dxdt.blog: занимательный интернет-журнал

Всё ж сложно пройти мимо очередной “новости об Интернете”, распространяемой СМИ. Система “слышали звон, но не знают, где он” настолько хорошо отлажена, что моментально порождает занимательные эффекты. Речь о “шести (семи) экспертах-программистах, которых уполномочили перезагрузить Интернет, если он сломается” – сейчас уже все крупные СМИ широкого назначения отписались об этом. Следом идут “специальные” СМИ, журналисты которых смогли найти ключевое слово – DNSSEC (но до основы, конечно, не докопали). В качестве первоисточника называют “Би-би-си”.

Было несложно догадаться, что источником смешной новости послужила информация о том, каким образом происходит генерация и сопровождение ключей в глобальной DNSSEC. Нужно, правда, внести коррективы. Если поверить не “Би-би-си”, а настоящему первоисточнику – ICANN, – то получится, что:

1) Команда экспертов, выступающих представителями интернет-сообщества, включает в себя 21 человека в “основном составе”, плюс 13 человек – “скамейка запасных”. Назначение команды – обеспечивать процесс генерации и сопровождения ключей, подписывающих корневую зону DNS, выступая, фактически, в роли доверенных контролёров;

2) По группам внутри этой команды: есть две группы по семь человек, каждая закреплена за одним из двух дата-центров, в которых генерируют составляющие ключа ZSK и используют главный ключ (KSK) для подписания других ключей; люди из этих групп хранят ключи, необходимые для получения паролей от криптосервера. Интересно, что, как пишут в документации, тут речь о “физических” ключах от сейфа, в котором находятся пароли к криптосерверу (нужно будет спросить, что там за ключи на самом деле).

Третья группа хранит смарткарты, с частями ключа, позволяющего расшифровать резервную копию секретного KSK, в случае, если вдруг основная копия, находящаяся в криптосервере, исчезнет.

В резерве – семь человек с ключами “от криптосервера” (условно) и шесть – с частями ключами от резервной копии.

3) По ключам. Используют KSK и ZSK. С помощью KSK подписывают ZSK, которым подписывается корневая зона. ZSK генерирует VeriSign, потому что эта компания технически отвечает за распространение корневой зоны DNS. По процедуре, новые ZSK выкатываются четырежды в год. Каждый новый ZSK должен быть подписан защищённым криптосервером, в котором содержится секретная часть KSK. То есть, четыре раза в год эксперты с ключами “от криптосервера” (см. выше) приезжают в дата-центр и “отпирают” криптосервер, тем самым разрешая подписать новый ZSK. Те доверенные люди, которые хранят смарт-карты с частями ключа, которым зашифрована резервная копия KSK – выезжают “на восстановление” не по графику, а только если основная копия утрачена. (Видимо, только этот момент, благодаря его драматургии, и привлёк журналистов.)

Понятно, что если действовать по процедуре, без держателей ключей “от криптосервера” подписать зону восстановленным из резервной копии KSK не получится. Более того, по существующей процедуре не получится вообще что-либо сделать с корневой зоной без участия VeriSign и Минторга США – какими ключами не размахивай. Очевидно, что утрата секретного ключа KSK не приведёт одномоментно к отключению DNS и краху DNSSEC. До момента истечения срока действия текущего ZSK даже изменения в зону можно будет вносить. Подписать новый ZSK утраченным KSK – да, не выйдет.

Ну а самое интересное, что в крайнем случае никто не помешает просто сгенерировать новый KSK силами ICANN, Минторга и VeriSign, как это уже было сделано при развёртывании DNSSEC.

Удивительно, но забывают, что самым прямым прообразом современного Интернета, как сети связи, является телеграф (электрический), который придумали в начале 19 века. Посудите сами: для телеграфной связи использовалась сеть, в которой применялась развитая система адресации узлов; узлы телеграфной сети могут и принимать, и передавать сообщения; впервые именно телеграфная сеть стала глобальной (межконтинентальной). Но это далеко не всё.

