ru

Комплексный подход корпорации ICANN к реагированию на злоупотребления DNS

20 апреля 2020
Автор Göran MarbyGöran Marby

Несмотря на то, что мартовский отчет платформы отчетности о случаях злоупотребления доменами ICANN свидетельствует об общем сокращении количества доменов gTLD второго уровня, задействованных для фишинга, распространения вредоносного ПО и управления ботнетами, широко отмечалось также то, что злоумышленники пользуются пандемией COVID-19 для запуска онлайн-кампаний по осуществлению преступной деятельности. Кроме того, неоднократно сообщалось о всплесках использования доменов, связанных с COVID-19, для осуществления злоупотреблений DNS.

ICANN всегда исповедовала комплексный подход к злоупотреблениям DNS, отражающий необходимость решать проблемы злоупотреблений в рамках ограничений, предусмотренных Уставом ICANN, а также политик, определенных сообществом ICANN, с соблюдением норм местного законодательства и требований регулирующих органов. Обычно отдел соблюдения договорных обязательств ICANN обеспечивает соблюдение обязательств, предусмотренных политиками и соглашениями ICANN, в т. ч. соглашением об администрировании домена верхнего уровня (RA) и соглашением об аккредитации регистраторов (RAA), офис технического директора (CTO) предоставляет технические знания по тем или иным предметным областям, а глобальное подразделение по управлению доменами (GDD) сотрудничает со сторонами, связанными договорными обязательствами, и помогает им обеспечивать предоставление услуг регистратур и регистраторов в соответствии с обязательствами, предусмотренными договорами и согласованными политиками.

В случае со злоупотреблениями DNS, связанными с пандемией COVID-19, те же действующие лица в рамках корпорации ICANN выделили борьбу с такими злоупотреблениями как приоритетную для себя задачу и вместе с соответствующими сообществами работают над противодействием этим новым угрозам. К таким угрозам относятся фишинг, компрометирование электронной почты компаний, распространение вредоносного ПО, мошенничество и многие другие виды атак. В некоторых случаях преступники пытаются обманом выудить у пользователей Интернета учетные данные и конфиденциальную информацию под предлогом распространения лекарств, якобы помогающих от коронавируса, а также средств индивидуальной защиты. В других случаях злоумышленники распространяют дезинформацию или заражают вредоносным ПО устройства ничего не подозревающих пользователей. К сожалению, во многих случаях подобной незаконной деятельности используются или задействуются доменные имена, и многие в интернет-сообществе задаются закономерным вопросом о том, какую роль в борьбе с такими злоупотреблениями играет ICANN.

Усилия офиса технического директора

Группа поддержки безопасности, стабильности и отказоустойчивости в офисе технического директора разработала систему, которая помогает выявлять домены, используемые для вредоносной деятельности в контексте пандемии коронавируса. Эта система ищет доменные имена, похожие на такие термины, как coronavirus, covid, pandemic, ncov и т. п., или включающие их, а затем сверяет найденные имена с различными надежными источниками информационно-аналитической информации об угрозах, чтобы определить, были ли они задействованы в фишинге или распространении вредоносного ПО. В случае положительного результата такие доменные имена и данные, собранные системой, предоставляются сторонам, обладающих возможностями принимать соответствующие меры, в т. ч. регистраторам и регистратурам, а в некоторых случаях — национальным и международным правоохранительным органам. В настоящее время эта система проходит внутреннее тестирование, призванное обеспечить высочайшую степень надежности и избежать, насколько это возможно, ложных срабатываний, и мы работаем со многими членами сообщества над тем, чтобы обеспечить для отчетов, формируемых этой системой, соответствие предъявляемым разными сторонами требованиям для своевременного принятия соответствующих мер.

Помимо разработки этой новой системы анализа и отчетности специалисты офиса технического директора также участвуют в деятельности как коалиции по противодействию угрозам, связанным с COVID-19 (CTC), так и лиги информационно-аналитических данных об угрозах COVID-19 (CTI League), а также сотрудничают с сотнями исследователей из частных компаний и с правоохранительными органами разных стран. Эти группы обмениваются важной информацией об угрозах, посвященной реагированию на пандемию в области кибербезопасности. Аналогично тому, как ведется работа ICANN с сообществом специалистов по реагированию на чрезвычайные происшествия в рамках форума групп быстрого реагирования и отделов безопасности (FIRST) и осуществляется взаимодействие с сообществами исследователей угроз и специалистов по обеспечению операционной безопасности в рамках рабочая группа по вопросам борьбы со злоупотреблениями в сфере обмена сообщениями, вредоносного ПО и мобильной связи (M3AAWG), антифишинговой рабочей группы (APWG) и Национального альянса киберэкспертизы и обучения (NCFTA), ICANN обеспечивает свой вклад в усилия этих групп в первую очередь посредством предоставления специалистов по соответствующим вопросам, а также посредством содействия в обмене информацией между различными сторонами, заинтересованными в борьбе со злоупотреблениями DNS.

