Может ли одна организация отключить интернет

  • 11 sept. 2018, 17:29
  • 625

Корпорация по управлению доменными именами и IP-адресами (ICANN) предупредила о возможных проблемах с доступом к сети интернет 750 млн человек после 11 октября. Именно эту цифру составляют «небольшой процент» (по словам организации) интернет-пользователей, которым предстоит столкнуться с последствиями обновления криптографических ключей, используемых для для защиты системы доменных имен интернета (DNS). Что же представляет собой организация ICANN (International Corporation for Assigned Names and Numbers), почему их заседания напоминают смесь религиозного собрания и бейсбола и почему Россия и Китай против такого положения вещей?

Ритуалы ICANN

Два раза в год в пригороде Лос-Анджелеса, в нескольких милях от международного аэропорта, 20 человек в свете галогенных ламп ожидают в помещении без окон начала церемонии. Возможно, обстановка была бы трудно отличимой от офисной, если бы не беспрецедентные меры безопасности, через которые этой двадцатке пришлось пройти, прежде чем оказаться здесь: на страже безопасности интернета биометрические сканеры, сканеры сетчатки глаза и отпечатков пальцев. Причина, по которой собравшиеся находятся здесь, напоминает сюжет бондианы: семеро из собравшихся являются хранителями уникального ключа от мирового интернета. Вместе их ключи создают мастер-ключ, который, в свою очередь, контролирует одну из центральных мер безопасности в ядре сети. Хранители ключей встречаются четыре раза в год, дважды на восточном побережье США и дважды на западном, начиная с 2010 года. Хранителей объединяет многолетний опыт работы в сфере интернет-безопасности и различных международных учреждениях, они были выбраны по географическим соображениям — ни одна страна не может иметь слишком много держателей ключей. Они отправляются на церемонию самостоятельно или за счет своих работодателей.

Хранители ключей контролируют систему доменных имен (DNS), лежащую в основе работы интернета. Это интернет-версия телефонного справочника — она переводит веб-адреса, которые вы набираете буквами, в серию цифр, называемых IP-адресами. Если бы не было DNS, пришлось бы для посещения сайта набирать длинную последовательность чисел для каждого сайта. Например, чтобы попасть на RUVDS, вам нужно будет ввести «193.124.0.4» вместо ruvds.com.

Мастер-ключ является частью глобальных мер по обеспечению безопасности всей системы доменных имен и безопасного интернета: каждый раз, когда хранители встречаются, они проверяют, что каждая запись в их адресных книгах является подлинной. Это предотвращает распространение поддельных веб-адресов, которые могут привести людей к вредоносным сайтам, используемым для взлома компьютеров или кражи персональных данных, в том числе данных платежных карт.

На церемониях восточного и западного побережья присутствуют по семь держателей ключей, а еще семь человек по всему миру имеют полномочия по восстановлению системы, если что-то пойдет не так. Каждый из 14 держателей первичных ключей имеет традиционный металлический ключ для сейфа, который, в свою очередь, содержит смарт-карту, которая, в свою очередь, активирует машину, которая создает новый главный ключ. У «страхующей» семерки есть смарт-карты, содержащие фрагмент кода, необходимый для создания сменной машины — генератора ключей. Один раз в год эти теневые хранители отправляют в ICANN селфи с газетой на текущую дату и их ключом, чтобы подтвердить свой статус.

«Ритуал» предусматривает генерацию нового мастер-ключа, его последующую активацию с помощью смарт-карт, подписание ключа, его загрузку на USB-носители для серверов различных доменных зон (ru, com, net и т. д.). В ходе процедуры также происходит зачитывание произвольных последовательностей слов, сгенерированных ключами для их сверки, а подписание каждого ключа сопровождается аплодисментами.

Борьба за «независимость»

Вопрос передачи контроля над администрированием адресного пространства интернета в независимую организацию стал одним из предвыборных вопросов в США. Идею не одобрили политические тяжеловесы: советник президента США по национальной политике Стивен Миллер и сенатор Тед Круз. Аргументы последних заключались в возможном контроле над интернетом со стороны России и Китая, в то время как кандидат от демократической партии Хиллари Клинтон поддержала решение прежней администрации о независимом контроле интернета.

В октябре 2016 года ICANN все же объявила об истечении контракта с Министерством торговли США и Национальным управлением информации и связи (NTIA), что означало долгожданное для России событие — «отстранение» американских властей от «управления интернетом», ведь именно Россия и Китай много лет настаивали на передаче контроля над интернетом международной организации. Поддержкой корневых серверов DNS и реестром доменов верхнего уровня, впрочем, продолжила заниматься именно американская компания (Verisign), администрирование адресного пространства интернета осталось за ICANN, но обязанности согласовывать действия с властями США у нее больше не стало.

