Как сообщает CyberSecurity, администратор доменной зоны ORG Public Interest Registry начал процедуру криптографической подписи доменов этой зоны. Тем самым оказалась развернута система DNSSEC. Главное в DNSSEC - цифровая подпись, обеспечивающая неприкосновенность данных в системе DNS, отвечающей за сопоставление доменов IP-адресам.
Иными словами, набирая в адресной строке браузера, например, un.org, каждый человек, компьютер которого не поражен вирусом, может быть уверен, что попадет именно на сайт ООН, а не на сайт злоумышленниковВся информация о защищенном домене DNSSEC зашифрована и может быть изменена только при помощи закрытого ключа шифрования. При защищенном делегировании домена сервер генерирует пару ключей. Самое главное - место хранения этих ключей. Ключи хранятся в ICANN, а это, по мнению специалистов из «Регтайма», не является оптимальным решением с точки зрения безопасности. Кроме того, ICANN подконтрольна американской торговой палате, что не устраивает многие европейские страны. Однако пока ситуация не меняется - и ключи от всех сайтов одного из крупнейших доменов оказались в руках у организации, аффилированной с американским правительством.
В двухбуквенных национальных доменных зонах DNSSEC действует уже давно. Объяснения у этого чисто экономические. «Это дорого, связано с высокими нагрузками и огромным объемом DNS-трафика, поэтому в более компактных двухбуквенных зонах внедрение технологии DNSSEC проходит более спокойно, чем в «густонаселенных» трехбуквенных», - говорит директор департамента по связям с общественностью компании RU-CENTER Андрей Воробьев.
Итак, введение DNSSEC - это, во-первых, дорого, во-вторых - «несуверенно» в том смысле, что ключи криптозащиты передаются не слишком независимой организации. Американское правительство использует Интернет как рычаг влияния, отключая «страны-изгои» от некоторых сервисов. При этом не вполне очевидны те самые страшные угрозы, от которых защищает эта технология. «Реально технология DNSSEC защищает только от подмены ответа авторитативного сервера доменной зоны. Такая уязвимость (подмена ответа сервера) была обнаружена в системе DNS 15 лет назад и за эти годы на практике злоумышленниками ни разу не использовалась. Все, что было описано в СМИ - это были лабораторные проверки уязвимости», - рассказал г-н Воробьев.
Итак, имеется дорогая, с неясными последствиями внедрения технология защиты от угрозы, которую ни один хакер не смог за 15 лет воплотить в жизнь. Несмотря на высокую стоимость, эта технология продолжает внедряться и в кризис.