Усилия, предпринимаемые отделом соблюдения договорных обязательств ICANN

Как уже было сказано, отдел соблюдения договорных обязательств ICANN обеспечивает соблюдение обязательств, предусмотренных политиками и соглашениями ICANN, в т. ч. соглашением об администрировании домена верхнего уровня (RA) и соглашением об администрировании домена верхнего уровня (RAA). Кроме того, отдел соблюдения договорных обязательств ICANN в тесном контакте с офисом технического директора работает над определением угроз безопасности DNS (таких как фишинг, распространение вредоносного ПО и управление ботнетами) и сопоставлением этих угроз со спонсирующими сторонами, связанными договорными обязательствами. С помощью данных, собираемых в процессе проведения аудита (подробнее см. ниже), отдел соблюдения договорных обязательств ICANN оценивает то, насколько те или иные регистратуры и регистраторы соблюдают свои обязательства в части борьбы с угрозами безопасности DNS. Кроме данных, получаемых в процессе аудита, отдел соблюдения договорных обязательств ICANN использует также данные, полученные офисом технического директора и другими сторонами, для профилактической работы с регистратурами и регистраторами, ответственными за непропорционально большое количество угроз безопасности DNS. В тех случаях, когда конструктивное сотрудничество не приносит результата, отдел соблюдения договорных обязательств ICANN готов прибегать к решительным мерам принудительного исполнения обязательств в части защиты от угроз безопасности в отношении тех, кто отказывается соблюдать их добровольно.

В рамках реагирования на нынешнюю пандемию отдел соблюдения договорных обязательств ICANN выделяет из массы сообщений о нарушениях те, в которых используются термины, связанные с тематикой COVID-19, и обрабатывает такие сообщения в приоритетном порядке. Важно отметить, что корпорация ICANN никогда не получала и не должна была получить полномочий выступать в качестве регулятора содержимого Интернета. С учетом этого, когда речь идет функциях отдела соблюдения договорных обязательств ICANN, проблемы содержания не следует смешивать с предусмотренными соглашениями RA и RAA обязательствами, затрагивающими угрозы безопасности DNS.

Отдел соблюдения договорных обязательств ICANN уделяет много времени и сил проблеме таких нарушений. За период с марта 2019 года по март 2020 года в отдел соблюдения договорных обязательств ICANN поступило более 1500 сообщений о нарушениях. Большинство жалоб были урегулированы в рамках неформального процесса, поскольку регистраторы продемонстрировали соблюдение требований соглашения RAA в том, что касается принятия мер по выяснению обязательств и реагированию на сообщения о злоупотреблениях. Из тех случаев, в которых не было выявлено нарушений, приблизительно 10% завершились приостановкой делегирования доменных имен, указанных в сообщениях, поступивших в отдел соблюдения договорных обязательств ICANN.

Кроме того, за период с 1 января 2014 года по 31 января 2020 года отдел соблюдения договорных обязательств ICANN направил регистраторам 42 уведомления о нарушениях, в числе которых были сообщения о неуказании на веб-сайте регистратора адреса электронной почты для сообщения о нарушениях, отсутствии описания порядка получения и обработки регистратором таких сообщений и отслеживания принимаемых мер, или же об обоих этих упущениях. В дальнейшем в рамках урегулирования нарушений, о которых рассылались уведомления, отдел соблюдения договорных обязательств ICANN выпустил:

  • Пять уведомлений о прекращении аккредитации регистратора;
  • Один регистратор после получения уведомления о нарушении добровольно прекратил действие своей аккредитации.
  • Четыре уведомления о приостановлении аккредитации регистратора.

