zh

ICANN 多管齐下应对 DNS 滥用

2020 年 04 月 20 日
作者: Göran MarbyGöran Marby

尽管 ICANN 的域名滥用活动报告 (Domain Abuse Activity Reporting) 系统发布的三月份报告显示新通用顶级域 (gTLD) 中二级域的滥用现象普遍减少,这包括:网络钓鱼、恶意软件分发、僵尸网络命令与控制等。但各地也广泛报道了犯罪分子正利用"2019 冠状病毒病 (COVID-19)"疫情大流行之际,发动了各种恶意网上宣传活动。另外,多份报告指出使用 COVID-19 相关域名的 DNS 滥用行为也开始激增。

ICANN 通常采用多管齐下的方式应对 DNS 滥用,反映了在 ICANN《章程》和 ICANN 社群制定的政策框架下、并在遵守本地法律和监管要求的情况下,应对滥用行为的必要性。总体来说,ICANN 的合同合规部门(简称"ICANN 合规部")负责执行 ICANN 政策和协议中规定的合同义务,包括《注册管理机构协议 (Registry Agreement, Ra)》和《注册服务机构认证协议 (Registrar Accreditation Agreement, RAA)》;首席技术官办公室 (Office of the Chief Technology Officer, OCTO) 提供主题问题专业技能;全球域名分部 (Global Domains Division, GDD) 负责与签约方机构合作,帮助支持按照合同义务和共识性政策义务交付注册管理机构和注册服务机构的服务。

针对与 COVID-19 相关的滥用行为,ICANN 组织中的同组人员正在优先处理与 COVID-19 相关的 DNS 滥用事务,他们与相应的社群展开合作,帮助缓解新的威胁。这些威胁包括:网络钓鱼、商业电子邮件诈骗、恶意软件分发、诈骗和许多其他攻击类型。在某些情况下,犯罪分子诱骗互联网用户提供访问凭证和保密信息,让他们相信自己正在购买有关冠状病毒的拟定治疗药物和个人防护装备。在其他情况下,攻击者正在传播虚假信息或使用恶意软件感染尚未质疑的用户的设备。遗憾的是,许多这类恶意活动都使用或利用域名。互联网社群中的某些人员也提出了合理质疑,即 ICANN 在尝试应对这类滥用行为时扮演了怎样的角色。

首席技术官办公室 (OCTO) 的努力

OCTO 的安全、稳定和弹性团队现已建立了一套系统,以帮助识别利用冠状病毒大流行而进行的域名滥用行为。这套系统会查找采用如"冠状病毒"、"COVID"、"大流行"、"新冠"等等字眼或类似字眼的各种域名。一旦查到,该系统会按照多种高置信的威胁情报来源来评估这类域名,以决定它们是否参与了网络钓鱼和/或恶意软件分发等行为。若查询结果属实,则该系统将把搜集到的域名和数据与有权采取措施的相关方进行分享,例如:注册服务机构和注册管理机构,在某些情况下还包括国家和国际执法机构。本系统正在经历内部检测,以确保达到最高置信水平,尽可能最大程度地避免误判。我们还在与多名社群成员展开合作,以确保该系统生成的报告能够达到他们的报告要求,从而及时采取适当措施。

除了开发这套新版分析和报告平台以外,OCTO 的团队成员还与COVID-19 网络威胁联盟 (COVID-19 Cyber Threat Coalition, CTC)COVID-19 网络威胁情报队 (COVID-19 Cyber Threat Intelligence League, CTI League) 一道,与来自私营企业的数百位研究人员和来自多个国家的执法官员一起开展合作。这些团体会共享威胁信息,专注于在网络领域内响应疫情大流行的事务。众所周知,ICANN 与事故响应社群一起通过事故响应和安全团队论坛 (Forum of Incident Response and Security Teams, FIRST) 做出响应,并与威胁研究和运营安全社群一起通过信息传递、恶意软件和移动反滥用工作组 (Messaging, Malware, and Mobile Anti-Abuse Working Group, M3AAWG)反网络钓鱼工作组 (Anti-Phishing Working Group, APWG)全国网络法证和培训联盟 (National Cyber-Forensics and Training Alliance, NCFTA) 一起展开交流。类似地,ICANN 主要在上述团体中提供主题问题专业技能,并促进有意缓解 DNS 滥用行为的各相关方之间的沟通交流。

