В понедельник, 30 января вечером по Москве в Рунете случился масштабный сбой: многие сайты медленно открывались или не открывались вовсе. Согласно информации портала сбой.рф, абоненты МТС массово жаловались на отсутствие мобильного интернета, о проблемах также сообщали клиенты «МегаФона» и «ВымпелКома» (бренд «Билайн»). Большинство сбоев было зафиксировано в Москве, Санкт-Петербурге, Краснодарском крае, Башкортостане и Костромской области. Также проблемы возникали при использовании российских приложений за рубежом.
В Координационном центре доменов.RU и.РФ объяснили сбой технической проблемой, «связанной с глобальной инфраструктурой DNSSEC».
DNSSEC — это протокол для повышения безопасности системы доменных имен (DNS). Чтобы посетить любой сайт, отправить сообщение по электронной почте или в соцсетях, понятные человеку доменные имена (например, rbc.ru) должны быть преобразованы в состоящие из цифр IP-адреса — их используют серверы, маршрутизаторы и другие устройства для передачи трафика в нужном направлении. DNS разрабатывалась в 1980-х годах, в тот момент интернет был не таким масштабным и его безопасность не являлась основным приоритетом. Как следствие, при запросах друг другу DNS-серверы не имеют возможности проверить подлинность ответа. Такой сервер может лишь проверить, поступает ли ответ с того же IP-адреса, по которому был отправлен исходный запрос. Но IP-адреса легко подделать или подменить, из-за чего злоумышленники могут направить пользователя не на тот сайт, на который он хотел зайти, а на потенциально вредоносный. И пользователь может этого не заметить.
DNSSEC позволяет повысить надежность проверки подлинности в DNS при помощи цифровых подписей, основанных на криптографических ключах, убедиться в том, что записи не подменили.
В момент начала сбоя в Рунете несколько участников телекоммуникационного рынка рассказали РБК, что операторы начали решать проблему, отключая проверку DNSSEC. В 20:20 Минцифры заявило, что доступ к сайтам в зоне.RU будет восстановлен в ближайшее время. «Возникла техническая проблема, затронувшая зону.ru, связанная с глобальной инфраструктурой DNSSEC. Специалисты Технического центра интернет и МСК-IX работают над ее устранением», — говорилось в заявлении. Представитель МСК-IX отказался от комментариев.
Ранее эксперты предупреждали, что без защиты DNSSEC пользователи различных сайтов могут столкнуться с мошенничеством. Например, в блоге Timeweb Cloud (облачная платформа одного из крупнейших хостинг-провайдеров России и СНГ Timeweb) описывалась такая схема:
— Есть сайт банка — bank.com. Когда пользователь вводит этот домен в адресной строке браузера, DNS-система перенаправляет его на IP-адрес 172.168.0.15. Это IP-адрес сервиса онлайн-банкинга. Для авторизации и аутентификации на нем пользователь вводить логин и пароль. Если домен не защищен с помощью DNSSEC, то злоумышленники могут подменить IP-адрес в кэше на свой — например, 183.168.0.66. На этом адресе будет размещен поддельный сервис онлайн-банкинга, который внешне выглядит так же, как реальный. Пользователь вводит на поддельном портале логин и пароль. Они оказываются в руках у злоумышленников. С этими данными они могут авторизоваться на настоящем сайте и получить доступ к счетам жертвы.
В Координационном центре доменов.RU и.РФ объяснили сбой технической проблемой, «связанной с глобальной инфраструктурой DNSSEC».
DNSSEC — это протокол для повышения безопасности системы доменных имен (DNS). Чтобы посетить любой сайт, отправить сообщение по электронной почте или в соцсетях, понятные человеку доменные имена (например, rbc.ru) должны быть преобразованы в состоящие из цифр IP-адреса — их используют серверы, маршрутизаторы и другие устройства для передачи трафика в нужном направлении. DNS разрабатывалась в 1980-х годах, в тот момент интернет был не таким масштабным и его безопасность не являлась основным приоритетом. Как следствие, при запросах друг другу DNS-серверы не имеют возможности проверить подлинность ответа. Такой сервер может лишь проверить, поступает ли ответ с того же IP-адреса, по которому был отправлен исходный запрос. Но IP-адреса легко подделать или подменить, из-за чего злоумышленники могут направить пользователя не на тот сайт, на который он хотел зайти, а на потенциально вредоносный. И пользователь может этого не заметить.
DNSSEC позволяет повысить надежность проверки подлинности в DNS при помощи цифровых подписей, основанных на криптографических ключах, убедиться в том, что записи не подменили.
В момент начала сбоя в Рунете несколько участников телекоммуникационного рынка рассказали РБК, что операторы начали решать проблему, отключая проверку DNSSEC. В 20:20 Минцифры заявило, что доступ к сайтам в зоне.RU будет восстановлен в ближайшее время. «Возникла техническая проблема, затронувшая зону.ru, связанная с глобальной инфраструктурой DNSSEC. Специалисты Технического центра интернет и МСК-IX работают над ее устранением», — говорилось в заявлении. Представитель МСК-IX отказался от комментариев.
Ранее эксперты предупреждали, что без защиты DNSSEC пользователи различных сайтов могут столкнуться с мошенничеством. Например, в блоге Timeweb Cloud (облачная платформа одного из крупнейших хостинг-провайдеров России и СНГ Timeweb) описывалась такая схема:
— Есть сайт банка — bank.com. Когда пользователь вводит этот домен в адресной строке браузера, DNS-система перенаправляет его на IP-адрес 172.168.0.15. Это IP-адрес сервиса онлайн-банкинга. Для авторизации и аутентификации на нем пользователь вводить логин и пароль. Если домен не защищен с помощью DNSSEC, то злоумышленники могут подменить IP-адрес в кэше на свой — например, 183.168.0.66. На этом адресе будет размещен поддельный сервис онлайн-банкинга, который внешне выглядит так же, как реальный. Пользователь вводит на поддельном портале логин и пароль. Они оказываются в руках у злоумышленников. С этими данными они могут авторизоваться на настоящем сайте и получить доступ к счетам жертвы.