Далее приведены примеры положений, касающихся злоупотреблений, выполнение которых обеспечивает отдел соблюдения договорных обязательств ICANN:

  • Операторы регистратур обязаны предусматривать в своих соглашениях с регистраторами положение, обязывающее регистраторов в их соглашениях с владельцами доменов запрещать владельцам доменов заниматься определенной деятельностью и предусматривать для владельцев доменов, замешанных в такой деятельности, определенные последствия в т. ч. приостановку делегирования соответствующих доменов. Отдел соблюдения договорных обязательств ICANN может и должен предпринимать меры прямого принуждения к исполнению обязательств к тем операторам регистратур, которые не включат в свои соглашения с регистраторами необходимые положения (базовое соглашение об администрировании домена верхнего уровня, спецификация 11 3(a)).
  • Операторы регистратур обязаны периодически проводить технический анализ того, не используются ли домены в TLD для создания угроз безопасности, таких как фарминг, фишинг, вредоносное ПО и ботнеты. Кроме того, операторы регистратур обязаны вести статистическую отчетность по ряду определенных угроз безопасности, в том числе о мерах, предпринятых в результате периодических проверок безопасности, в течение срока действия соглашения и по запросу предоставлять копии соответствующих отчетов в ICANN (базовое соглашение об администрировании домена верхнего уровня, спецификация 11 3(b))
  • В соответствии с п. 3.18 соглашение об аккредитации регистраторов регистраторы обязаны:

    • принимать разумно необходимые и незамедлительные меры для расследования и надлежащего реагирования на сообщения о нарушениях;
    • рассматривать обоснованные сообщения о незаконной деятельности (согласно определению в соглашении об аккредитации регистраторов), поступающие от правоохранительных органов, органов защиты прав потребителей, государственных или прочих подобных органов власти;
    • отображать для всеобщего обозрения контактные данные и сведения о порядке рассмотрения сообщений о нарушениях для информирования пользователей о том, как можно передавать сообщения о злоупотреблениях регистраторам и каким образом такие сообщения будут рассматриваться.
  • При расследовании обоснованных сообщений о нарушениях отдел соблюдения договорных обязательств ICANN требует от регистраторов пояснить, как они расследовали и реагировали на соответствующие сообщения о нарушениях, а также предоставить копию политики или ссылку на политику регистратора, определяющую порядок добросовестного использования доменных имен, в соответствии с которой должен был действовать регистратор при реагировании на конкретное сообщение о нарушении.
  • Программа аудита соблюдения договорных обязательств отдела обеспечения соблюдения договорных обязательств ICANN затрагивает нарушения в ряде вопросов, которые регулярно задаются как регистратурам, так и регистраторам с целью определить соблюдение ими положений, которые могут быть полезны для устранения тех или иных форм злоупотреблений. Кроме того, в рамках недавних проверок, проводимых отделом соблюдения договорных обязательств ICANN, особое внимание уделялось злоупотреблениям DNS.
  • В прошлом году отдел соблюдения договорных обязательств ICANN провел аудита мер по устранению угроз безопасности DNS, принимаемых операторами регистратур. Этот аудит затрагивал соблюдение регистратурами их договорных обязательств, в т. ч. спецификацию 11 3(b) базового соглашения об администрировании домена верхнего уровня (см. описание выше). Отдел соблюдения договорных обязательств ICANN проведет аудит аккредитованных корпорацией регистраторов для оценки соблюдения ими своих обязательств в части противодействия угрозам безопасности DNS. В проведении таких аудиторских проверок отдел соблюдения договорных обязательств ICANN полагается на опыт и знания, наработанные специалистами офиса технического директора, для выявления угроз безопасности DNS и сопоставления их со спонсирующими сторонами, связанными договорными обязательствами.

Отдел соблюдения договорных обязательств ICANN призывает стороны, обнаружившие использование доменных имен для осуществления злоупотреблений DNS, в особенности в связи с эпидемией COVID-19, сообщать о таких случаях соответствующим регистратурам и их регистраторам, а также, в тех случаях, когда стороны, связанные договорными обязательствами, не реагируют своевременно и должным образом на такие сообщения о нарушениях, передавать их в отдел соблюдения договорных обязательств ICANN. Отдел соблюдения договорных обязательств ICANN призывает всех подателей сообщений о злоупотреблениях DNS ознакомиться с рекомендациями, опубликованными группой заинтересованных сторон-регистраторов.