ICANN 合规部的努力

正如此前提到的,ICANN 合规部负责按照 ICANN 的政策和协议执行合同义务,这包括《注册管理机构协议 (RA)》和《注册服务机构认证协议 (RAA)》。ICANN 合规部还与 OCTO 紧密合作,识别 DNS 安全威胁(包括:网络钓鱼、恶意软件分发、僵尸网络命令与控制),并将这些威胁告知相应的签约方机构。ICANN 合规部使用审计工作中搜集的数据(详情请见下文),用以评估注册管理机构和注册服务机构是否遵守了其 DNS 安全威胁义务。除了审计工作以外,ICANN 合规部还利用 OCTO 和其他部门搜集的数据,积极地与 DNS 安全威胁比例失当的注册管理机构和注册服务机构进行接触。若建设性的接触以失败告终,则 ICANN 合规部将立即针对拒绝遵守 DNS 安全威胁义务的相关方采取强制措施。

在应对当前的疫情大流行期间,ICANN 合规部正在审查针对 COVID-19 大流行相关字眼的各类投诉,并将这项工作放在重中之重。但值得注意的是:ICANN 组织从未获得授权或有意获得授权充当互联网内容的一名监管人。鉴于此,在 ICANN 合规部的工作中,内容问题不应当与 RA 和 RAA 中的 DNS 安全威胁相关义务产生混淆。

ICANN 合规部已经分配大量时间和精力来应对这类滥用投诉。从 2019 年 3 月至 2020 年 3 月,ICANN 合规部收到了 1,500 多份滥用投诉。在非正式解决流程期间,大部分投诉均已得到解决。因为注册服务机构承诺遵守 RAA 的要求,采取措施加以调查和回应滥用报告。针对没有导致违约的投诉中,大约 10% 的这类投诉导致了 ICANN 合规部所接收的涉及投诉的域名被暂停使用。

此外,从 2014 年 1 月 1 日至 2020 年 1 月 31 日,ICANN 合规部向多家注册服务机构发放了 42 份违约通知。这些通知涉及:未在相关注册服务机构的网站上公布接收滥用报告的电邮地址、注册服务机构接收报告的流程描述、以及滥用报告的处理和跟踪(或两者兼有)。为了解决这些违约通知,ICANN 合规部进一步发出了:

  • 五份注册服务机构认证终止通知;
  • 一家注册服务机构在收到违约通知后自愿终止其认证。
  • 四份注册服务机构认证停用通知。

下文列出了 ICANN 合规部强制执行滥用相关条款的范例:

  • 注册管理运行机构有义务在其与注册服务机构签署的协议中纳入一项条款,供注册服务机构和注册人达成协议禁止注册人从事某些活动,并要求从事这类活动的注册人承担相应后果,这类后果包括域名停用。ICANN 合规部可以且正在针对未能在与注册服务机构签署的协议(即基准《注册管理机构协议》规范 11 3(a))中纳入必要条款的注册管理运行机构采取直接强制措施。
  • 注册管理运行机构需要定期执行技术分析,以评估其通用顶级域 (gTLD) 中的域名是否被用于造成安全威胁,例如:网络嫁接、网络钓鱼、恶意软件和僵尸网络。此外,注册管理运行机构需要维护已经识别的安全威胁数量统计报告,包括按照协议条款定期执行安全检查的结果而采取的行动,并在 ICANN 提出请求时向 ICANN 提供这类报告的副本(请参见基准《注册管理机构协议》规范 11 3(b))。
  • 根据 RAA 第 3.18 节,注册服务机构需要:

    • 采取及时合理的措施对滥用报告进行调查,并做出适当回应;
    • 审核由执法部门、消费者保护机构、准政府机构或其他类似权威机构提交的证据充分的违法活动报告(根据 RAA 的定义);和
    • 公示滥用行为联系人信息和滥用报告处理流程,供用户了解如何向注册服务机构提交滥用报告,且这类报告将得到怎样的处理。
  • ICANN 合规部在调查有效的滥用投诉时,还要求该注册服务机构解释针对这类滥用报告进行了怎样的调查和回应,并要求该注册服务机构针对域名使用和滥用政策提供一个链接或副本,作为该注册服务机构处理具体滥用报告的依据。
  • ICANN 合同合规审计项目也应对了某些问题的滥用行为。该项目定期针对注册管理机构和注册服务机构加以执行,以决定他们是否遵守了有利于应对不同滥用形式的条款。ICANN 合规部也将其近期的审计工作的重点放在了 DNS 滥用行为之上。
  • ICANN 合规部在去年执行了一轮注册管理运行机构应对域名系统安全威胁审计 (Registry Operator Audit for Addressing DNS Security Threats) 工作。该审计工作评估了注册管理机构遵守合同义务的状况(包括上述的基准 RA 规范 11 3(b))。ICANN 合规部还将针对认证注册服务机构进行审核,以评估他们在遵守 DNS 安全威胁义务时的合规情况。通过执行这类审核,ICANN 合规部依赖 OCTO 的专业技能,来识别 DNS 的安全威胁,并将它们与相应的签约方机构联系起来。

