление можно запланировать и провести в штатном режиме.


Сергей Ковеленов

основатель бренда Oh, My

Насколько мы понимаем, от нас ничего не зависит — это вопросы к провайдерам и, возможно, к нашему хостингу. Ближе к дате мы узнаем у него, надо ли что-то предпринимать. А если сломается интернет, сделаем неделю открытых дверей или устроим продажи в Telegram — видимо, он работает при любых раскладах. Кстати, в 1999 году говорили, что, когда наступит следующий год, все компьютеры сломаются — они же таких чисел не знают. Но вроде пока все пучком.