Безопасность российского доменного пространства до, во время и после пандемии
Год назад во второй половине марта стало очевидно, что все происходящее, к сожалению, всерьез и надолго, и пандемия коронавируса COVID-19 вносит очень серьезные коррективы не только в офлайновую, но и в онлайновую жизнь. При этом вопросы безопасности в онлайне (впрочем, как и в офлайне) практически сразу вышли на первый план. Естественно, возник вопрос, что Координационный центр доменов .RU/.РФ как национальная регистратура может сделать в рамках своих полномочий и умений, чтобы сохранить стабильность хотя бы внутри системы регистрации российских национальных доменов – ведь любые кризисные ситуации влияют на поведение людей, и часто это влияние непредсказуемо. Итак, вот шаги, которые были сделаны КЦ для стабилизации ситуации в доменном пространстве.
Мониторинг «коронадоменов»: пандемия, вакцинация, выплаты
Уже в середине марта 2020 года был оперативно организован мониторинг так называемых коронаассоциированных регистраций новых имен в доменах .ru и .рф. Запустив мониторинг, мы заодно посмотрели и исторические данные – за январь и февраль 2020 года, когда угроза уже была явной, но в пандемию еще никто не верил. Не верили в нее и доменные инвесторы, а также кибермошенники – сколь-нибудь значимый рост числа регистраций произошел только в начале марта, а пик пришелся на 17 марта.
Максимальное число «коронарегистраций» было зафиксировано в марте и апреле прошлого года – 1936 и 1555 доменных имен соответственно. Менее всего такими доменами пользователи интересовались в январе и сентябре 2020 года: тогда российские доменные зоны пополнились 90 и 120 коронавирусными доменами соответственно. За год в список «коронадоменов» было добавлено 4907 доменных имен в .ru и 984 в .рф; в общей сложности к концу 2020 года в российских доменных зонах насчитывался 5891 домен, тематически связанный с пандемией.
Достаточно сложным оказался вопрос выбора ключевых слов для мониторинга. Естественно, что были однозначные ключевые слова, но также каждый новый этап (например, введение пропускного режима или начало выплат детский пособий) добавлял свою лепту в пополнение списка ключевых слов. При этом подход к мониторингу был очень взвешенным.
Любое важное событие в стране или мире вызывает свой, пусть и разный по силе отголосок в доменной среде. В середине мая было объявлено о выплатах пособий семьям с детьми, и это событие сразу же отразилось в мониторинге. В этом случае интерес был кратковременным, но тем не менее даже 1-2 фишинговых ресурса могли нанести ощутимый удар по достаточно уязвимой категории пользователей.
На графике ниже представлена динамика регистраций доменных имен в домене .ru, которые ассоциировались с проведением тестирования и вакцинацией.
Кстати, очень показательно было сравнивать динамику заболеваемости и числа регистраций доменных имен – особенно интересные закономерности выявились в «первую весеннюю волну». Временной лаг между всплесками числа регистраций и ростом заболеваемости составил примерно две недели, что подозрительно напоминает инкубационный период. Коллективный разум уже осознал угрозы, а тело отреагировало с задержкой. Во «вторую волну» такого эффекта уже не было.
Не стоит думать, что все доменные имена, в которых есть ключевые слова, несут в себе какой-то негативный смысл. Это и информационные ресурсы, и вполне легальные интернет-магазины, и многое другое. Например, всем известный официальный ресурс стопкоронавирус.рф тоже содержит ключевое слово и даже не одно.
И в этом свете очень показательна картина сравнения темпов регистрации «коронаассоциированных» доменов в Европе и в России – здесь можно наблюдать схожие паттерны поведения. Может быть не совсем корректно сравнивать происходившее в абсолютных величинах, т.к. европейские пользователи регистрировали похожие имена и в доменах своих стран, но общий тренд в России и в Европе очень похож: отрицание – ажиотаж – плато – спад.
