Михаил Анисимов
старший менеджер ICANN в Восточной Европе и Центральной Азии

За чистоту доменного пространства

Михаил Анисимов (ICANN): «Борьба со злоупотреблениями в Сети невозможна без тесного международного сотрудничества и глобальной кооперации»

Российский доменный рынок чувствует себя очень уверенно, констатировал в разговоре с RSpectr старший менеджер ICANN по взаимодействию с заинтересованными сторонами в регионе Восточная Европа и Центральная Азия Михаил Анисимов. По его мнению, хорошо организованное киберпространство зависит от согласованности в вопросах используемых протоколов, а также от технической грамотности как специалистов, так и конечных пользователей. Эксперт опроверг стереотип о том, что ICANN связан контрактом с правительством США, а также рассказал, что профиль трафика в Сети сильно изменился во время пандемии.


RSpectr: Что такое публичное ядро интернета? Почему до сих пор основные функциональные элементы Сети, по мнению многих государств, нуждаются в защите?

Михаил Анисимов (М. А.): Публичное ядро интернета – термин, который широко известен из различных исследовательских работ, трудов многих научных организаций. Под ним понимаются ключевые инфраструктурные элементы Сети, которые используются всеми заинтересованными сторонами – государствами, бизнесом, конечными пользователями. Здесь можно провести аналогию с физической инфраструктурой. Например, дороги – это такой аналог публичной инфраструктуры в реальном мире, так как используются абсолютно всеми участниками движения, и частными автомобилями, и грузовым и пассажирским транспортом, пожарными и машинами скорой помощи. А вот автобусные остановки уже не будут публичным ядром. Это тоже часть инфраструктуры, но она используется исключительно общественным транспортом.

Глобальная комиссия по стабильности в киберпространстве (Global commission on the stability of cyberspace, GCSC), представившая свой отчет на последнем Глобальном форуме по управлению интернетом в Берлине в 2019 году, относит к публичному ядру интернета: систему уникальных идентификаторов, дата-центры, каналы связи и криптографическую инфраструктуру, которая используется для шифрования и аутентификации в интернете.

Их значение крайне велико, и, несмотря на многократное резервирование и многоуровневую защиту, время от времени продолжаются попытки устраивать атаки на них. Поэтому защищать публичную инфраструктуру, обеспечивать ее стабильную работу – наша общая задача и одна из основных функций ICANN.

_________

СПРАВКА

Михаил Анисимов
Старший менеджер ICANN по взаимодействию с заинтересованными сторонами в регионе Восточная Европа и Центральная Азия

  • Более десяти лет работает в сфере хостинга, регистрации доменов и развития систем интернет-адресации. Занимал различные должности в крупнейших российских хостинг-провайдерах и регистраторах доменных имен.
  • В 2013 году в составе Фонда содействия развитию технологий и инфраструктуры интернета принимал участие в запуске доменных зон .МОСКВА и .MOSCOW. В 2014 году присоединился к команде Координационного центра доменов .RU/.РФ, где занимался организацией работы пресс-службы, программой отраслевых мероприятий и международными проектами.
  • Организатор профильных конференций и форумов по тематике регистрации доменов, хостинга, работы интернет-инфраструктуры и кибербезопасности. Выступает с докладами на различных российских и международных конференциях, а также ведет образовательную и просветительскую работу среди школьников и студентов по теме инфраструктуры и пользовательской информационной безопасности.
  • В 2020 году начал работать в интернет-корпорации по присвоению имен и интернет-адресов (ICANN), где занимается развитием связей с различными заинтересованными сторонами на территории стран Восточной Европы и Центральной Азии. 


RSpectr: Что сегодня представляет опасность для устойчивости киберпространства и какими могут быть последствия атак на критически важную наднациональную инфраструктуру?

М. А.: Угрозы стабильности киберпространства могут быть самые разные, и они далеко не всегда связаны с атаками. Большое значение имеет, например, согласованность между различными заинтересованными сторонами в вопросах используемых протоколов. Также крайне важна техническая грамотность как специалистов, так и конечных пользователей. Например, известно, что

далеко не все покупатели устройств интернета вещей меняют заводские настройки, а также выставленные по умолчанию логин и пароль

В результате появляются гигантские бот-сети, при помощи которых создаются невероятные по мощности DDoS-атаки на сетевые узлы.


RSpectr: В российской медиасреде звучат заявления, что системой адресации в интернете по-прежнему управляют США. Насколько это соответствует действительности?

М. А.: Это, конечно же, совсем не так. Система адресации состоит из двух самых важных элементов – это управление распределением IP-адресов и присвоением доменных имен. Эти механизмы действуют по-разному.

IP-адреса были переданы региональным регистратурам, таким как RIPE NCC (отвечает за Европу, Россию и Ближний Восток), APNIC (отвечает за Азиатско-Тихоокеанский регион) и другим, которые работают со странами Африки, Северной и Южной Америки. Фактически сейчас именно они управляют распределением IP-адресов на своих территориях.

Регулирование системы доменных имен – это тоже иерархическая структура.

