Новая система безопасности поможет остановить киберпреступников, использующих подставные сайты, через которые пользователи загружают вирусы или предоставляют конфиденциальные данные. «Это исторический момент. Это новое слово в безопасности и касается всех, кто пользуется компьютером и интернетом, то есть почти всех нас», — заявил исполнительный директор организации ICANN, координирующей доменные имена, Род Бекстр на международной конференции по кибербезопасности.
Речь идет о протоколе DNSSEC — технологии расширенной безопасности DNS, которая позволяет определить, пришло ли письмо пользователю с настоящего адреса или фиктивного.
Так, хакеры для получения сведений о банковское карте могут направить письмо якобы от банка с просьбой ввести личные данные или перейти по ссылке, где может быть вирус. Еще один частый пример мошенничества: хакеры могут без труда вклиниться в процесс запроса на одном из этапов, перенаправить пользователя на подставные серверы и таким образом получают доступ к паролям и другой конфиденциальной информации. Сами пользователи в большинстве случаев даже не подозревают о том, что запрос был перенаправлен.
Система DNSSEC предупреждает подобные мошенничества.
«Когда пользователь получает письмо от банка, он должен быть уверен, что он его получил действительно от банка,
— говорит Дэн Камински, хакер, ставший специалистом по компьютерной безопасности. — Эту уверенность мы, как инженеры, должны обеспечить». Технология DNSSEC позволяет убедиться в достоверности адреса посещаемого сайта: она присваивает «цифровую подпись» каждому адресу интернета. Когда пользователь получает письмо с какого-либо адреса, DNSSEC сверяет цифровую подпись и определяет, соответствует ли она реальному адресу или же подложному.
«В первую очередь система предназначена для увеличения доверия между серверами, а значит, и для повышения доверия к информации», — поясняет представитель НИИ развития общественных сетей (РосНИИРОС) Андрей Воробьев.
Критики DNSSEC предупреждают, что технология «цифровых подписей», или ключей для DNS, очень удобна для прицельного выключения доменов, целых групп доменов или даже национальных интернетов. Для защиты от крупных хакерских атак была создана специальная программа — криптографический ключ сети DNS. Выглядит он как пластиковая карточка с микросхемой внутри. Затем ключ разделили на части, которые раздали нескольким доверенным представителям. Благодаря этому пять владельцев фрагментов ключа из семи смогут, собравшись вместе, перезапустить глобальную сеть при чрезвычайных обстоятельствах, например, при крупной террористической атаке. Периодически сам ключ и состав «специальной группы программистов» будут меняться, чтобы снизить вероятность того, что хакеры смогут расшифровать ключ.
Технология DNSSEC уже запущена и работает в Америке. DNSSEC уже поддержали международные корневые доменные зоны org., com., ряд национальных европейских доменных зон переводятся также на поддержку этой технологии. Россия также заявила о своих планах присоединиться к системе DNSSEC: до конца года она будет запущена в тестовом режиме, а в 2011 году Россия подключится к ней, говорит Воробьев.