Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
ICANN предупредила о перебоях в мировом интернете после 11 октября
1 view
Skip to first unread message
Anton Gorlov
Sep 6, 2018, 5:04:59 AM9/6/18
to
Привет All!
ICANN предупредила о перебоях в мировом интернете после 11 октября
После 11 октября пользователи могут столкнуться со снижением скорости работы в
Сети, а часть сайтов будет недоступна. Причина ? первое в истории обновление
настроек защиты мировой системы доменных имен. Готовы к этому не все
Фото: Toru Hanai / Reuters
В конце августа Корпорация по управлению доменными именами и IP-адресами
(ICANN) напомнила, что ╚готовится к первой в истории смене криптографических
ключей, которые служат защитой для системы доменных имен интернета╩ (DNS).
Переход на новые ключи (Key Signing Key, KSK) должен состояться 11 октября. При
этом организация ?предупредила, что ╚небольшой процент интернет-пользователей
испытает сложности при разрешении доменных имен╩ (то есть при преобразовании
имени ресурса в числовой IP-адрес, например, rbc.ru ? в 80.68.253.13), которое
компьютеры используют для соединения друг с другом. Из-за таких сложностей
часть пользователей, например, не сможет открыть указанный ими в адресной
строке браузера сайт.
Несмотря на опубликованное сообщение ICANN, 11 октября ? это предварительная
дата перехода на новые ключи, рассказала РБК глава по глобальному
взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной
Азии ICANN Александра Куликова. Точная дата перехода будет утверждена на
?заседании правления корпорации, которое должно состояться на следующей неделе,
12 сентября.
Что такое ключи и зачем их менять?
Криптографические ключи появились в 2010 году по инициативе ICANN. Они
применялись в расширении DNS Security (DNSSEC). Изначально в DNS-серверах не
была предусмотрена проверка подлинности ответов, чем пользовались
злоумышленники: они могли перехватить запрос компьютера пользователя, который
пытался установить IP-адрес своего ╚места назначения╩, и заменить его на
неправильный. Таким образом, пользователь, сам того не замечая, мог
подключиться к серверу мошенников. Чтобы избежать этого, в 2010 году было
выпущено расширение DNSSEC, которое согласились установить многие крупные
интернет-провайдеры. ?
По словам директора Координационного центра доменов .RU/.РФ Андрея Воробьева,
DNSSEC обеспечивает безопасность и целостность системы интернет-адресации.
╚Когда пользователь пытается зайти на какой-то ресурс, его интернет-провайдер
выясняет для него адрес, по которому надо сделать запрос, чтобы открылся сайт
или приложение, отправилась электронная почта и т.д. DNSSEC выступает таким
глобальным распределенным автоматизированным нотариусом, который подтверждает
оператору, что адрес, который он узнал для своего клиента, верен╩, ? объяснил
Воробьев.
Еще в 2010 году ICANN взяла на себя обязательство, что будет менять
криптографические ключи ╚при необходимости или по истечении пяти лет работы╩,
рассказала Куликова. ╚Несмотря на то что ключ ни разу не был скомпрометирован
за это время, замена ключей, как и паролей, ? это хорошая практика
криптографической ╚гигиены╩, поэтому был разработан подробный план подготовки и
осуществления смены ключа в штатных условиях. Обновление KSK означает создание
новой пары криптографических ключей ? открытого и закрытого ? и распространение
нового открытого компонента среди сторон, которые управляют распознавателями с
функцией проверки подлинности. Это, например, интернет-провайдеры,
администраторы сетей, разработчики программного обеспечения для распознавателей
DNS, системные интеграторы и т.п.╩, ? пояснила Александра Куликова.
Почему ключи меняются впервые?
