Информационная безопасность в сфере доменных имён Конференция «РИФ+КИБ 2010» Дмитрий Денискин генеральный директор ООО Регги Бизнес 22 апреля 2010 года

Информационная безопасность домена.RU. Опыт реестра.INFO по внедрению Anti-Abuse Policy. Тенденции в международных доменах - увеличение обязанностей регистратора по противодействию киберпреступлениям. Каким быть правилам регистрации российских доменов.RU и.РФ с точки зрения информационной безопасности? Как противодействовать киберпреступлениям не доставляя проблем легитимным пользователям? 2/16

yanclex.ru Блог latronis.livejournal.com: Судя по датам публикаций в блогах, рассылка фишинговых писем началась И пока "необходимые меры", предпринимаемые Яндекс.деньгами, явно не привели к каким- то конкретным результатам. Источник: :47 MoneyNews.ru: "Руцентр", тем не менее, пока отказывается блокировать домен yanclex.ru. Источник: 3/16

~50% зоны.RU однолетние домены Коэфициент продления у некоторых регистраторов снизился до 20% В 2009 году перерегистрируются после удаления лишь 20% доменов против 80% в 2006 году Источник: доклад Павла Храмцова (RU-CENTER), Конференция «Доменины 2010» 4/16.RU – рост за счет однолетних доменов

Координационный центр домена RU и аккредитованные регистраторы не являются инстанциями, которые имеют законные полномочия определять, используется ли доменное имя для незаконной деятельности или нет, нарушаются ли права третьих лиц или нет. Выявление признаков состава преступления и их квалификация находятся в компетенции правоохранительных органов. Источник: 5/16

5.8. Регистратор вправе осуществлять проверку представляемых Администратором или хранящихся в Реестре сведений, запрашивая у Администратора уточнения и подтверждающие документы. Администратор обязан исполнить запрос Регистратора в следующие сроки: (1) в течение 10 дней с момента направления запроса – если при заключении Договора Администратор представил документы, подтверждающие сведения, необходимые для идентификации Администратора; (2) в течение 3 дней с момента направления запроса – если с момента заключения Договора и до момента направления запроса Администратор не представил документы, подтверждающие сведения, необходимые для идентификации Администратора Регистратор вправе приостановить делегирование домена незамедлительно без направления запроса, если им получена информация о недостоверности содержащихся в Реестре сведений, необходимых для идентификации Администратора. Источник: 6/16 Правила регистрации.RU

Экономика вопроса 3$ 7$ 7/16

Внедрение.INFO Anti-Abuse Policy Подготовка – 6 месяцев 35 регистраторов, 85% доменов.info GoDaddy, MarkMonitor, MelbourneIT, Tucows, DirectI Источник: 8/16

.INFO Domain Anti-Abuse Policy Illegal or fraudulent actions Spam Phishing Pharming Willful distribution of malware Fast flux hosting Distribution of child pornography Illegal Access to Other Computers or Networks Источник: 9/16

Механизмы противодействия Автоматический мониторинг Fast Flux Антифишинговая лаборатория Определение ботнет-узлов Обмен данными с CERT.INFO Anti-Abuse Policy Результат: доменов.info заблокировано за полгода Наименьший в gTLD аптайм фишинговых сайтов Источник: 10/16

Инициаторы изменений - силовики Australian Federal Police Department of Justice (US) Federal Bureau of Investigation (US) New Zealand Police Royal Canadian Mounted Police Serious Organised Crime Agency (UK) Источник: 11/16

Пожелания от силовиков Аккредитация прокси-сервисов в ICANN Немедленное открытие данных WHOIS при нарушении Проверка корректности владельца домена Автоматизированная проверка корректности телефона Ответственность регистратора за действия реселлера Публикация списка реселлеров регистратора Публикация данных регистратора – юридический и фактический адреса, ФИО руководителя Источник: 12/16

Пожелания по сбору данных 13/16 (i) Source IP address (ii) HTTP Request Headers: (a) From (b) Accept (c) AcceptEncoding (d) Accept Language (e) User Agent (f) Referrer (g) Authorization (h) Charge To (i) If Modified Since Вести базу данных проблемных контактных данных и ip-адресов Логгировать данные по всем финансовым транзакциям Использовать капчу для исключения автоматизированной регистрации Проверять корректность телефонного номера с помощью автоматизированной системы Собирать данные альтернативного контакта имя, , телефон Источник:

Задачи информационной безопасности доменов.RU/.РФ Идентификация легитимных пользователей с целью предъявления претензий в рамках правового поля Быстрое реагирование на инцинденты с доменами киберпреступников 14/16

Что изменить в.RU и.РФ? Переход от паспортизации к идентификации Идентификация не обязательна, но дает преимущества Внедрение Anti-Abuse Policy Регистратор должен иметь право немедленно снять делегирование домена, нарушающего Anti-Abuse Policy Рекомендовать регистраторам внедрить системы сбора данных по аккаунтам киберпреступников – ip клиента, ip заблокированного домена, dns-серверы, платежные реквизиты Использовать эти данные при принятии решения о блокировке домена 15/16

Вопросы? Контакты: deniskin.tel reggi.tel 16/16