Другой показательный пример: компания Dataprovider проводила исследование регистрации во всем мире доменов, содержащих слово corona и remote (отсылка к удаленной работе). Пик регистраций в мире также пришелся на середину марта.
Обеспечиваем безопасность пользователей
Безусловно, Координационный центр не остался безучастным к проблемам, которые возникли в доменном пространстве в связи с пандемией COVID-19. С первых дней эскалации кризиса Координационный центр не только инициировал мониторинг COVID-ассоциированных регистраций новых имен в доменах .ru и .рф, но и привлек к этой работе институт компетентных организаций, а также информационно-аналитическую платформу «Нетоскоп». Общей задачей было выявить потенциально опасные ресурсы (например, те, которые могли бы использоваться для фишинга или распространения вредоносного ПО) и снизить возможный вред от них с помощью наших «патрульных», т.е. уже упомянутых компетентных организаций.
Координационный центр внедрил практику взаимодействия с организациями, компетентными в определении нарушений в сети Интернет, еще в 2012 году. Эти организации, сейчас их 10, наделены Координационным центром правом направлять аккредитованным регистраторам требования о прекращении делегирования доменных имен для подобных ресурсов. В свою очередь, регистраторы, руководствуясь правилами регистрации доменных имен в доменах .ru и .рф, вправе прекратить делегирование доменных имен по запросам компетентных организаций.
В августе 2020 года заработал проект «Доменный патруль», где представлены все компетентные организации и собраны новости интернет-безопасности, информация о киберугрозах, инструкции, как поступить, если пользователь столкнулся с одной из таких угроз, скажем, с мошенничеством, и главное – перечень «горячих линий» компетентных организаций. Любой пользователь может обратиться на линию и сообщить об обнаруженном им случае неподобающего использования доменного имени, меры будут приняты оперативно. Также здесь происходит оперативный обмен запросами о прекращении или, наоборот, восстановлении делегирования доменных имен между КО и регистраторами.
Ниже приведены данные отчета по результатам взаимодействия компетентных организаций и регистраторов в рамках проекта «Доменный патруль» за 2020 год (Источник: https://tldpatrol.ru/upload/iblock/137/KO_2020.pdf)
Также с 2012 года существует проект «Нетоскоп». Это первый в России информационно-аналитический ресурс, посвященный информационной безопасности в доменном пространстве. В рамках проекта была разработана специальная платформа, с помощью которой участники проекта могут обмениваться информацией и совершенствовать свои алгоритмы поиска «зловредных» ресурсов. Посетителям сайта доступен онлайн-сервис по проверке доменных имен на использование в «зловредной» активности, зафиксированной компаниями-участниками проекта. В базу данных проекта «Нетоскоп» участниками было добавлено более 400 тысяч доменных имен, включая второй уровень и более низкие. Львиная доля этих ресурсов была ассоциирована с распространением вредоносного ПО.
От компетентных организаций было получено более 10 тысяч обращений о прекращении делегирования, из них около девяти тысяч – фишинговые ресурсы. Эти данные почти на 40% выше тех, с которыми был закончен 2019 год.
Почти 90% запросов были связаны с доменами, которые вели на фишинговые ресурсы. Специалисты по кибербезопасности хорошо знают, что фишинговый сайт существует не более суток, а основной поток пользователей попадает на него в течение нескольких часов. Поэтому крайне важно, чтобы меры по прекращению доступа к ресурсу были приняты быстро. В рамках проекта «Доменный патруль» взаимодействие экспертов и аккредитованных регистраторов отработано на отлично, и скоординированность действий всех сторон позволяет значительно сокращать число жертв сетевых мошенников.
Например, «Лаборатория Касперского», входящая в состав института компетентных организаций, установила в своих продуктах флаг «угроза потери данных» для 1901 «коронадомена» за год: 1600 в .ru и 301 в .рф – это около 32% от общего количества коронавирусных доменных имен. Установка такого флага означает, что все устройства, защищенные антивирусом «Лаборатории», получат информацию об этих доменных именах и предупредят пользователей, которые заходят на них, о возможной угрозе.