Несмотря на то что пятилетний срок для смены ключа истек еще в середине 2015
года, нынешняя смена KSK будет первой в истории ICANN. Впервые о необходимости
провести эту процедуру организация объявила в 2016 году. На следующий год была
выпущена открытая часть ключа, а сам переход от старой версии к новой был
назначен на 11 октября 2017 года. Но мероприятие пришлось отложить из-за
низкого уровня готовности интернет-провайдеров, пояснила Куликова. ╚Мы знали c
самого начала, что стопроцентной готовности к смене KSK не будет, но данные,
полученные к лету 2017 года, показали, что к ней было не готово большее
количество интернет-провайдеров и сетевых операторов, чем ожидалось╩, ? указала
она. По словам представителя ICANN, корпорация еще ни разу не сталкивалась с
риском компрометации ключа, поэтому было принято решение отложить процедуру его
замены еще на год для проведения необходимой работы с операторами.
Сколько пользователей столкнется с проблемами?
По словам Александры Куликовой, в 2017 году примерно у четверти пользователей
интернета ? около 750 млн человек ? доступ в интернет так или иначе зависел от
операторов, использующих расширение DNSSEC. Именно эти пользователи
потенциально могут столкнуться с проблемами. Однако, по мнению Куликовой, все
крупные игроки, скорее всего, давно произвели необходимые обновления и смогут
перейти на новый KSK. Смена криптографического ключа ? процедура не
одномоментная, фактически она идет на протяжении последних двух лет, отметил
Андрей Воробьев. По его словам, процедура практически автоматическая и
╚большинство операторов связи в мире уже имеет все необходимые настройки в
своем сетевом оборудовании, которые позволят перейти на новый ключ
безболезненно и абсолютно незаметно как для пользователей, так и для владельцев
интернет-ресурсов╩. ╚Мы полагаем, что благодаря лучшему изучению технической
стороны запланированной на 11 октября 2018 года смены ключа KSK и новым усилиям
по оповещению тех членов интернет-сообщества, от кого зависит правильная
настройка систем подтверждения DNS-запросов, лишь небольшое количество
интернет-пользователей может столкнуться со сложностями при доступе к
интернет-ресурсам в результате замены ключа╩, ? сказала Куликова.
Фото: Александр Рюмин / ТАСС
Как пояснил РБК Владимир Иванов (бывший замруководителя департамента
эксплуатации ╚Яндекса╩ и бывший руководитель ИТ-департамента интернет-магазина
Lamoda), небольшие интернет-провайдеры могли включить себе проверку DNSSEC
много лет назад, но не обратили внимание на то, что сейчас необходимо было
поменять ключи. ╚Если сильно не повезет, могут сломаться базовые функции, такие
как синхронизация времени. В этом случае ╚сломается╩ очень многое, но это все
невидимо для людей. У людей просто ╚не будет работать интернет╩, ? объясняет
Иванов. Из материалов ICANN следует, что даже если ключи были обновлены
большинством интернет-провайдеров, из-за тех, кто этого не сделал, может
временно понижаться пропускная способность соединений, а вместе с ней и
скорость работы в Сети.
По словам Дмитрия Буркова, одного из криптографических офицеров ICANN,
отобранных из мирового интернет-сообщества и исполняющих функции внешних
советников и аудиторов, смена ключей KSK планируется последние четыре года.
╚Вряд ли мы увидим, что смена ключей пройдет без ошибок, так как определенная
доля DNS-программ не способна распознать новые ключи, потому что ПО устарело.
По той же причине 0,04% серверов, передающих запросы от пользователя, могут
неправильно отреагировать на ключ╩, ? считает Бурков. Он также указал, что
более удобным было бы иное устройство защитной системы ? с ключами, которые
генерировались бы регулярно, а существующее решение было выбрано под давлением
определенной части правления корпорации. ╚Ошибки при смене ключей отразились бы
скорее не на пользователях, а на репутации ICANN╩, ? заключил Бурков.
Готовы ли российские интернет-провайдеры?
╚Существуют процедуры, по которым ключевая информация по администрируемым нами
доменам своевременно заменяется, ? мы следуем этим процедурам, и все должно
произойти незаметно для всех пользователей. Фактически речь идет лишь об
установке нами обновления соответствующего программного обеспечения╩, ? отметил
исполнительный вице-президент по взаимодействию с органами исполнительной
власти ╚ВымпелКома╩ Михаил Якушев (в 2014?2017 годах был вице-президентом ICANN
по России, СНГ и Восточной Европе).