Страновыми, национальными доменами, такими как RU, UK, DE, управляют национальные регистратуры, и действуют они, как правило, в соответствии с юрисдикцией своего государства

На ICANN остается та небольшая часть, которая связана с управлением корневой зоной DNS (Domain Name System). И работа построена таким образом, что все решения принимаются только во взаимодействии с сообществом. Сообщество же участвует и в разработке правил, по которым происходят те или иные процедуры. После того как в 2016 году произошла передача ответственного управления функциями IANA (IANA Transition) – этот факт очень широко освещался в российской прессе, – ICANN больше не связан контрактом с правительством США. В настоящее время любой заинтересованный человек или организация могут принять участие в этом процессе, и именно это мы называем мультистейкхолдерным подходом.


RSpectr: Что представляет собой национальное доменное пространство? Достаточно ли у нас регистраторов для развития экосистемы?

М. А.: Российское доменное пространство крайне разнообразно и развивается очень хорошими темпами. В России есть два национальных домена верхнего уровня: .RU и кириллический .РФ. Помимо этого, есть домен SU, оставшийся со времен Советского Союза, один из самых старых в мире, и некоторое количество общих доменов верхнего уровня, созданных по программе New gTLD (.MOSCOW, .РУС, .ДЕТИ, .TATAR). При этом зона RU – одна из самых крупных в мире, входит в первую десятку по количеству регистраций, а .РФ – на втором месте среди доменов на нелатинских языках. Координационный центр доменов RU/РФ, который отвечает за их развитие, – наш давний партнер, с которым мы тесно сотрудничаем.

Система регистрации доменов также очень разнообразна. Есть и крупные игроки, которые предоставляют конечным пользователям широкий спектр услуг, и нишевые регистраторы, ориентированные на работу в каком-то регионе или с какой-то определенной группой клиентов. Все это позволяет создавать распределенную, устойчивую систему регистрации, благодаря которой российский доменный рынок чувствует себя очень уверенно.


RSpectr: С каждым месяцем усиливаются фишинговые атаки на пользователей. Мошенники почти всегда используют домены, схожие с адресами сайтов добропорядочных игроков рынка. Есть ли проверенные методы борьбы с этим явлением?

М. А.: Как показывает практика, самым действенным способом борьбы с фишинговыми атаками на конечных пользователей остается обучение и повышение цифровой грамотности. В более чем 90% случаев достаточно быть внимательным при наборе адреса или просмотре сообщений в почте или социальных сетях, чтобы понять, что с ними что-то не так. Основной упор в таких атаках делается не на технику, а на приемы социальной инженерии – игру на любопытстве, интересе, страхе, популярных темах.

Большая роль принадлежит самим регистраторам, регистратурам и различным компаниям, которые занимаются информационной безопасностью. Они, как правило, сами мониторят списки доменов на предмет различной зловредной деятельности. В случае обнаружения таких имен передают информацию или владельцу, или регистратору, которые уже могут что-то сделать с доменом, чтобы предотвратить угрозу. Такие механизмы хорошо отлажены в различных странах, а потому

часто между обнаружением фишингового домена и его разделегированием проходит всего несколько часов


RSpectr: Какие новые угрозы, помимо создания мошенниками фишинговых сайтов, угрожают сегодня пользователям? Что поменялось в сфере кибербезопасности, когда компании перешли на дистанционный режим?

М. А.: После перехода на удаленную работу сильно изменился профиль трафика в Сети. Люди принесли домой рабочие устройства, на которых были выставлены корпоративные настройки. В результате эти гаджеты, оказавшись в домашней сети, начали посылать в большой интернет различные запросы, которые не были для него предназначены. В итоге мы видим заметный рост нагрузки, например, на корневые серверы доменных имен с запросами несуществующих доменов, таких как .HOME или .CORP.

Помимо привычной «триады» киберугроз, которые используют DNS (фишинг, распространение зловредного ПО и управление бот-сетями), в последнее время рассматриваются еще два. Во-первых, фарминг – когда при корректном доменном имени открывается сайт злоумышленников. Это может быть связано как с отравлением памяти DNS-сервера, так и с заражением пользовательского устройства. Во-вторых, спам. Но спам не как рассылка нежелательной рекламы, а как средство доставки одной из вышеперечисленных угроз.


RSpectr: Какие меры предпринимает ICANN для снижения числа злоупотреблений в Глобальной сети?

М. А.: Борьба со злоупотреблениями в системе адресации невозможна без тесного международного сотрудничества и глобальной кооперации. Угрозы распределены по всему миру.

Часто злоумышленники, которые сидят в одной стране, проводят атаку против пользователей в другой. При этом они используют инфраструктуру, рассеянную по всем континентам

ICANN постоянно участвует в работе различных объединений, которые позволяют участникам обмениваться информацией об инцидентах и зловредных доменах. Например, две такие ассоциации были созданы специально для борьбы с угрозами, ставшими актуальными во время пандемии:

  • COVID-19 Cyber Threat Coalition,
  • COVID-19 Cyber Threat Intelligence League.

Мы разработали проект DAAR, который отслеживает списки доменов большого числа зон по всему миру и помогает определять зловредную активность. Наше исследовательское подразделение также запустило проект ITHI, который позволяет измерять «здоровье» мировой системы доменных имен. Но, повторюсь, все это возможно только в том случае, если другие участники – государства, бизнес-организации, исследователи, представители гражданского общества – будут действовать совместно и вносить свой вклад в работу этих платформ.

Фото: пресс-служба ICANN

ЕЩЕ ПО ТЕМЕ:

Другие вирусы
Пандемия привела к активизации мошенничества в интернете