Проблема угрозы безопасности доменов верхнего уровня нерешаема
Все зависит на самом деле от используемой ОС и браузера. Ведь уже сегодня отдельное количество сайтов доступно лишь путем ввода только их верхнего домена в строке браузера. Если использовать MF на Mac’ах или ОС Ubuntu, то можно открыть домен .ac, просто указав в строе браузера соответствующее словосочетание даже без кавычек. Та же схема реальна и для открытия .tm или .io. На эти сайты без лишних повторений зайдет и Ubuntu, и Google Chrome.
А вот если на компьютере будет стоять Windows XP SP3, то зайти на любой из этих сайтов у вас не получится. Однако ПК с Vista смог это сделать без особого труда. А отсутствие точки в адресе не ввело ОС в состояние прострации, а привело к тому, что система самостоятельно переместила сайт в «Местную интрасеть» - такую себе доверенную зону, адреса которой при открытии не задействуют дополнительные меры безопасности.
Но ничего хорошего в том, что Windows помещает любое имя без точки в интрасеть, нет. Тем же «микромягким» не очень нравится обслуживать адреса типа .apple в собственной интрасети.
Хотя далеко не все эксперты единогласно согласны с тем, что большое количество доменов верхнего уровня – это рисковое дело. Среди таких оптимистов и Дэн Камински. Главный научный сотрудник фирмы по обеспечению безопасности DKH и DNS-эксперт в одном лице считает, что такие слухи ходят из-за сомнений, неуверенности и страхов. Плохие вещи могут случиться только в случае присвоения таких доменов, как localdomain, wpad или localhost. Однако в рамках расширения численности верхних доменов продажа именно этих доменных зон не предусмотрена. А все причины кроются в стандартной процедуре, без прохождения которой стать владельцем домена невозможно.
Что же касается стандартной процедуры, на которую ссылкается Камински, то она представляет собой процесс одобрения ICANN и включает плату за подачу заявлений на регистрацию доменов верхнего уровня, которая равняется 185 тыс. долларов. Такая большая сумма была предложена ICANN для сокращения количества заявок на регистрацию доменных зон. А как известно, чем меньше количество таких заявок, тем качественнее будет изучена каждая из них на предмет соответствия регистрируемых верхних доменов товарным знакам и критериям безопасности.
Камински комментирует данную ситуацию так: «Мы не посылаем каждого в GoDaddy, чтобы за 40 баксов он здесь мог купить верхний домен. Каждый, кто желает стать владельцем новой доменной зоны, должен заплатить пошлину в размере 185 тыс. долларов. А ICANN имеет специальный совет, который будет наблюдать за всем этим».
В настоящий момент ICANN не налагает какие-либо запреты на регистрацию определенных доменов верхнего уровня. Однако в ноябре прошлого года Security, Stability and Advisory Committee был опубликован доклад, где подробно описываются возможные угрозы безопасности для конечных пользователей при условии, что DNS-серверы не будут отвечать на определенные запросы верхних доменов стандартным сообщением об ошибке “NXDOMAIN”.
И хотя данное сообщение позволяет решать ошибки, все же ответ в виде ссылки от корневого сервера имен вызовет возможную рекурсию и, в конечном итоге, приведет к непредсказуемым для пользователя результатам. В этом документе есть также и краткая справка, где не предостерегается об огромным возможностях, которыми может обладать опытный атакующий после регистрации удачного домена верхнего уровня. Также в нем нет и широкого перечня имеет, потенциально опасных для всего интернет-пространства.
Например, такие домены, как isatap или calicense, в преступных целях могут быть использованы для взлома гос или корпоративных сетей, так как подобными именами очень часто обозначают местные ресурсы разработчики ПО Computer Associates и Microsoft соответственно.
“Если тебе подконтролен корневой домен верхнего уровня ISATAP, то ты можешь общаться с любым ПК под управлением ОС Windows с настройками [IPv6 setting] 6in4, так как для этих целей используется роутер ISATAP. Если подобные домены будут существовать на корневом уровне DNS, то это станет концом интернет-безопасности в ее привычном для нас понимании”.