Эксперты оценили последствия сбоя в Рунете

Сбой в Рунете, произошедший 30 января и частично нарушивший безопасность ряда ресурсов, мог спровоцировать активизацию мошенников. Но эксперты по кибербезопасности не увидели всплеска краж

Почти сразу после масштабного сбоя в Рунете, который произошел 30 января, Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП; создан на базе подведомственного Роскомнадзору предприятия "Главный радиочастотный центр") разослал операторам связи указание — к 9:00 среды 31 января включить обратно протокол DNSSEC, проблемы с которым и привели к тому, что несколько часов пользователи мобильного и домашнего интернета не могли открывать сайты в зоне .ru. Об этом РБК рассказали два собеседника на телекоммуникационном рынке.

DNSSEC — это протокол, который позволяет повысить надежность проверки подлинности в системе доменных имен (DNS) при помощи цифровых подписей, основанных на криптографических ключах. Система DNS нужна, чтобы пользователи могли посещать сайты, отправлять сообщение по электронной почте или в соцсетях, используя понятные человеку доменные имена (например, rbc.ru): она преобразует их в числовой IP-адрес, понятный серверам, маршрутизаторам и другим устройствам, которые используются при передаче трафика. Эта система разрабатывалась в 1980-х годах, когда интернет был не таким масштабным и его безопасность не являлась основным приоритетом, из-за чего при запросах друг другу DNS-серверы не имеют возможности проверить подлинность ответа. Без использования DNSSEC существует риск, что какие-то злоумышленники могут подделать IP-адрес и направить пользователя не на тот сайт, на который он хотел зайти, а на потенциально вредоносный.

С чем были связаны проблемы с DNSSEC и столкнулись ли российские пользователи с угрозами во время его временного отключения — разбирался РБК.

Что случилось с DNSSEC

Во вторник, 30 января, примерно в 18:30 мск многие сайты Рунета начали медленно открываться или не открывались вовсе. Как позже поясняли представители Минцифры, недоступность сайтов в зоне .ru вызвала техническая проблема, связанная с глобальной инфраструктурой DNSSEC. В 22:20 министерство отчиталось, что проблема устранена, но некоторое время еще могут наблюдаться неполадки в работе DNS.

Как пояснил РБК директор по инфраструктуре облачного провайдера "EdgeЦентр" Алексей Учакин, причиной сбоя стало то, что "процедура обновления ключей зоны .ru пошла не по плану". "Подробностей пока нет, но, скорее всего, из-за ошибки программного обеспечения или человеческого фактора был сгенерирован некорректный ключ шифрования для подписи зоны.ru, который распространился по серверам DNS. Получив некорректную подпись, они перестали считать ответы из зоны .ru валидными и отдавать их клиентам — причем иногда даже с выключенным DNSSEC", — рассказал Учакин. После того как сотрудники Координационного центра доменов .ru/.рф повторно обновили ключ и он распространился по глобальной инфраструктуре DNS, все пришло в норму, к утру по московскому времени никаких последствий уже не ощущалось, продолжает Учакин. Он отметил, что подобные ошибки случаются регулярно в разных доменных зонах.

Гендиректор хостинг-провайдера RUVDS Никита Цаплин также указывает, что инциденты с DNSSEC "случаются по всему миру с завидной регулярностью и назвать это чем-то совсем из "ряда вон" сложно". В то же время он не исключил, что сбой в России мог быть связан с тестом тех или иных мер, направленных на суверенизацию интернета. "Например, раньше на государственном уровне озвучивалась идея перехода на национальные DNS-серверы, и в теории текущий сбой мог быть связан с тестовым переходом на них, — рассуждает он. — Замена ключа для подписи DNSSEC могла быть связана как с переходом на национальные DNS, так и просто с приближающимся истечением срока действия прежнего ключа".

Были ли последствия для пользователей

В момент сбоя несколько источников РБК говорили, что часть операторов для восстановления связи у своих абонентов просто отключили DNSSEC. Как сообщил гендиректор российского хостинг-провайдера Rusonyx Константин Анисимов, выключить DNSSEC было указанием от ЦМУ ССОП на время существования проблемы. После того как сбой был исправлен, им выслали указание включить протокол, отметил он.

Представитель Роскомнадзора подтвердил, что после устранения инцидента тем операторам, кто отключал DNSSEC, дали указание восстановить его. Какая доля операторов в России использовала этот протокол и сколько из них уже восстановили его, он не уточнил.

Никита Цаплин указывает, что отключение части операторов от DNSSEC было бы нежелательным — без него пользоваться ресурсами просто опасно: например, мошенники могут перенаправить запрос пользователя на "подставную" страницу и украсть его данные. "Риски работы без DNSSEC очень высокие — никто не будет подвергать им миллионы людей, это издержки, в том числе репутационные, что может быть куда дороже, чем простой той или иной платформы", — рассуждает он.

По мнению Алексея Учакина, когда стоит выбор "работать, но с рисками безопасности" или "не работать совсем", операторы предпочтут первый вариант. "Но если оператор отключил у себя DNSSEC на несколько часов во время аварии, а потом включил обратно, никаких дополнительных угроз своим абонентам он не создал", — считает Учакин.

По словам директора по информационным технологиям RU-CENTER Евгения Мартынова, о включении, как и об отключении DNSSEC конкретными операторами могут знать только они сами. В случае полного отключения DNSSEC появляется вероятность подделки ответов на запросы пользователей различными методиками, отметил Мартынов. Но, по его словам, есть и другие технологии, позволяющие проверить, что система отправила пользователя на нужный сайт, — например SSL-сертификат. "Как таковое отключение проверки DNSSEC не несет угрозы безопасности, но упрощает жизнь злоумышленникам", — подытожил Мартынов.

Но опрошенные РБК компании, занимающиеся информационной безопасностью, не зафиксировали волны атак со стороны злоумышленников в момент и сразу после сбоя. В частности, об этом сообщили в компании F.A.С.С.T. Данных о каких-либо массовых случаях мошенничества во время сбоя 30 января нет и у эксперта программных продуктов компании "Код безопасности" Максима Александрова. "Злоумышленники могли использовать эту ситуацию для повышения доверия к своей легенде со стороны потенциальных жертв. Недоступность многих банковских и корпоративных сервисов вызвала у пользователей легкую панику, поэтому, если мошенники успели бы сориентироваться, то могли под видом службы поддержки оператора связи предлагать исправление проблемы, например с помощью установки некоего программного обеспечения, которое на самом деле было бы вредоносным", — рассказал Александров. В то же время он оговорился, что с момента инцидента прошло слишком мало времени. В случае повторения подобных ситуаций он рекомендует с осторожностью принимать звонки от незнакомых номеров, перезванивать операторам связи и другим операторам критических сервисов самостоятельно и только через их официальные сайты, не устанавливать дополнительный софт, особенно не из официальных магазинов или корпоративного портала.