Александр Венедюхин - Домены. Все, что нужно знать о ключевом элементе Интернета

Если для «угона» домена часто требуются бумажные документы, то перехватить управление можно и по «безбумажной технологии». Так, регистраторы предоставляют своим клиентам веб-интерфейс, служащий для оперативного управления доменами через Интернет с помощью веб-браузера. Обычно доступ к веб-интерфейсу производится с авторизацией пользователя по паролю (используется пара логин/пароль; логин – системное имя, присвоенное данному клиенту). Злоумышленник, которому стал известен пароль (и логин) клиента регистратора для доступа к веб-интерфейсу, получает возможность перехватить управление веб-интерфейсом. Соответственно, все операции с доменами клиента, доступные через веб-интерфейс и не требующие дополнительной авторизации, оказываются в распоряжении злоумышленника.

Предположим, что добропорядочный клиент размещает под доменом свой сайт. Злоумышленник, получив управление доменом через веб-интерфейс, может изменить записи DNS для домена таким образом, что домен будет указывать на другой сайт, например на интернет-ресурс, находящийся под контролем хакеров. Для чего это нужно злоумышленнику? В некоторых случаях лишь для того, чтобы потешить самолюбие, разместив под перехваченным доменом страничку с информацией о хакерской группировке, которая взломала сайт. Однако в более изощренных планах перехваченный домен может служить платформой для сложной атаки с подменами сайтов, состоящей из нескольких ступеней и имеющей своей целью вполне конкретные способы извлечения прибыли (незаконные, конечно).

Раскрытие пароля к веб-интерфейсу также возможно с помощью целой палитры наработанных методов. Во-первых, администратор домена может самостоятельно разгласить пароль, записав его на листке бумаги, прикрепленном к компьютеру: «Мой пароль для доменов: 31415926». Во-вторых, пароль можно узнать, используя электронную почту: либо просматривая почтовый трафик (если пароль пересылался в незашифрованном сообщении), либо перехватив управление почтовым ящиком атакуемого клиента и запросив пароль у сервера регистратора с помощью популярных механизмов напоминания пароля. В-третьих, пароль можно подобрать, задействовав автоматические программы, работающие с применением словаря (не у всех регистраторов есть эффективная защита от массовой проверки пользовательских паролей злоумышленниками). Существуют и другие способы.

Что делать администратору домена, чтобы уменьшить риски? Прежде всего, сохранять пароль в тайне и не пользоваться веб-интерфейсом с чужих компьютеров. Следующий шаг – узнать, не предоставляет ли регистратор дополнительных средств защиты веб-интерфейса. Среди таких методов:

использование нескольких паролей, например технического и административного. Первый пароль может позволять лишь просматривать настройки доменов и выполнять только самые безопасные действия, а для внесения сколько-нибудь критичных изменений будет требоваться дополнительный ввод административного пароля;

ограничение доступа к веб-интерфейсу на основании клиентского IP-адреса (способ довольно эффективный, хоть и не всегда удобный). То есть сервер регистратора позволяет использовать веб-интерфейс для управления доменом (даже при условии указания паролей и логинов) только с компьютеров, имеющих IP-адреса из разрешенного списка. Этот список клиент формирует самостоятельно и для активирования функции лично предъявляет регистратору. Можно вообще запретить проводить любые операции с доменом без дополнительного подтверждения по телефону – но тут, впрочем, многое зависит от желания регистратора предоставлять такую довольно затратную по времени услугу; кроме того, необходимо правильно оформлять права на управление доменом: если это ваш корпоративный домен, то оформляйте его на компанию, а в уставе укажите, что директору требуется одобрение учредителей на проведение любых операций с доменом.

Доменный рынок растет, а вместе с ним увеличивается и число компаний-регистраторов. Самым ожидаемым образом повышение числа регистраторов приводит к тому, что ширится и разнообразие этих регистраторов в смысле подходов к ведению бизнеса. Например, в домене RUосенью 2013 года действовало около пятнадцати заметных на рынке регистраторов. Это различные компании, отличающиеся и формой собственности, и внутренней организацией, и «деловым стилем». В дальнейшем можно ожидать еще большего роста числа регистраторов.

Такая ситуация приводит к возникновению относительно нового аспекта в проблемах доменной безопасности, связанного со степенью доверия к регистратору со стороны клиента: насколько можно быть уверенным в том, что у компании-регистратора не возникнет серьезных проблем, в результате которых клиент может лишиться своего домена. Степенью уверенности в значительной мере определяется выбор регистратора.

Данная проблема характерна не только для домена RU. Нельзя, конечно, делать вывод, что все новые компании обязательно ненадежны. Накладки возникают и у старейших, крупнейших регистраторов. Тем не менее проблема существует, и рост числа регистраторов ее усугубит.

Наглядным примером может служить история с американским регистратором RegisterFly, который лишился аккредитации ICANN в 2007 году. У RegisterFly, работавшего в том числе с популярными доменами COMи NET, возник внутренний производственный конфликт в совете директоров. Из-за общей неразберихи и технических проблем компания попросту перестала выполнять свои функции по управлению доменами, в результате у клиентов этого регистратора возникли не просто технические трудности: несколько тысяч из них вообще остались без доменов.

Так как с точки зрения реестра доменов администратор конкретного имени оказывается представлен своим регистратором, то проблемы регистратора обязательно отразятся на администраторе и на его возможностях по управлению доменным именем. Поэтому, выбирая регистратора и заботясь о безопасности, администратору домена следует обратить внимание на историю компании и на методы ее работы, а не исходить из принципа «где дешевле».

«Доменная наценка», очевидно, не связана напрямую с безопасностью доменов. С одной стороны, было бы странно ожидать, что надежность выполнения функций по управлению доменом клиента можно обеспечить за сумму, близкую к нулю рублей. С другой – понятно, что средства на управление доменами могут выделяться компанией-регистратором из доходов, получаемых от других видов деятельности.

Вернемся к домену RU. Как я писал в главе, посвященной национальному домену России, сумма, которую регистратор перечисляет в пользу реестра и технического центра домена RU, составляет около 70 рублей за каждую операцию регистрации домена. На эту сумму регистратор делает наценку, обеспечивая собственную прибыль. Например, домен для конечного пользователя может стоить 600, 500 или даже 200 рублей. Из чего формируется регистраторская наценка? Из расходов регистратора по сопровождению доменного имени и взаимодействию с клиентом – администратором этого имени. Понятно, что уже оформление отдельного договора с клиентом и прием от него заявки на доменное имя потребуют затрат (оплата труда сотрудника, принимающего договор, и т. д.). В наценку также включаются расходы на обеспечение надежной работы регистраторских функций компании (ведение базы данных клиентов, работа с реестром доменов, предотвращение возможных сбоев).