В телеграфной связи с 19 века тексты кодируются/декодируются в автоматическом режиме. Уже в первых применявшихся телеграфных аппаратах использовался “протокол обмена данными” (если это решение так можно назвать), включавший отправку запроса на установление сенса связи (электрический звонок) и ответ на запрос, а также порядок завершения сеанса. Сравните с TCP. (Были и аналоги UDP, конечно.) Впервые именно в телеграфной связи применили технологию передачи нескольких сообщений по одному каналу и использовали перфокарты в качестве носителя передаваемого сообщения. Ну а уж про то, что именно на телеграфных линиях связи выросла вся современная теория кодирования – и напоминать-то, наверное, не нужно (а, в том числе, и двоичное кодирование символов использовали ведь).

Так что ультрасовременное “кибрепространство” выросло из “древнего” телеграфа. Который, впрочем, с появлением Интернета приказал долго жить. Жалко.

Ещё раз посмотрим на развитие Интернета. Принято считать, что различные правила, ограничивающие те или иные действия отдельных пользователей, направлены на благо основной массы этих пользователей. Формулировка такая: правила ограждают добросовестных пользователей от разгула нехороших соседей по Сети. Да, очевидно, что большинство ограничивающих правил создаёт некоторые неудобства всем, в том числе, добропорядочным пользователеям, но нужно потерпеть, для общего блага. Это всё известные “общие слова и банальности”. На практике куда важнее другой момент: минимальная ошибка в подборе ограничений приводит к тому, что у добросовестных пользователей возникают большие неудобства, а продвинутым злоумышленникам – ограничения отлично играют на руку.

Посмотрим на свежие, постоянно изменяющиеся правила регистрации доменов .РФ – это неплохой пример. В правилах заложены серьёзные ограничения, которые сейчас не позволяют обычному интернет-пользователю, желающему поддержать вяло набирающую обороты кириллическую доменную зону, просто пойти и зарегистрировать домен .РФ для своего проекта в русскоязыном Интернете.

Действительно, для получения домена требуется либо владеть торговой маркой (нужно юр.лицо или статус ИП), либо фирменным наименованием (опять нужно являться юр.лицом), либо уметь предъявить ещё какие-то бумаги. Ограничения, как многократно объясняли пользователям, введены для того, чтобы в первые же часы открытия новой зоны все вкусные домены не улетели в руки к неким злобным киберсквоттерам, а, напротив, достались достойным жителям Интернет-действительности.

В принципе, идея вроде бы верная, позволяет избежать конфликтов. Но в случае с доменом .РФ допустили совсем маленькую “заковыку”. Вернее, несколько однотипных небольших “заковык”. Так, сперва вкусные имена оказались у проворных предпринимателей, заметивших, что правила, требующие предъявить торговую марку (ТМ), не вводят ограничений на дату регистрации этой марки. Естественно, тут же были оперативно зарегистрированы нужные ТМ и взяты домены. Рядовые пользователи, “защищённые” правилами, сидели в стороне и наблюдали за дележкой новой зоны, изредка возмущённо вскрикивая. Некоторые, возможно, облизывались на домены, но ресурсов для регистрации торговой марки у них, так или иначе, не было.

История повторилась буквально через несколько месяцев. Только теперь вместо торговых марок регистрировались “под домен” СМИ, так как на новом этапе приоритет получали “названия средств массовой информации”, опять без “срока давности” и каких бы то ни было дополнительных ограничений. Схема с регистрацией СМИ для получения домена – “по зубам” только опытным охотникам. Рядовые пользователи опять прогуливались “под защитой” правил: для них домены в новой зоне всё ещё недоступны.

На первый взгляд кажется, что в случае со СМИ защита всё ж сработала лучше. Оказавшись под завалами из заявок на регистрацию СМИ со странными названиями, сплошь оканчивающимися на “.РФ”, ситуацией заинтересовался Роскомнадзор (между прочим, очень, что называется, в тему – домены-то ресурс ограниченный, напоминающий радиочастоты). Реакцией на уведомления из Роскомнадзора стала внезапная корректировка правил, случившаяся буквально за сутки до запланированного начала очередного этапа приоритетной регистрации. Установили минимальный “возраст” свидетельства о регистрации, “отрезав” новые СМИ, получившие регистрацию до 12 мая 2010 года. Отрезали все СМИ разом, без разбора.

