Шаткий фундамент российского Интернета

Тематика статей в технических изданиях очень различна. Есть злободневные проблемы, например мошенничество в интернет-банкинге, от которого стонут и сами банки и их клиенты. Есть актуальные вопросы без криминального оттенка, такие как электронные госуслуги, которые постоянно развиваются и никак не могут развиться до такого состояния, чтобы у населения возникло желание ими активно пользоваться. Встречаются развлекательные статьи, скажем, по поводу инноваций, отношение к которым лучше всего характеризует анекдот: “В 1975 г. у меня был конфискован самогонный аппарат. Вчера я видел его на выставке «Модернизация и нанотехнолoгии»”.

Однако есть темы незаслуженно забытые, хотя, возможно, для авторов и читателей технических журналов и малоинтересные. Именно такой теме посвящена данная статья. Впрочем, есть основания полагать, что после ее прочтения описываемая проблема вызовет определенное беспокойство у многих организаций, дорожащих своими сайтами.

О регистраторах доменных имен

Администрированием национальных доменов верхнего уровня .RU и .РФ занимается Автономная некоммерческая организация “Координационный центр национального домена сети Интернет”, которая обладает полномочиями по выработке правил регистрации доменных имен в доменах .RU и .РФ, аккредитации регистраторов и исследованию перспективных проектов, связанных с развитием российских доменов верхнего уровня. В настоящее время Координационным центром аккредитовано 26 организаций-регистраторов, у которых юридические лица (а также физические, но они в данном контексте нас не интересуют) могут зарегистрировать домен. На уровне федеральных министерств специального надзорного органа за деятельностью Координационного центра и/или регистраторов на сегодняшний день не существует. А жаль, как будет следовать из дальнейшего.

Декларируется, что основная задача Координационного центра и аккредитованных регистраторов — обеспечение надежного и стабильного функционирования DNS-инфраструктуры российского сегмента Интернета. Рассмотрим эту надежность на примере деятельности RU-CENTER (ЗАО “Региональный сетевой информационный центр”) — первого в России и крупнейшего профессионального регистратора доменов. С июня 2012 г. RU-CENTER входит в состав группы компаний Hosting Community, объединяющей крупнейших российских хостинг-провайдеров и регистраторов доменных имен. Регистратор работает на рынке регистрации доменов уже больше 10 лет и в настоящее время обслуживает свыше 3 млн. доменных имен и более 550 тыс. клиентов. Это солидная компания, имеющая (судя по информации на сайте) самые благородные цели в отношении развития Интернета и миссию, вызывающую неподдельное восхищение. Между прочим, заявляется, что один из основных принципов работы организации — неукоснительное исполнение своих обязательств перед клиентами. А теперь посмотрим, как теория согласуется с практикой (ситуация описывается по состоянию на конец октября 2013 г.).

Следует сразу оговориться, что обычно при обнаружении в любой системе или ПО существенных недостатков и уязвимостей об имеющихся проблемах предварительно уведомляется разработчик (для их скорейшего исправления). Однако в связи с полным отсутствием как у службы безопасности, так и у юридической службы RU-CENTER желания конструктивно обсуждать критику в адрес схемы работы с клиентами, ничего не остается, как только предупредить самих клиентов о существующих рисках.

Пароль как мерило безопасности клиентов RU-CENTER

Управление своими доменами клиент осуществляет через Личный кабинет на сайте RU-CENTER. Для авторизации служат номер договора (логин) и административный пароль. Причем по тексту договора между сторонами:

8.13. Использование Заказчиком номера договора и пароля при совершении им действий в разделе “Для клиентов” на веб-сервере Исполнителя www.nic.ru признаются Исполнителем аналогом собственноручной подписи Заказчика.

8.14. Использование номера договора и пароля Заказчика порождает юридические последствия, аналогичные использованию собственноручных подписей в соответствии с требованиями законодательства Российской Федерации.

8.15. Все действия, совершенные на веб-сервере Исполнителя www.nic.ru под номером договора и паролем Заказчика, признаются совершенными лично Заказчиком.

