Современная система доменных имен (DNS) не является защищенной. Более половины веб-серверов поддерживают анонимные рекурсивные запросы, что может привести к подмене ответа от DNS-сервера, и, как результат – пересылке пользователей на другое сервера. Специалисты компании Web Application Security Consortium (WASC) определили, что более 13% исследованных интернет-ресурсов могут быть скомпрометированы автоматически, а 49% Web-приложений имеют уязвимости большой степени риска.
Для защиты доменного пространства от различного рода уязвимостей организация ICANN, компания VeriSign и Министерство Торговли США подписали протокол о внедрении обновленной защиты системы доменных имен. Одной из договоренностей компаний является ввод в интернете в ближайшее время новой системы безопасности службы доменных имен Domain Name System Security Extensions (DNSSEC).
Система DNSSEC уже постепенно внедряется в инфраструктуру Интернета, например, на основе этого защищенного протокола работает домен Евросоюза EU и домен ORG, а также национальные доменные зоны Швеции (SE), Пуэрто-Рико (PR), Бразилии (BR) и Чехии (CZ).
А несколько месяцев назад был создан главный криптографический ключ (KSK) сети DNS, который будет интегрирован в корневую DNS-зону и будет защищать систему доменных имен.
Протокол безопасности DNSSEC позволит защитить интернет от критических уязвимостей, в частности, от использования фишинга и перенаправления пользователей на другие, поддельные ресурсы. Однако даже эта система защиты не может защитить интернет от всех атак, которые сейчас используют злоумышленники.
Прежде всего, DNSSEC позволит обезопасить обычных пользователей от кражи персональной информации через подставные сайты. Например, пользователь может получить электронное письмо от банка или платежной системы, в которой ему будет предложено ввести дополнительные данные о себе либо поменять пароль. В письме может быть указана ссылка на оригинальный сайт банка. При попытке открыть такую ссылку, злоумышленники могут, незаметно для пользователя, перенаправить его на другой, поддельный сайт и заполучить таким образом информацию о нем – номера кредиток, пароли доступа или другие данные.
Систему DNSSEC можно еще назвать глобальной системой цифровой подписи. При использовании DNSSEC каждый сайт может получить некий аналог «цифровой подписи». При получении письма или при ссылке на какой-то веб-адрес система DNSSEC будет определять, ведет ли ссылка на настоящий, «подписанный» сайт или же на подделку.
Система DNSSEC предназначена для увеличения доверия между серверами, как результат — для повышения доверия к информации, которой они обмениваются.
Для защиты от крупных хакерских атак была создана специальная программа — криптографический ключ сети DNS. Этот ключ разделили на несколько частей, которые раздали нескольким доверенным представителям. Всего ключ разделен на семь частей. Система построена таким образом, что если пять из них соберутся вместе, то смогут «перезапустить» глобальную сеть при чрезвычайных обстоятельствах, например, при крупной террористической атаке.
Экспертами, получшившими свою часть «ключа» от Интернета стали: Пол Кейн (глава британской компании CommunityDNS), Норм Ричи (Канада), Цзянькан Яо (Китай), Мусса Гебре (Буркина-Фасо), Бевил Вудинг (Тринидад и Тобаго), Онджей Суры (Чехия) и Дэн Камински (старший научный сотрудник Recursion Ventures, США). Для глобального перезапуска Интернета экспертам нужно добраться до секретного вычислительного центра в США и воспользоваться своими карточками для восстановления базы данных адресов.