30 января произошел один из крупнейших сбоев за всю историю российского интернета. В течение нескольких часов многие находящиеся в доменной зоне .RU сайты были недоступны. Достаточно быстро и ответственные за работу Рунета службы, и независимые аналитики объявили, что сбой стал следствием ошибки в работе системы DNSSEC, которая гарантирует, что пользователь связывается именно с тем сайтом, к которому он обращался. По другим версиям, неполадки могли быть связаны с тестированием перехода России к "суверенному интернету" или хакерской атакой. Эксперты, опрошенные Радио Свобода, уверены, что дело в обычной технической ошибке, которую российские власти могут использовать в качестве еще одного предлога для огораживания российского интернета от мировой сети.
В интернете существует числовая адресная система, но для удобства пользователей она дублируется системой доменных имен. Связь между ними осуществляется с помощью протокола DNS, который часто сравнивают с “адресной книгой” интернета. В процессе развития интернета появилась проблема мошенничества с доменными именами: из-за подмены цифровых адресов пользователь, введя в браузере привычное доменное имя, мог попасть на фальшивый сайт. Для борьбы с этим было разработано расширение DNS – DNSSEC, система, с помощью которой сервер, через который пользователь выходит в интернет, дополнительно проверяет соответствие доменного имени тому или иному сайту. DNSSEC – сравнительно молодая технология, которая начала вводиться в начале 2010-х, но с тех пор успела охватить значительную часть мирового интернета, включая российский сегмент сети.
Примерно раз в год на уровне национального сегмента интернета производится техническая регламентная операция: смена пары электронных ключей, с помощью которых в течение следующего года будет проверяться достоверность имен доменов первого уровня. В России эта операция должна была пройти 30 января – и была произведена с ошибкой. На это быстро указали и ряд аналитиков, а позже признало и российское Министерство цифрового развития.
Эксперт по цифровым технологиям Алексей Семеняка считает достоверным фактом то, что причина сбоя была именно в нештатной смене ключей для DNSSEC.
"DNS – это одна из ключевых систем интернета, поэтому очень много внимания уделяется независимому мониторингу ее работы. Есть скриншоты, которые показывают, что происходило, видно, что был сгенерирован новый ключ, новая запись для зоны .RU, но она была некорректной. Через некоторое время произошло переключение на нее, и в этот момент все поломалось", – описывает Семеняка события вчерашнего дня. Еще один IT-эксперт, Александр Исавнин, отмечает, что такой сбой, хотя и никогда раньше не происходивший в Рунете, в других странах уже случался: например, в Киргизии, Австралии и Новой Зеландии. Алексей Семеняка подтверждает: "Да, такое уже было. В норме это болезнь роста. Но в зоне .RU болезнь роста – это неожиданно".
Семеняка затрудняется сказать, как именно могла произойти ошибка при смене ключей. "Она должна происходить автоматически, но мы не знаем, как именно это устроено в России. Никто не мешает совершать закат солнца руками и выполнять все вручную", – иронизирует он.
Российский координационный центр доменов .RU и .РФ свалил вину на несовершенства системы DNSSEC. "Уже сейчас понятно, что главной причиной сбоя стало несовершенство программного обеспечения, используемого при создании ключей шифрования. Как и любое другое технологическое решение, DNSSEC требует усовершенствования с течением времени, чтобы исправить обнаруживаемые ошибки работы", – говорится в заявлении Центра.
За функционирование доменов в зоне .RU отвечают люди, которых я называю "курчатовской мафией"
Александр Исавнин обращает внимание на то, что за работу российского интернета отвечают те же люди, которые продвигают "суверенизацию" Рунета. "Исторически сложилось, что за функционирование доменов в зоне .RU отвечают люди, которых я называю "курчатовской мафией". Это те, кто вырос из вычислительного центра Курчатовского института: Алексей Солдатов и его ученики, Московский Internet Exchange, РосНИИРОС и так далее. Эти же люди, как можно судить по утечкам и по IP-адресам, которые мы видим, отвечают за "суверенный DNS". Может быть, сбой был связан с тем, что одни люди сменили других, пришли какие-то более лояльные, но менее квалифицированные и просто допустили ошибку".
Попытки российских чиновников вводить новые усовершенствованные механизмы блокировок неугодного контента уже не раз приводили к масштабным сбоям с доступом к самым разным, даже не запрещенным сайтам. Впрочем, сейчас все опрошенные Радио Свобода эксперты уверены, что сбой 30 января – следствие именно технической ошибки, а не хакерской атаки или каких-то действий по “суверенизации” российского интернета. "Речь идет об обычном разгильдяйстве", – уверен один из сооснователей "Украинского киберальянса" Андрей Баранович.
С таким доступом я мог бы поломать российский интернет гораздо круче
"Вероятность внешнего вмешательства мне кажется очень низкой. Очевидно, что подобный вектор угрозы не многоразовый. Если я могу влиять на ключи в зоне .RU, тем более если я имею доступ к самой процедуре генерации, расходовать такой ресурс для того, чтобы домен .RU один час не работал, – это совершенно непонятное действие. С таким доступом я мог бы поломать российский интернет гораздо круче и, скажем так, незаметнее", – считает Алексей Семеняка.
Эксперты, с которыми поговорило Радио Свобода, не видят существенных оснований и для другого объяснения – сбоя при тестировании работы Рунета в условиях изоляции. Такую версию выдвинул, например, правозащитный проект "Сетевые свободы". Эту же версию в комментарии для телеканала "Настоящее время" поддержал директор некоммерческой организации "Общество защиты интернета" Михаил Климарев: "Они пытаются всех пользователей загнать в так называемую национальную систему доменных имен. Видимо, захотели суверенного Рунета – получили суверенный Рунет".
По мнению Алексея Семеняки, попытка создания альтернативной российской DNS-иерархии со своей системой безопасности, которая при этом продолжила бы работать в существующей мировой инфраструктуре, обречена на провал по техническим причинам. Кроме того, считает Семеняка, тестирование новинки сначала провели бы на "подопытных" – менее заметном для пользователей и менее значимом для бизнеса сегменте .РФ. "Полностью исключить связь сбоя с попыткой создать национальный DNS я не могу, но вероятность очень мала", – говорит эксперт.
Они не планировали делать ничего плохого, просто у них кривые руки
"К счастью, этот сбой не связан с блокировками или "суверенизацией" Рунета, но, к несчастью, сбой произошел из-за тех же людей, которые и занимаются этой "суверенизацией". Они не планировали делать ничего плохого, просто у них кривые руки", – согласен с Семенякой Александр Исавнин.
Тем не менее, структуры, отвечающие за российский интернет, могут использовать случившееся как повод для ускоренного перехода к "суверенному Рунету". Заявление Центра доменов .RU и .РФ, в котором ответственность за сбой возлагается на международную систему DNSSEC, – уже шаг в этом направлении. Семеняка считает, что последствия сбоя зависят от того, как много среди ответственных за российский интернет специалистов осталось здравомыслящих, хотя и лояльных государству специалистов. "Когда-то их было достаточно много – людей, которые говорили: "государство имеет право отстаивать свои интересы, но нам надо как-то соответствовать и глобальным требованиям". Если сейчас их осталось мало, эта история может быть использована и для активного, ускоренного окукливания Рунета с флагами и транспарантами прямо здесь и сейчас", – говорит собеседник Радио Свобода.
В украинском интернет-сегменте ключи для DNSSEC были заменены почти одновременно с Россией: в ночь на 31 января, отмечает Алексей Семеняка. Для пользователей эта процедура прошла, как и всегда, незаметно.
