W domenie .pl znajduje się już prawie 2,6 miliona aktywnych nazw. Niemal dwie trzecie abonentów to organizacje i firmy. Dla zdecydowanej większości z nich strona internetowa z końcówką .pl to nieodłączny składnik prowadzonego i rozwijanego biznesu. Z domeną powiązane są bowiem tak ważne usługi jak konta pocztowe, systemy transakcyjne i systemy płatności. Nic więc dziwnego, że przejęcie kontroli nad stroną internetową to jeden z głównych celów hakerskich ataków.

Naukowa i Akademicka Sieć Komputerowa (NASK) Państwowy Instytut Badawczy pełni m.in. rolę Rejestru domeny .pl. Jednym z najważniejszych zadań NASK jest podnoszenie bezpieczeństwa domeny krajowej. Oprócz istniejących już zabezpieczeń cały czas pojawiają się nowe, odpowiadające aktualnym cyberzagrożeniom.

Czy można porwać domenę?

W ostatnich latach na świecie porwano ponad 4 tysiące domen internetowych, należących do ponad 600 firm. Wśród nich były domeny takich gigantów, jak, Mastercard, ING Bank, McDonald’s, Amazon, Hilton, BBC, Warner Bros, MiT, Lenovo czy Google Vietnam. Co to oznacza dla firmy, która padła ofiarą ataku?

– Zwrot „porwanie domeny” odnosi się do sytuacji, gdy w wyniku przejęcia przez przestępców kontroli nad domeną internetową mogą oni przekierować użytkowników na fałszywą, przygotowaną wcześniej stronę, funkcjonującą w zupełnie innej infrastrukturze – tłumaczy Piotr Studziński-Raczyński, ekspert ds. DNS w Dziale Domen NASK PIB. – Porwanie nie tylko umożliwia dostęp do wrażliwych danych, ale także usunięcie strony internetowej. Może więc służyć zarówno phishingowi, czyli wyłudzaniu informacji o klientach, jak i wymuszaniu okupu od firmy lub organizacji, która padła ofiarą ataku.

Spektakularnym przykładem porwania domeny był atak na brazylijski bank, w wyniku którego przestępcy przechwycili m.in. transakcje bankomatowe i transakcje w punktach płatniczych. Najgroźniejsze jest jednak to, że porwanie jest stosunkowo łatwe do przeprowadzenia. Wystarczy, że pracownik firmy, działając lekkomyślnie lub nieuczciwie, przekaże cyberprzestępcom hasła i loginy.

Dane dostępowe przekazywane są także projektantom strony lub firmom zajmującym się pozycjonowaniem – wszystkie te osoby często mają dostęp do panelu klienta u rejestratora. W przypadku wykorzystania dostępu w celach przestępczych niemal natychmiast klienci mogą zostać przekierowani na fałszywą stronę o tej samej nazwie. Czy jest na to sposób?

W marcu br. NASK uruchomił usługę o nazwie .pl Registry Lock, której pierwsze aktywacje miały miejsce w czerwcu. Obecnie oferuje ją 24 rejestratorów.

– .pl Registry Lock to sposób zabezpieczenia domeny powyżej poziomu rejestratora – tak, by dosłownie nikt nie mógł jej zaszkodzić – mówi Krzysztof Orfinger, ekspert ds. DNSSEC w Dziale Domen NASK PIB. – Można to porównać do zamknięcia domeny w sejfie. Nie da się wówczas dokonać na niej żadnych operacji. Aby to zrobić, trzeba dezaktywować usługę, a mogą to zrobić tylko osoby autoryzowane za pośrednictwem odpowiedniej procedury. Po dokonaniu zmian usługę .pl Registry Lock można ponownie aktywować. Gdy cyberprzestępcy będą chcieli porwać tak zabezpieczoną domenę, nawet dysponując hasłami i loginami do panelu klienta, spotkają się z odmową realizacji zlecenia.

Internetowy notariusz

Na przełomie 2011 i 2012 roku uruchomiony został protokół DNSSEC dla NASK i domeny .pl. Oferuje go obecnie 27 rejestratorów współpracujących z NASK – głównie dostawców hostingu, a zabezpieczeniem objętych zostało ponad pół miliona nazw, czyli niemal co piąta w domenie .pl. DNSSEC to jeden ze sposobów ochrony przed atakami typu phishing. To także obecnie skuteczne lekarstwo na „starzenie się” protokołu DNS, czyli systemu nazw domenowych, na którym opiera się internet i świadczone za jego pośrednictwem usługi. Informacje przesyłane w protokole DNS nie są bowiem utajnione ani zabezpieczone przed podrobieniem czy modyfikacją. To „pamiątka” z czasów, gdy internet obejmował jeszcze niewielkie zasoby.

– Protokół DNSSEC działa jak internetowy notariusz – uwierzytelnia, że dane pochodzą z autentycznego źródła a nie na przykład z podmienionej przez hakerów strony – mówi Piotr Studziński-Raczyński. – Ponieważ w tym systemie domena nadrzędna ręczy za poprawność domen podrzędnych przez umieszczenie odpowiedniego rekordu (DS) w swojej strefie, tworzy się w ten sposób bezpieczny łańcuch zaufania.

– Niektórzy specjaliści twierdzą, że DNSSEC jest nawet ważniejszy niż protokół SSL – słynna zielona kłódka, zabezpieczająca transmisję między klientem strony internetowej a serwerem. Przeważa jednak opinia, że to usługi komplementarne – dodaje Piotr Studziński-Raczyński.

Podobnie jak usługa Anycast DNS rozwijana we współpracy z partnerami NASK, którą można porównać do chroniących przed powodzią zbiorników retencyjnych. W przypadku ataku typu DDoS, mającego na celu zablokowanie firmowej sieci i stron WWW, Anycast rozproszy go na wiele bliskich geograficznie serwerów, które skutecznie go „zutylizują”.

– Można to porównać do różnych rodzajów zabezpieczeń domu – murów, zamków, kamer czy czujników – mówi Krzysztof Orfinger. – Dom jest tak bezpieczny, jak suma tych elementów. W czasach, gdy liczba wektorów ataku na różne usługi w sieci rośnie, bezpieczeństwo domeny .pl trzeba zapewniać na wiele różnych sposobów.

Partner