Готовы к смене ключей и в МТС. Вопросы о сложностях при проведении операции и
после нее, по словам представителя этой компании, необходимо адресовать в
ICANN. Не ожидает проблем в своей сети и представитель ╚Ростелекома╩. В
пресс-службе ╚МегаФона╩ ответили, что ╚изменения не затронут функционирование
сервисов компании╩. Другие крупные интернет-провайдеры либо не ответили на
вопросы РБК, либо связаться с ними не удалось.
Как работает интернет
Каждое устройство, подключенное к Глобальной сети (серверы, интернет-сервисы,
пользовательские устройства и т.д.), использует IP-адрес, по которому его можно
найти. Поиск осуществляется с помощью Domain Name System (DNS, англ. ? системы
доменных имен) ? компьютерной распределенной системы для получения информации о
доменах. Но числовой IP-адрес сложен для восприятия человеком, поэтому он
переведен в доменное имя. Благодаря DNS мы можем зайти в браузер и написать в
строке конкретный URL (rbc.ru). Система сама переведет его для компьютера в
IP-адрес и пришлет ответ в виде открывающейся страницы сайта на запрос
пользователя.
DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по
определенному протоколу и работающих по принципу ╚язык до Киева доведет╩.
Существует два типа серверов: авторитетные (сами отвечают за зону) и
рекурсивные (выполняют от имени клиента полный поиск нужной информации во всей
системе DNS, при необходимости обращаясь к другим DNS-серверам). К авторитетным
серверам относятся корневые серверы (root servers) ? те, которые имеют
информацию о корневой зоне, то есть могут ответить, кто знает про зону ╚ru╩.
Серверы зоны ╚ru╩ могут ответить, какие серверы знают, например, про зону
╚rbc.ru╩. Серверы зоны ╚rbc.ru╩ могут сказать, что у rbc.ru вот такой IP-адрес.
Автор: Евгения Баленко.
При участии: Филипп Алексенко.
Теги: ICANN , DNS-сервер , киберзащита , Рунет
https://www.rbc.ru/technology_and_media/06/09/2018/5b8fd0849a794729044457db?from=main
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
ICANN предупредила о перебоях в мировом интернете после 11 октября
После 11 октября пользователи могут столкнуться со снижением скорости работы в
Сети, а часть сайтов будет недоступна. Причина ? первое в истории обновление
настроек защиты мировой системы доменных имен. Готовы к этому не все
Фото: Toru Hanai / Reuters
В конце августа Корпорация по управлению доменными именами и IP-адресами
(ICANN) напомнила, что ╚готовится к первой в истории смене криптографических
ключей, которые служат защитой для системы доменных имен интернета╩ (DNS).
Переход на новые ключи (Key Signing Key, KSK) должен состояться 11 октября. При
этом организация ?предупредила, что ╚небольшой процент интернет-пользователей
испытает сложности при разрешении доменных имен╩ (то есть при преобразовании
имени ресурса в числовой IP-адрес, например, rbc.ru ? в 80.68.253.13), которое
компьютеры используют для соединения друг с другом. Из-за таких сложностей
часть пользователей, например, не сможет открыть указанный ими в адресной
строке браузера сайт.
Несмотря на опубликованное сообщение ICANN, 11 октября ? это предварительная
дата перехода на новые ключи, рассказала РБК глава по глобальному
взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной
Азии ICANN Александра Куликова. Точная дата перехода будет утверждена на
?заседании правления корпорации, которое должно состояться на следующей неделе,
12 сентября.
Что такое ключи и зачем их менять?
Криптографические ключи появились в 2010 году по инициативе ICANN. Они
применялись в расширении DNS Security (DNSSEC). Изначально в DNS-серверах не
была предусмотрена проверка подлинности ответов, чем пользовались
злоумышленники: они могли перехватить запрос компьютера пользователя, который
пытался установить IP-адрес своего ╚места назначения╩, и заменить его на
неправильный. Таким образом, пользователь, сам того не замечая, мог
подключиться к серверу мошенников. Чтобы избежать этого, в 2010 году было
выпущено расширение DNSSEC, которое согласились установить многие крупные
интернет-провайдеры. ?