Более того, в рамках возникшего внутреннего конфликта, реестр домена .РФ вообще неожиданно закрыли (как пишут, на десять дней), прекратив приём всех без исключения регистраций. То есть, даже, например, добросовестные владельцы торговых марок не могут свои новые домены зарегистрировать и начать использовать.

Несложно догадаться, что и добросовестные СМИ, зарегистрированные после 11 мая, не смогут по таким правилам получить приоритет. Почему? Потому что правила внезапно “защитили” их интересы от массовых киберсквоттерских регистраций. Что же делают сквоттеры? Наиболее опытные из них заранее просчитали ситуацию и подготовили не СМИ, а фирменные наименования и названия общественных организаций. Для этих категорий пока что ограничений по дате регистрации нет. Авторы изменений в правилах ещё не сделали снужных обобщений и внесли изменения лишь в части приоритетов СМИ, не затронув другие приоритеты.

(Кстати, редакции некоторых СМИ, проходящих сейчас по тем или иным законным причинам перерегистрацию, уже опасаются, что не смогут получить домен .РФ, потому что в новом свидетельстве будет дата позже 11 мая 2010 года.)

Действительно, показательная история. Получилось (да, уже получилось – исторический факт), что правила домена РФ, сработали вовсе не как барьер для киберсквоттеров, а лишь как фильтр, пропустивший к вкусным доменам самых опытных сквоттеров, которые хорошо “сидят в теме”. При этом фильтр удачно избавил опытных игроков от возможной конкуренции с более многочисленными, но менее опытными коллегами по цеху захвата доменов. А рядовые пользователи – они строго “пролетают мимо”. С непродуманными ограничениями так всегда и выходит.

Такие дела. Посмотрим, как теперь ситуация повернётся дальше.

В ночь с 15 на 16 июля корневую зону DNS подписали настоящим ключом и опубликовали открытые ключи для проверки подписей DNSSEC. Таким образом, Минторг США, компания VeriSign и ICANN завершили развёртывание DNSSEC в корневой зоне. Собственно, теперь DNSSEC можно использовать в глобальной DNS. Ключи каждый может взять на сайте IANA.

Теперь поддержку DNSSEC начнут массово вводить в доменах первого уровня.

Напомню, что следующие шаги на пути к новому Интернету – внедрение IPv6 и модернизация принципов маршрутизации (через внедрение криптографических механизмов).

Пишут в новостях:

Контракт по поставкам Ирану комплексов противовоздушной обороны С-300 пока не аннулирован, сообщил глава госкорпорации “Ростехнологии” Сергей Чемезов.

Ещё немного о доменах. Вчера случилось развитие темы с регистрацией названий СМИ в качестве доменов .рф: правила очередной раз поменяли “на переправе”, теперь приоритет получат лишь СМИ, зарегистрированные до 13 мая 12 мая 2010 года. Вот так. Сама регистрация этих доменов стартует 15 июля, завтра. Правила круто поменяли сегодня. “Неплохая” тенденция для нового кириллического домена, правда?

Занимательно и то, что СМИ действительно регистрировали пачками (десятки на одного учредителя). При этом за каждую регистрацию уплачивается гос. пошлина. Теперь эти пачки свидетельств окажутся, видимо, ненужными. Если только правила опять не претерпят изменений.

История некоторым образом напоминает случай с доменом RU: там в 2007 году едва не ввели кириллицу. Утверждённые тогда правила регистрации кириллических доменов включали хитрый пункт, фактически дававший приоритет владельцам графически похожих на кириллические латинских имён. Например, xytop.ru и ХУТОР.RU (второй домен – кириллицей). До открытия кириллической регистрации сквоттеры, почитавшие правила, кинулись скорее регистрировать сотни графически похожих доменов, чтобы потом претендовать на звучные словарные кириллические. А кириллицу в .RU так и не ввели. Потому что .рф – лучше. Сейчас вся эта латинская абракадабра в .ru давно свободна.

Addon (15/07/2010): нет, старт регистрации вообще отложили, закрыв реестр. Вот как весело.

В продолжение темы про охрану автомобилей: есть ещё задача “дистанционного информирования” владельца о каких-то проблемах с охраняемым авто, например, сработал какой-нибудь там датчик.

