Сбой, случившийся около 19:00 мск, сразу стал заметным, но технический ли это инцидент или масштабная кибератака, стало понятно не сразу, — сообщили Forbes эксперты департамента Threat Intelligence компании F.A.С.С.T.:
Судя по обсуждению на теневых ресурсах, хактивисты довольно внимательно следили за ситуацией со сбоем в доменной зоне .RU. Но ни одна из проправительственных группировок или групп хактивистов не взяла ответственность за этот инцидент на себя. Участники антироссийски настроенных прогосударственных хакерских групп, которые приписывали себе ранее различные кибератаки на цели в России, полагали, что инцидент мог быть связан с внутренними техническими процессами и высказали мнение, что «третьи лица» могли воспользоваться процессами обновления оборудования.
Вскоре технические специалисты сообщили: проблема, затронувшая зону .RU, связана с инфраструктурой DNSSEC. Протокол DNS (Domain Name System, «система доменных имен») — это аналог телефонного справочника, который переводит понятные человеку веб-адреса в удобный для работы набор цифр IP-адреса, поясняет гендиректор хостинг-провайдера RUVDS Никита Цаплин. DNS-сервер обращается либо к вышестоящему серверу, либо к зарубежным серверам, которые хранят каталоги соответствия веб-ресурсов их адресам, это и позволяет, введя тот или иной адрес в строке, попасть на необходимый сайт:
DNSSEC — это набор расширений протокола DNS, который подтверждает подлинность данных, он не дает совершать подмену IP-адреса, защищая пользователей от тех же мошенников. DNSSEC использует два типа ключей: один — для подписи ресурсных записей зоны, ZSK, второй — ключ для подписи ключей, KSK. И этот сбой, вероятно, связан как раз с ZSK: возможно, ключ ZSK был заменен на новый, но невалидный по тем или иным причинам. Проблему выявили и вернулись к прежнему варианту, так работа сайтов в зоне .RU восстановилась.
DNSSEC — молодая по меркам интернета технология, за 15 лет ее применения в мировой практике произошло более 200 подобных случаев, а за последние три года более 20, включая временное отключение домена .AU в сентябре 2023 года. В марте 2022 года из-за ошибки DNSSEC более чем на 12 часов выпал из глобальной сети национальный домен Фиджи .FJ.
Проблема с DNS на время парализовала бизнес в России, констатируют аналитики. «Компании, которые использовали домены в зоне .RU для своих сервисов, пострадали, из-за сбоя не работали сайты, банкоматы, мобильные приложения и различные онлайн-услуги. Даже крупный бизнес, располагающий различной резервной инфраструктурой, не мог ничего сделать и как-то повлиять на ситуацию, можно было только сидеть и ждать, пока починят», — говорит ведущий инженер CorpSoft24 Михаил Сергеев.
Очевидно, что, помимо реального ущерба, сбой принес немалые убытки в виде упущенной выгоды — недополученных доходов, что особенно актуально для банков, например, говорит преподаватель образовательной платформы Moscow Digital School Александра Орехович. К сожалению, ни один бизнес не сможет полноценно подготовиться к повторению такой проблемы, чтобы минимизировать ущерб. Например, в банкоматах и мобильных приложениях еще можно указать вместо домена IP-адрес и проблема с DNS никак не затронет работоспособность сервиса:
Ряд платформ уже возмещает или возместил своим клиентам причиненный вред (например, за оплаченные, но не приобретенные товары, услуги), однако остается непонятным, а могут ли в свою очередь платформы рассчитывать на соответствующее возмещение и, если могут, то с чьей стороны. С учетом того, что конкретные причины в работе DNSSEC не установлены, произошедший сбой в работе может быть признан форс-мажором — обстоятельствами непредвиденными, возникшими независимо от воли сторон. А значит, в таком случае взыскать даже реальный ущерб с лица, допустившего технический сбой с точки зрения закона будет невозможно.
По мнению генерального директора Smart Engines Владимира Арлазарова, убытки от сбоя были бы «колоссальными и исчислялись бы миллиардами долларов, но это все меркнет перед возможными человеческими жертвами», если бы сбой продлился дольше:
Представьте себе, если бы сбой продолжался на протяжении шести часов: тогда шесть часов не работали бы банки, аптеки, магазины. Скорее всего, проблемы появились бы в больницах, поликлиниках, аэропортах и вокзалах. Вы банально не сможете заплатить сотовому оператору или если, например, пользовались каршерингом, завершить поездку, не можете вызвать такси, купить билет. А люди, у которых нет наличных, могли бы оказаться просто в ловушке. Люди не смогут зайти, например, на сайт и банально узнать информацию: а что происходит? Тут недалеко и до паники.
По словам эксперта, к 1 февраля ТЦИ откатил работу DNSSEC к доаварийному состоянию, но зона .RU сейчас «заморожена», то есть не происходят регистрации или перерегистрации доменов, не удаляются также и старые домены. Это говорит о том, что работа доменной зоны еще не полностью восстановлена. Скорее можно говорить о том, что ТЦИ накатывали обновление на систему доменных имен в зоне и не проверили корректность работы этого обновления.
Вторничный инцидент также осложнился тем, что значительная часть российских провайдеров оказалась не подключена к Национальной системе доменных имен (НСДИ), «созданной на случай необходимости». Во вторник после 21:00 подведомственный Роскомнадзору ЦМУ ССОП разослал провайдерам письмо, в котором потребовал подключиться к НСДИ и отключить валидацию DNSSEC. Создание НСДИ было предусмотрено так называемым законом о «суверенном Рунете», который вступил в силу 1 ноября 2019 г.
НСДИ должна обеспечивать маршрутизацию в интернете при невозможности подключения к зарубежным серверам. Например, в случае отключения от глобальной сети она обеспечивает работоспособность российского сегмента интернета. Но многие провайдеры не смогли перейти на нее даже после рассылки поручения Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП ГРЧЦ) и нормализовали деятельность только после восстановления штатной работы зоны RU.
Источник, близкий к КЦ, говорит, что основная обсуждаемая версия причины сбоя сейчас — это человеческий фактор, случайный или злонамеренный. При этом этот сбой в работе DNSSEC показал неготовность НСДИ к поддержке всей зоны RU. По мнению экспертов, масштабные проблемы в работе сайтов зоны .RU стали для правительства очередным подтверждением того, что система жизнеобеспечения государства, равно как и, например, банковские системы, должна быть автономной.
Ранее три региона России объявили, что с 25 по 30 января по ночам на их территории не будет работать мобильный интернет LTE (технология 4G) всех операторов. Как рассказывал DK.RU, 25 января губернатор Псковской области Михаил Ведерников объявил, что мобильный интернет будет недоступен жителям региона с 23:00 до 6:00 вплоть до 30 января.
