ICANN ответственна лишь за небольшую, но важную часть глобальной проблемы безопасности
Возможно, физическая защита серверов доменных имен, главенствующих в системе управления трафиком Internet, — одна из наименее тревожных проблем безопасности Internet. Таких серверов только 13, они разбросаны по всему миру и объединены в единую систему с физической избыточностью.
«Физическая безопасность компьютеров должна беспокоить вас меньше всего», — заявил администратор одного из таких серверов в Стокгольме Ларс-Йохан Лиман на прошедшем здесь ежегодном собрании ICANN, организации, ведающей выделением Internet-имен и адресов.
Существует масса других проблем, заботящих участников собрания, устроенного ICANN. В их число входят распределенные DoS-атаки (denial of service — «отказ в обслуживании»), нацеленные на серверы имен доменов, а также еще не обнаруженные ошибки программного обеспечения, управляющего системами доменных имен.
Кенджи Косака, высокопоставленный чиновник японского ведомства связи, считающийся экспертом по политике в области ИТ, упрекнул ICANN в том, что она с опозданием задумалась о безопасности.
По словам Косаки, Япония уже приняла меры по улучшению безопасности серверов доменных имен, находящихся на ее территории, включая усиление физической безопасности и создание дополнительных резервных копий, расположенных в географически разнесенных местах.
В самой ICANN отмечают, что проблема безопасности не нова, и попытки ее решения принимались постоянно в течение трехлетнего срока существования организации. Стюарт Линн, генеральный директор ICANN, заявил, что целью данной встречи было «уяснить направление дальнейших действий».
«ICANN непосредственно ответственна лишь за небольшую, но важную часть глобальной проблемы безопасности Internet, — сказал Стивен Беллоуин, представитель AT&T. — Но даже свою часть проблемы ICANN не может решить самостоятельно. Нам потребуется помощь разных групп, от организаций по техническим стандартам до конечных пользователей».
Одним из потенциально уязвимых мест системы доменных имен можно назвать ее опору на программное обеспечение Berkeley Internet Name Domain (BIND), которое свободно распространяется некоммерческой организацией Internet Software Consortium.
BIND управляет многими серверами доменных имен, включая первичные или зонные серверы, управляющие адресами доменов .com и других зон, а также серверами локальных имен во многих крупных организациях.
«В основе программного обеспечения всех серверов имен лежит один и тот же код BIND, — делится своей обеспокоенностью Беллоуин. — Это слишком мало. Серьезные дыры в системе безопасности двух основных реализаций BIND немедленно приведут к потере всех 13 серверов».
Еще одной проблемой можно назвать распределенные DoS-атаки, когда тысячи компьютеров втайне захватываются и используются для «наводнения» выбранных систем огромными потоками данных, что приводит к их останову. По мнению Беллоуина, вопрос в том, «хватит ли избыточности и пропускной способности» для защиты серверов доменных имен в случае распределенной DoS-атаки.
Как утверждает Беллоуин, «большинство проблем безопасности возникает из-за ошибок в программном обеспечении, и даже вся криптография мира не поможет решить эту проблему».
Участники встречи предлагали свои решения проблем безопасности. Например, компания Register.com создала свое собственное программное обеспечение для DNS-серверов. По словам Жордена Буханана, одного из его разработчиков, компания продолжает использовать BIND наравне с новым программным обеспечением: «Разнообразие повышает безопасность».