Простой подход состоит в передаче “тревожного сообщения” в момент обнаружения блоком управления на автомобиле “угрожающего события”. Открыли дверь – передаётся сигнал. Пока всё нормально, система молчит. Очевидно, для доставки сообщений можно использовать обычные радиоканалы. Но тут на стороне злоумышленников работает столь же простая помеха. Это, конечно, относится и к GSM: готовый помехопостановщик GSM стоит не так уж дорого.

Если есть спутниковый канал и замаскированная направленная антенна (ну, может же такое быть, да?), то помеху ставить сложнее. Но зато можно заэкранировать автомобиль целиком. И сделать это тихо. Например, машину накрывают тонкой металлической сеткой (длина волны малая), и только потом загоняют в трейлер.

Можно предположить, что охранная система устроена по принципу “работаю онлайн”. То есть, блок на автомобиле по расписанию передаёт короткие сообщения (“пинги”) в некий “центр”. (Будем считать, что это условный “центр”: в его роли может выступать и брелок, и настоящая специальная служба охраны.) В такой схеме непоступление сигнала уже сообщает о проблеме с автомобилем. Реализовать можно любым “радиоспособом”, но потребуется разумная помехоустойчивость, чтобы снизить число ложных срабатываний.

На ум приходит схема атаки: повторитель сигнала. Бороться с этим можно, использовав правильный алгоритм генерации сообщений от охранной системы – передаются особые одноразовые коды. Основная проблема такой онлайн-системы в том, что сигнал необходимо передавать на большие расстояния (в центр, или на брелок, если автовладелец уехал достаточно далеко). Иначе нет практического смысла. “Дальняя” связь порождает другие трудности: получение частот, регистрация и т.д. Впрочем, тут-то как раз и помогает GSM. Я так понимаю, что подобные системы предлагаются на рынке, верно?

Интересно, что применение для передачи сообщений “о состоянии автомобиля” особых “широкополосных” и “шумоподобных” сигналов, которым сложнее ставить помеху, не выглядит оправданным: ведь ту же задачу решает GSM.

Сейчас модно рассуждать о том, что вот-вот – и появятся “общественные” трансляции событий на стадионах во время чемпионатов мира. Например, по футболу. Очевидно, в ближайшей перспективе можно будет использовать продвинутые смартфоны и новые сети связи для трансляции видео на веб-сайты. Столь же очевидно, что FIFA хочет подобные трансляции ограничить – дабы не вышло лишней конкуренции за контент.

И вот как раз технических-то проблем с ограничением нет: просто, в перечень требований к стадиону включаются условия, ограничивающие доступ к услугам связи на определённый период. Ограничения могут вводить сами операторы связи, ничего не нарушая (создание посторонней помехи, также решающее проблему – нарушает условия использования радиоэфира). Голосовую связь и SMS – наверное, закрывать не станут. Но вот ограничить полосу для передачи данных вполне могут.

Запустили новый этап регистрации доменов .РФ. В результате наблюдается аномальный вал заявок на регистрацию СМИ, цель – получение приоритета на “вкусные” имена. Подробнее пишут в блоге RU-CENTER.

Addon: кстати, вышло официальное сообщение Роскомнадзора по теме.

Известно, что через специальную фирму U.S. Aerospace заявку на участие в многострадальном тендере на модернизацию штатовского флота летающих танкеров подал “Антонов”. На Flightglobal.com публикуют презентацию An-112KC. Это как раз предлагаемый к участию вариант Ан-70. В презентации заявки использован фотоснимок, демонстрирующий Ан-70 “в снегах”. Всё бы нечего, но, как пишут, на снимке запечатлён потерпевший крушение в 2001 году Ан-70: тогда у самолёта при взлёте отказали два двигателя и он упал на поле, разломившись пополам.

Действительно, если посмотреть на упомянутый слайд (копия – ниже), то видно, что с самолётом на “снежном снимке” явно какие-то проблемы. Они и установлен неестественно, и лопастей на одном винте не хватает.

Это, конечно, серьёзный иллюстративный перебор, трудно не согласится с автором исходного сообщения.

Раз сегодня пятница: а вот приходится держать Windows XP в виртуальной машине. Потому что иначе – то и дело возникают трудности с всякими электронными штуками, типа телефонов и GPS-навигаторов, которые требуют наличия Windows. У Microsoft очень грамотная маркетинговая политика, что ни говори.