Что такое DNSSEC, из-за которого произошел масштабный сбой в Рунете
Во вторник, 30 января, вечером по Москве в Рунете случился масштабный сбой: многие сайты медленно открывались или не открывались вовсе. Согласно информации портала «сбой.рф», абоненты МТС массово жаловались на отсутствие мобильного интернета, о проблемах также сообщали клиенты «МегаФона» и «ВымпелКома» (бренд «Билайн»). Большинство сбоев было зафиксировано в Москве, Санкт-Петербурге, Краснодарском крае, Башкирии и Костромской области. Также проблемы возникали при использовании российских приложений за рубежом.
В Координационном центре доменов .ru и .рф объяснили сбой технической проблемой, «связанной с глобальной инфраструктурой DNSSEC».
DNSSEC — это протокол для повышения безопасности системы доменных имен (DNS). Чтобы посетить любой сайт, отправить сообщение по электронной почте или в соцсетях, понятные человеку доменные имена (например, rbc.ru) должны быть преобразованы в состоящие из цифр IP-адреса — их используют серверы, маршрутизаторы и другие устройства для передачи трафика в нужном направлении. DNS разрабатывалась в 1980-х годах, в тот момент интернет был не таким масштабным и его безопасность не являлась основным приоритетом. Как следствие, при запросах друг другу DNS-серверы не имеют возможности проверить подлинность ответа. Такой сервер может лишь проверить, поступает ли ответ с того же IP-адреса, по которому был отправлен исходный запрос. Но IP-адреса легко подделать или подменить, из-за чего злоумышленники могут направить пользователя не на тот сайт, на который он хотел зайти, а на потенциально вредоносный. И пользователь может этого не заметить.
DNSSEC позволяет повысить надежность проверки подлинности в DNS при помощи цифровых подписей, основанных на криптографических ключах, убедиться в том, что записи не подменили.
В момент начала сбоя в Рунете несколько участников телекоммуникационного рынка рассказали РБК, что операторы начали решать проблему, отключая проверку DNSSEC. В 22:20 Минцифры сообщило, что техническая проблема, связанная с глобальной инфраструктурой DNSSEC, вызвавшая недоступность сайтов в зоне .ru, устранена. В то же время министерство предупредило, что неполадки в работе DNS могут наблюдаться еще некоторое время, пока обновленные данные не разойдутся по системе.
Ранее эксперты предупреждали, что без защиты DNSSEC пользователи различных сайтов могут столкнуться с мошенничеством. Например, в блоге Timeweb Cloud (облачная платформа одного из крупнейших хостинг-провайдеров России и СНГ Timeweb) описывалась такая схема:
— Есть сайт банка — bank.com. Когда пользователь вводит этот домен в адресной строке браузера, DNS-система перенаправляет его на IP-адрес 172.168.0.15. Это IP-адрес сервиса онлайн-банкинга. Для авторизации и аутентификации на нем пользователь вводит логин и пароль. Если домен не защищен с помощью DNSSEC, то злоумышленники могут подменить IP-адрес в кэше на свой — например, 183.168.0.66. На этом адресе будет размещен поддельный сервис онлайн-банкинга, который внешне выглядит так же, как реальный. Пользователь вводит на поддельном портале логин и пароль. Они оказываются в руках у злоумышленников. С этими данными они могут авторизоваться на настоящем сайте и получить доступ к счетам жертвы.