8.16. Заказчик самостоятельно несет ответственность за сохранность и неразглашение паролей, а также за действия, совершенные на веб-сервере Исполнителя www.nic.ru с использованием номера договора и паролей, принадлежащих Заказчику.

Таким образом, на совести регистратора смелое (не поворачивается язык сказать — адекватное) решение: раз на сайте были введены номер договора и правильный пароль — вся юридическая ответственность ложится на клиента. Использованием криптографических средств аутентификации, электронной подписи в RU-CENTER, видимо, решили процедуру не усложнять. Тот факт, что пароль сам по себе — слабое и многоразовое средство аутентификации и авторизации, никого не смутил. Достаточно надежно — и все.

И тут выясняется подробность, от которой любой специалист в области информационной безопасности может потерять дар речи. Потенциальному злоумышленнику вообще не надо знать пароль — он может легко установить собственный. Помимо стандартной процедуры смены пароля через Личный кабинет существует процедура смены пароля по официальному письму. Для этого достаточно с произвольного адреса E-mail (совсем необязательно с одного из контактных, указанных в Личном кабинете, — и это нисколько не противоречит действующим правилам RU-CENTER) послать скан документа стандартной формы на смену пароля (дальнейшее подтверждение в бумажном виде — тоже необязательно), где присутствуют только доменное имя (номер договора не нужен!), почтовый ящик, на который надо выслать информацию о смене пароля, название организации, подпись первого лица и печать.

Таким образом, злоумышленнику достаточно выяснить через общедоступный сервис того же регистратора, кому принадлежит интересующее его доменное имя, найти в бумажном или электронном виде любой документ с личной подписью руководителя этой организации и печатью, отсканировать их и вставить в подложный электронный документ. Самое забавное, что ему даже не надо знать номера договора, поскольку Регистратор сам указывает его в ответном письме о смене пароля на адрес злоумышленника. О таких мелочах, как посылка в рамках этой штатной процедуры пароля в открытом виде по открытым каналам связи (причем длина пароля — шесть знаков, больше в стандартную форму не влезает), даже не стоит упоминать. Зачем перехватывать или перебирать пароль, если его можно назначить и получить в виде бонуса логин? Отметим, что даже после предъявления в дальнейшем письменных претензий со стороны владельца все действия хакера с доменными именами в рамках договора с точки зрения Регистратора остаются легитимными! Не важно, что действующий пароль истинного владельца при этом уничтожался, а все операции осуществлялись с паролем, которого тот и в глаза не видел.

А сделать можно многое. Хотя бы перенаправить все запросы в Интернете с рассматриваемым доменным именем на “пустой” домен с другим именем, что на некоторое время выведет из строя все Web-сервисы владельца. Можно придумать и гораздо более опасные варианты, реализующие процедуры фишинга, описывать которые здесь не хочется. В любом случае бизнес добросовестного владельца на время выяснения ситуации и разборок с регистратором может пострадать. А ведь период этих выяснений и восстановления статус-кво злоумышленник может существенно удлинить, если воспользуется еще одной странной “дырой” в схеме работы RU-CENTER.

Удивительная оферта

Помимо обычной письменной формы заключения договоров у RU-CENTER есть опция заключения договора в электронном виде в форме оферты. Для этого достаточно заполнить на сайте анкету для договора с минимумом информации (название организации, адрес, ИНН, КПП, контактный адрес E-mail, телефон и предлагаемый пароль к договору). В принципе от имени добросовестного клиента такую Анкету может заполнить кто угодно, получив в итоге номер дополнительного договора, который остается только акцептовать. И вот здесь обнаруживается изюминка, которая поражает воображение. В общем случае по правилам регистратора акцептом считается поступление небольшой предоплаты на счет владельца в RU-CENTER по конкретному договору (что само по себе не очень надежно). Но акцепт возможен и безо всяких денег. То есть по описанному выше способу злоумышленник получает новый пароль (и логин) к основному договору клиента, меняет в Личном кабинете контактные адреса E-mail подлинного владельца (чтобы прекратить его автоматическое уведомление о проводимых операциях), осуществляет с интересующим доменом (или группой доменов) определенные действия и тут же проводит в Личном кабинете процедуру перевода домена на другой (дополнительный) договор (о котором владелец еще и не подозревает). Поскольку мероприятие производится без смены администратора (т. е. владельца доменного имени), то никаких технических препятствий не возникает, причем такая процедура одновременно акцептует новый договор (в соответствии с одним из пунктов договора), а не только выводит домен из-под управления основного договора. В результате добросовестному владельцу потом оказывается очень непросто разобраться в ситуации и восстановить если не справедливость, то хотя бы управление своими доменами.