По словам директора Координационного центра доменов .RU/.РФ Андрея Воробьева,
DNSSEC обеспечивает безопасность и целостность системы интернет-адресации.
╚Когда пользователь пытается зайти на какой-то ресурс, его интернет-провайдер
выясняет для него адрес, по которому надо сделать запрос, чтобы открылся сайт
или приложение, отправилась электронная почта и т.д. DNSSEC выступает таким
глобальным распределенным автоматизированным нотариусом, который подтверждает
оператору, что адрес, который он узнал для своего клиента, верен╩, ? объяснил
Воробьев.
Еще в 2010 году ICANN взяла на себя обязательство, что будет менять
криптографические ключи ╚при необходимости или по истечении пяти лет работы╩,
рассказала Куликова. ╚Несмотря на то что ключ ни разу не был скомпрометирован
за это время, замена ключей, как и паролей, ? это хорошая практика
криптографической ╚гигиены╩, поэтому был разработан подробный план подготовки и
осуществления смены ключа в штатных условиях. Обновление KSK означает создание
новой пары криптографических ключей ? открытого и закрытого ? и распространение
нового открытого компонента среди сторон, которые управляют распознавателями с
функцией проверки подлинности. Это, например, интернет-провайдеры,
администраторы сетей, разработчики программного обеспечения для распознавателей
DNS, системные интеграторы и т.п.╩, ? пояснила Александра Куликова.
Почему ключи меняются впервые?
Несмотря на то что пятилетний срок для смены ключа истек еще в середине 2015
года, нынешняя смена KSK будет первой в истории ICANN. Впервые о необходимости
провести эту процедуру организация объявила в 2016 году. На следующий год была
выпущена открытая часть ключа, а сам переход от старой версии к новой был
назначен на 11 октября 2017 года. Но мероприятие пришлось отложить из-за
низкого уровня готовности интернет-провайдеров, пояснила Куликова. ╚Мы знали c
самого начала, что стопроцентной готовности к смене KSK не будет, но данные,
полученные к лету 2017 года, показали, что к ней было не готово большее
количество интернет-провайдеров и сетевых операторов, чем ожидалось╩, ? указала
она. По словам представителя ICANN, корпорация еще ни разу не сталкивалась с
риском компрометации ключа, поэтому было принято решение отложить процедуру его
замены еще на год для проведения необходимой работы с операторами.
Сколько пользователей столкнется с проблемами?
По словам Александры Куликовой, в 2017 году примерно у четверти пользователей
интернета ? около 750 млн человек ? доступ в интернет так или иначе зависел от
операторов, использующих расширение DNSSEC. Именно эти пользователи
потенциально могут столкнуться с проблемами. Однако, по мнению Куликовой, все
крупные игроки, скорее всего, давно произвели необходимые обновления и смогут
перейти на новый KSK. Смена криптографического ключа ? процедура не
одномоментная, фактически она идет на протяжении последних двух лет, отметил
Андрей Воробьев. По его словам, процедура практически автоматическая и
╚большинство операторов связи в мире уже имеет все необходимые настройки в
своем сетевом оборудовании, которые позволят перейти на новый ключ
безболезненно и абсолютно незаметно как для пользователей, так и для владельцев
интернет-ресурсов╩. ╚Мы полагаем, что благодаря лучшему изучению технической
стороны запланированной на 11 октября 2018 года смены ключа KSK и новым усилиям
по оповещению тех членов интернет-сообщества, от кого зависит правильная
настройка систем подтверждения DNS-запросов, лишь небольшое количество
интернет-пользователей может столкнуться со сложностями при доступе к
интернет-ресурсам в результате замены ключа╩, ? сказала Куликова.