Однако США, теряя контроль над уникальными идентификаторами интернета через контрактные отношения, все же сохраняют его в значительной степени через свою юрисдикцию над техническими структурами, которые поддерживают работу системы (большинство управляющих серверов находятся в США). Поэтому формальная передача управления не развеяла опасения Москвы. В ноябре 2017 года Совбез РФ поручил Минкомсвязи и МИД заняться созданием в странах БРИКС собственной системы корневых серверов DNS. Другими словами, создавалась основа для альтернативного интернета.

Идея с альтернативной сетью — не первое партнерство России со странами БРИКС в киберпространстве. Например, группой стран был поддержанкодекс поведения государств в киберпространстве на Генеральной Ассамблее ООН. Он призывает не атаковать объекты критически важной инфраструктуры государств (АЭС, предприятия ТЭК, банки, системы управления транспортом или водоснабжением), не использовать «закладки» вредного программного обеспечения и перестать бездоказательно обвинять друг друга в кибератаках. При этом предусмотрено объединение усилий в борьбе с хакерами, осуществляющими диверсии с территории государств, подписавших соглашение. Одним из ключевых тезисов кодекса стали гарантии одинакового участия государств в международном управлении интернетом.

Блокировка стран: снаружи и изнутри

Причина недовольства России и Китая в отсутствии механизмов регулирования и права вето в вопросах управления интернетом. Следовательно, могут быть односторонним образом блокированы как отдельные ресурсы, так и страны в целом. Положение о трансграничном доступе к хранящимся компьютерным данным и вовсе позволяет различным спецслужбам без официального уведомления проводить операции в компьютерных сетях третьих стран, что составляет очевидную угрозу суверенитета этих стран.

В ходе работы над собственной системой корневых сервисов DNS Россия неизбежно сотрудничает с Китаем, который известен созданием «Великого китайского файрвола». Также есть концепция «Великой пушки» Фана Биньсина. Вместе эти две системы теоретически дают государствам полный контроль над своим сегментом интернета, включая защиту от атак извне, равные права на использование ресурсов интернета и при этом контроль над корневыми DNS-серверами в своей доменной зоне. Предложенная Фаном Биньсином концепция предполагает возможность создания прямого обмена данными между странами в обход корневых DNS-серверов в США.

На практике идея не нашла понимания в экспертном сообществе и даже у самого Китая, как слишком дорогостоящая и ненужная. Китай готов поддерживать резолюции России в ООН, но идею создания альтернативного интернета считает слишком громоздкой и не эффективной по отношению к имеющейся. Позиция Китая заключается в том, чтобы создать необходимый инструментарий («Великий файрвол» и «Великая пушка»), чтобы эффективно бороться с киберпреступностью в текущей системе.

Отключения интернета в одной из стран по команде из США нереально в силу архитектуры DNS-серверов. Кроме десяти корневых серверов в США, где исторически возник интернет, система DNS включает сервера в Нидерландах, Швеции и Японии, а также сотни зеркальных (дублирующих) серверов, в том числе десять в России: в Москве, Санкт-Петербурге и Екатеринбурге. Если США по какой-либо причине удалят файлы зоны .ru со своих корневых серверов DNS, Рунет продолжит работать с другими корневыми и зеркальными серверами. Издержки составят увеличение времени доступа к сайтам на несколько миллисекунд. Но обратный эффект будет несимметричным как для США, так и для глобального интернета, потеря доверия к которому повлечет создание целого ряда локальных корневых серверов DNS.

Иными словами, текущее положение хрупкого равновесия мирового интернета держится на доверии, хоть его порой приходится поддерживать странными театрализованными церемониями «хранителей» из ICANN. Американский криптолог и эксперт по кибербезопасности Брюс Шнайер, работавший над утечками Эдварда Сноудена, признает, что не все меры являются необходимыми: «Многое нужно, но некоторые из мер необходимы исключительно для шоу. Этот процесс как технический, так и политический, и это все усложняет». А другой член ICANN Линн Липински и вовсе признает схожесть проводимых ими церемоний по замене ключей с «сочетанием церкви и бейсбольной игры». В любом случае безопасность мирового интернета находится в надежных руках, и ожидать каких-либо проблем с заменой криптографических ключей уж точно не стоит.