Муки клиента

Владельцу домена сначала надо осознать, что в его Личном кабинете кто-то сменил пароль и этот кто-то — не один из его коллег. Затем — договориться с регистратором о новой смене пароля. Как ни смешно — снова по письму, причем если разборки с регистратором по телефону идут на повышенных тонах, то он вполне может потребовать оригинал письма (хотя от злоумышленника удовлетворился сканом). Далее клиент наконец попадает в свой Личный кабинет и обнаруживает, что уже не видит там своего злосчастного домена. Новая серия разборок выявляет наличие дополнительного договора с неизвестными номером и паролем, от которого клиент отчаянно открещивается, требуя его аннулирования. Однако юридическая служба RU-CENTER непоколебимо считает его имеющим юридическую силу. Письменная претензия не помогает, поскольку регистратор приводит неубиваемый довод: все было сделано согласно установленным RU-CENTER правилам, а следовательно — виноват клиент (поскольку правила регистратора по определению плохими быть не могут). В итоге регистратор отказывается сам предпринимать какие-либо действия по возврату к исходной точке и владелец домена встает перед неприятным выбором: либо по предложению регистратора начать работать с ложным договором как с подлинным (т. е. уже для него по очередному письму менять пароль и заниматься обратным переводом домена на основной договор и другими возвратными операциями), либо идти в суд, но это слишком длительный и потому чаще всего неприемлемый выход.

Выводы

Описываемые недостатки работы с клиентами относятся, конечно, к ситуации, когда клиент работает с RU-CENTER по стандартной схеме. В настоящее время на сайте регистратора предлагаются дополнительные меры безопасности, призванные улучшить защищенность клиента. Некоторые из них вполне эффективны, хотя организационно и могут существенно усложнить жизнь клиенту. Опасность состоит в том, что подавляющее большинство из 550 000 владельцев доменов заключали договора с регистратором многие годы назад, пользуются с тех пор его услугами именно “по умолчанию” и им даже не приходит в голову обратить внимание на эту проблему, озаботиться безопасностью своих доменов, заглянуть на сайт регистратора и предпринять какие-то дополнительные меры.

В свою очередь эти дополнительные меры безопасности служат хорошим подспорьем для любой базовой схемы, но ни в коей мере не оправдывают ее вопиющую уязвимость и непродуманность. На примере крупнейшего в России регистратора доменов складывается впечатление, что формирование доменной структуры российского Интернета крайне слабо регулируется (если процедуру аккредитации Координационным центром вообще можно считать регулированием) и так же слабо контролируется. И это при том, что речь идет о фундаменте отечественного сектора Интернета.

Регистраторам доменных имен можно откровенно позавидовать. На фоне зарегулированности практически всех областей деловой жизни России, на фоне того, как кредитные организации задыхаются под грузом все новых и новых стандартов, положений и форм отчетности ЦБ, регистраторы доменов расслабленно существуют под либеральной рукой Координационного центра, устанавливая собственные, иногда не слишком согласующиеся со здравым смыслом правила. И эта расслабленность явно не идет на пользу владельцам доменов и российскому Интернету.

Разумеется, было бы бесполезно по примеру героя одного из рассказов О’Генри восклицать: “А куда же смотрит президент?”. Но Минкомсвязи, скажем, могло бы проявить больше участия в этом вопросе. Все-таки оно имеет некоторое отношение к электронным коммуникациям, а тот факт, что представитель министерства входит в Совет Координационного центра, похоже, нельзя квалифицировать как сколько-нибудь заметное влияние государства на рассматриваемую область.

С автором статьи, кандидатом технических наук, можно связаться по адресу: vlad7pnv@mail.ru.