Усилия подразделения ICANN по глобальному управлению доменами (GDD)

Подразделение по глобальному управлению доменами (GDD) поддерживает деловые отношения с регистратурами gTLD и аккредитованными ICANN регистраторами и предоставляет им услуги в поддержку соблюдения ими своих договорных обязательств. В рамках такого сотрудничества подразделение GDD помогает бороться с угрозами безопасности DNS и прочими формами злоупотреблений DNS посредством объединения и координации усилий сторон, связанных договорными обязательствами, из разных частей корпорации и сообщества ICANN.

Ранее в этом месяце я написал регистратурам gTLD и регистраторам, чтобы поблагодарить их за их усилия и деятельность, направленную в поддержку противодействию и устранению последствий использования доменных имен злоумышленниками, которые пользуются пандемией коронавируса в недобросовестных целях. Группа заинтересованных сторон-регистраторов недавно опубликовала интересное руководство, озаглавленное «Подходы регистраторов к кризису, вызванному COVID-19», в котором приводятся меры и ресурсы для использования сообществом регистраторов в их работе.

Подразделение ICANN по глобальному управлению доменами пристально следит за проблемой злоупотреблений, связанных с COVID-19, и их последствиями для отрасли доменных имен. В частности, в связи с этой проблемой подразделение GDD недавно представило свои рекомендации в отношении того, каким образом регистраторы могут защищать владельцев доменов, которые могут сталкиваться с трудностями в том, что касается соблюдения сроков при продлении регистрации принадлежащих им доменных имен. Подразделение GDD запросило дополнительное обсуждение проблемы с представителями сторон, связанных договорными обязательствами, для обеспечения более глубокого понимания и успешного решения тех проблем, с которыми сталкиваются как стороны, связанные договорными обязательствами, так и владельцы доменов, а также для выработки идей в отношении возможных решений.

Дальнейшие действия

Для борьбы со злоупотреблениями необходим предсказуемый и надежный доступ к регистрационным данным доменных имен для сторон, обладающих на то законными основаниями. Корпорация ICANN продолжает свои попытки добиться ясности в том, каким образом общие положения о защите данных Европейского Союза сказываются на возможности использовать в рамках законодательства ЕС для доступа к данным доменных имен gTLD некую единую модель доступа. Доступ к таким регистрационным данным крайне важен для правоохранительных органов и специалистов в области безопасности, обеспечивающих защиту пользователей Интернета от преступников, которые используют для осуществления незаконной или мошеннической деятельности кризис, вызванный пандемией COVID-19, или другие новые угрозы. В рамках ускоренного процесса формирования политики (EPDP) в отношении временной спецификации для регистрационных данных в gTLD сообщество ICANN отдало чрезвычайно много времени и сил работе над определением элементов модели централизованного доступа. Корпорация ICANN, как и многие другие, приложила немало усилий к тому, чтобы добиться от совета по защите данных ЕС указаний в отношении того, может ли такая модель обеспечивать эффективный доступ к регистрационным данным в соответствии с требованиями GDPR, и если да, то каким образом. На сегодняшний день сообщество ICANN не получило указаний, о которых просило.

Корпорация ICANN продолжит рассматривать другие способы и инструменты, необходимые для обеспечения стабильности и безопасности DNS для всех пользователей Интернета. Не забывайте о мерах, необходимых для защиты ваших систем, и не теряйте бдительности в том, что касается ограждения себя от потенциально вредоносных действий злоумышленников. Стандартные меры «кибергигиены» — не переходить по ссылкам от неизвестных источников, проверять соответствие адреса отправителя заявленному отправителю, соблюдать осторожность при работе с сообщениями электронной почты, содержащими опечатки или грамматические ошибки, никогда не указывать свои имя пользователя и пароль в ответ на сообщения или по ссылкам из сообщений электронной почты, разумное недоверие в отношении достоверности сведений, приводимых в письмах, которые вы не запрашивали, и т. п. — все это может оказаться очень полезным для снижения вероятности того, что вы станете жертвой атак, использующих DNS в недобросовестных целях.

Основной приоритет корпорации ICANN — здоровье и безопасность сообщества. Оставайтесь здоровыми в жизни и в Интернете, чтобы помочь замедлить распространение COVID-19 и помешать попыткам преступников воспользоваться глобальным кризисом.

Authors

Göran Marby

Göran Marby

President and Chief Executive Officer (CEO)
Read biographyRead biography