ICANN 合规部敦促各相关方若发现可能造成 DNS 滥用行为的域名时,特别是发现与 COVID-19 相关的滥用行为时,将它们报告给相关的注册管理机构和注册服务机构,且当各相关方认为签约方未能及时合理地处理滥用报告时,向 ICANN 合规部提交投诉。ICANN 合规部鼓励 DNS 滥用行为报告人在向注册服务机构提交报告时,仔细阅读由注册服务机构利益相关方团体 (Registrar Stakeholder Group) 发布的指南

全球域名分部 (GDD) 的努力

GDD 与 gTLD 注册管理机构和 ICANN 的认证注册服务机构维护着商业关系,并在他们履行合同义务时为其提供支持性服务。GDD 通过这类合作关系,将签约方机构和 ICANN 组织和社群内部的各相关方联系起来,以帮助打击 DNS 安全威胁和其他 DNS 滥用形式。

本月早些时候,本人还向 gTLD 注册管理机构和注册服务机构发送了电子邮件,感谢他们所做的努力和采取的措施,以帮助缓解和减少利用冠状病毒疫情大流行而被恶意滥用的域名数量。注册服务机构利益相关方团体近期还发布了一份实用指南,题为《注册服务机构应对 COVID-19 危机的方案 (Registrar approaches to the COVID-19 Crisis)》,为注册服务机构社群提供了在应对滥用行为时可以使用的多种措施和资源。

GDD 还在密切关注 COVID-19 相关滥用行为及其对域名行业所产生的影响。具体来说,GDD 团队近期提供了一份指南,告知注册服务机构可以如何保护无法及时续订域名的注册人。GDD 还请求与签约方机构的代表进一步展开讨论,从而更好地理解、应对和缓和签约方机构和注册人共同面临的问题,并考量潜在解决方案。

展望未来

打击滥用行为需要为拥有合法利益的人员提供可预测的可靠域名注册数据访问权限。ICANN 组织正在尝试针对欧盟 (European Union) 发布的《通用数据保护条例 (General Data Protection Regulation, GDPR)》获得澄清,了解欧盟的法律框架下是否允许设立一套 gTLD 域名注册数据统一访问模型。这类注册数据的访问权限对于执法机构和安全执业人员来说至关重要,可以在犯罪分子利用 COVID-19 疫情大流行达到恶意目的时,或在任何其他欺诈和犯罪活动涌现时,保护互联网用户不受危害。ICANN 社群通过 gTLD 注册数据临时规范快速政策制定流程 (Expedited Policy Development Process, EPDP),已经花费了大量时间和精力来界定一套中央访问模型的各项元素。ICANN 组织和各方均已做出不懈努力从欧洲数据保护理事会 (European Data Protection Board) 处获得指导,了解是否能够设立这一模型,且如果可行,这套模型如何能够在遵守 GDPR 的情况下针对注册数据提供充足的访问权限。截至目前,ICANN 社群尚未收到请求的指导。

ICANN 组织将继续评估其他方案和必要工具,以确保为所有互联网用户奉上一个稳定和安全的 DNS。请谨记采取必要措施保护您的系统,并随时保持警惕,确保自身不受潜在恶意活动的危害。标准"网络卫生"操作,例如:请勿点击非应邀电子邮件中的链接,仅对"来自"预期发送人邮件地址发出的电子邮件进行验证,对包含错别字或拙劣语法的电子邮件保持警惕,在回复电子邮件或电子邮件的链接中永远不要提供任何凭证,针对非应邀电子邮件中的说辞保持怀疑态度等等,这些操作能够极大程度上降低您在 DNS 滥用攻击中成为受害者的可能性。

ICANN 组织将社群的健康和安全视作头等要务。请在线上和线下都能保证安全,帮助延缓 COVID-19 的蔓延和犯罪分子利用全球疫情大流行而为非作歹的努力。

Authors

Göran Marby

Göran Marby

President and Chief Executive Officer (CEO)
Read biographyRead biography