Сотрудничество КО с аккредитованными регистраторами не первый год доказывает свою эффективность. По итогам 2020 года большинство ресурсов так или иначе прекратило свое существование (или по крайней мере нанесение вреда другим пользователям). В отдельных случаях регистраторы не усматривали оснований для прекращения делегирования, по таким случаям мы проводим дополнительные исследования для определения слабых мест отработанной схемы. Или, наоборот, сильных мест, т.к. от ошибок не застрахована даже самые компетентные организации.
Главный приоритет – безопасность доменного пространства
Несмотря на то, что 2020 год потребовал от Координационного центра доменов .RU/.РФ очень серьезных усилий в борьбе с фишингом, связанным с «коронавирусными» доменами, не прекращалась и основная работа по обеспечению безопасности реестров российских национальных доменов.
Так, осенью 2020 года в режиме опытной эксплуатации началось предоставление услуги по депонированию реестров российских национальных доменов .ru и .рф. Проект по внедрению дополнительных организационно-технических мер, направленных на обеспечение непрерывности функционирования системы адресации, а также обеспечивающих дополнительную защиту прав администраторов и пользователей доменных имен путем внедрения на российской платформе механизмов, предоставляющих дополнительные гарантии сохранности информации о доменных именах и бесперебойного функционирования системы адресации в целом, был инициирован еще в 2019 году по поручению министерства цифрового развития, связи и массовых коммуникаций РФ.
А в марте 2021 года Координационный центр доменов .RU/.РФ начал осуществлять депонирование данных (Data Escrow) уже в штатном режиме. Агентом депонирования является АО «Центр взаимодействия компьютерных сетей «MSK-IX» – единственная аккредитованная ICANN компания для Data Escrow в России. Техническую поддержку оказывает «Технический центр Интернет» – оператор реестров доменов .ru и .рф.
Цель депонирования – принятие дополнительных мер по обеспечению сохранности информации, содержащейся в реестрах, повышение устойчивости функционирования системы регистрации и дополнительная защита прав администраторов доменных имен в случае нарушения работы систем основного оператора реестров. В отличие от общих доменов верхнего уровня (gTLD), депонирование данных реестров не является обязательным для регистратур национальных доменов верхнего уровня (ccTLD).
Уроки кибербезопасности для пользователей
Какие бы усилия по обеспечение безопасности в интернете ни предпринимались, без повышения киберграмотности пользователей значительных успехов в этом направлении ожидать не приходится. Поэтому Координационный центр доменов .RU/.РФ старается просвещать пользователей по вопросам безопасного использования веб-ресурсов. Например, в рамках интерактивного проекта «Изучи интернет – управляй им», где устройство Интернета и цифровых технологий можно изучать с помощью игр. Несколько игровых модулей проекта как раз посвящены теме безопасности: охране персональных данных, фишингу, защите от разнообразных интернет-угроз.
В 2021 году выпущена брошюра «Азбука доменной безопасности», предназначенная для администраторов доменных имен. Эта брошюра подскажет, о чем нужно помнить и на что обращать внимание, чтобы защитить свое доменное имя и связанные с ним данные.
В ней есть очевидные правила, которые, однако, очень часто не соблюдаются пользователями, например: «Будьте предельно бдительны при работе с панелью управления доменным именем, не раскрывайте свои авторизационные данные третьим лицам».
А есть и специфические советы: «Критично относитесь к письмам продлить срок регистрации доменного имени, обращайте внимание на адрес отправителя и указанную контактную информацию». Это важно перепроверять, т.к. кибермошенники нередко выдают себя за регистраторов, отправляя владельцам доменных имен ложные письма об истечении срока их регистрации и необходимости срочного продления. Если отнестись к этому невнимательно, то можно оказаться на крючке мошенника: вы лишитесь домена, а ваш сайт – имени, адреса в Интернете.