Фото: Александр Рюмин / ТАСС
Как пояснил РБК Владимир Иванов (бывший замруководителя департамента
эксплуатации ╚Яндекса╩ и бывший руководитель ИТ-департамента интернет-магазина
Lamoda), небольшие интернет-провайдеры могли включить себе проверку DNSSEC
много лет назад, но не обратили внимание на то, что сейчас необходимо было
поменять ключи. ╚Если сильно не повезет, могут сломаться базовые функции, такие
как синхронизация времени. В этом случае ╚сломается╩ очень многое, но это все
невидимо для людей. У людей просто ╚не будет работать интернет╩, ? объясняет
Иванов. Из материалов ICANN следует, что даже если ключи были обновлены
большинством интернет-провайдеров, из-за тех, кто этого не сделал, может
временно понижаться пропускная способность соединений, а вместе с ней и
скорость работы в Сети.
По словам Дмитрия Буркова, одного из криптографических офицеров ICANN,
отобранных из мирового интернет-сообщества и исполняющих функции внешних
советников и аудиторов, смена ключей KSK планируется последние четыре года.
╚Вряд ли мы увидим, что смена ключей пройдет без ошибок, так как определенная
доля DNS-программ не способна распознать новые ключи, потому что ПО устарело.
По той же причине 0,04% серверов, передающих запросы от пользователя, могут
неправильно отреагировать на ключ╩, ? считает Бурков. Он также указал, что
более удобным было бы иное устройство защитной системы ? с ключами, которые
генерировались бы регулярно, а существующее решение было выбрано под давлением
определенной части правления корпорации. ╚Ошибки при смене ключей отразились бы
скорее не на пользователях, а на репутации ICANN╩, ? заключил Бурков.
Готовы ли российские интернет-провайдеры?
╚Существуют процедуры, по которым ключевая информация по администрируемым нами
доменам своевременно заменяется, ? мы следуем этим процедурам, и все должно
произойти незаметно для всех пользователей. Фактически речь идет лишь об
установке нами обновления соответствующего программного обеспечения╩, ? отметил
исполнительный вице-президент по взаимодействию с органами исполнительной
власти ╚ВымпелКома╩ Михаил Якушев (в 2014?2017 годах был вице-президентом ICANN
по России, СНГ и Восточной Европе).
Готовы к смене ключей и в МТС. Вопросы о сложностях при проведении операции и
после нее, по словам представителя этой компании, необходимо адресовать в
ICANN. Не ожидает проблем в своей сети и представитель ╚Ростелекома╩. В
пресс-службе ╚МегаФона╩ ответили, что ╚изменения не затронут функционирование
сервисов компании╩. Другие крупные интернет-провайдеры либо не ответили на
вопросы РБК, либо связаться с ними не удалось.
Как работает интернет
Каждое устройство, подключенное к Глобальной сети (серверы, интернет-сервисы,
пользовательские устройства и т.д.), использует IP-адрес, по которому его можно
найти. Поиск осуществляется с помощью Domain Name System (DNS, англ. ? системы
доменных имен) ? компьютерной распределенной системы для получения информации о
доменах. Но числовой IP-адрес сложен для восприятия человеком, поэтому он
переведен в доменное имя. Благодаря DNS мы можем зайти в браузер и написать в
строке конкретный URL (rbc.ru). Система сама переведет его для компьютера в
IP-адрес и пришлет ответ в виде открывающейся страницы сайта на запрос
пользователя.
DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по
определенному протоколу и работающих по принципу ╚язык до Киева доведет╩.
Существует два типа серверов: авторитетные (сами отвечают за зону) и
рекурсивные (выполняют от имени клиента полный поиск нужной информации во всей
системе DNS, при необходимости обращаясь к другим DNS-серверам). К авторитетным
серверам относятся корневые серверы (root servers) ? те, которые имеют
информацию о корневой зоне, то есть могут ответить, кто знает про зону ╚ru╩.
Серверы зоны ╚ru╩ могут ответить, какие серверы знают, например, про зону
╚rbc.ru╩. Серверы зоны ╚rbc.ru╩ могут сказать, что у rbc.ru вот такой IP-адрес.
Автор: Евгения Баленко.
При участии: Филипп Алексенко.
Теги: ICANN , DNS-сервер , киберзащита , Рунет
https://www.rbc.ru/technology_and_media/06/09/2018/5b8fd0849a794729044457db?from=main
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
0 new messages