Выйти из сбоя: что случилось в Рунете вечером 30 января и почему
Что произошло
Этот сбой, случившийся около 19:00 мск, очевидно сразу стал заметным. Наблюдатели пустились строить догадки, действительно ли это технический инцидент или это масштабная кибератака и дело рук хакеров. «Судя по обсуждению на теневых ресурсах, хактивисты довольно внимательно следили за ситуацией со сбоем в доменной зоне .RU, — сообщили Forbes эксперты департамента Threat Intelligence компании F.A.С.С.T. — Но ни одна из проправительственных группировок или групп хактивистов не взяла ответственность за этот инцидент на себя. В основном участники дискуссий строили догадки, что стало причиной инцидента — иронизировали или пытались спекулировать ситуацией. Так, участники антироссийски настроенных прогосударственных хакерских групп, которые приписывали себе ранее различные кибератаки на цели в России, полагали, что инцидент мог быть связан с внутренними техническими процессами. На андеграундных площадках также высказали мнение, что «третьи лица» могли воспользоваться процессами обновления оборудования».
Впрочем, довольно скоро после начала сбоя технические специалисты и инженеры в профильных Telegram-каналах сообщили: проблема, затронувшая зону .RU, связана с инфраструктурой DNSSEC. Координационный центр национального домена .RU/.РФ (КЦ), который является администратором доменной зоны, вечером по вторник подтвердил: возникла техническая проблема, затронувшая зону .RU и связанная с глобальной инфраструктурой DNSSEC.
По данным IT-специалиста и автора Telegram-канала «Эшер II» Филиппа Кулина, сбой в работе DNSSEC начался в 18:27 по московскому времени. «Только в 20:27 зафиксирована первая попытка исправить ситуацию, а в 20:59 ситуация начала исправляться», — добавляет он, сославшись на данные инструмента для визуализации состояния DNS-зоны DNSViz.
В «Мегафоне» сообщили Forbes, что фиксировали снижение объемов трафика в российском сегменте интернета. «Проблема не на сети «Мегафона», наша сеть работает штатно», — подчеркнули в операторе. В пресс-службе «Вымпелкома» (бренд билайн) также говорят, что их сеть работала штатно. «Возможные сбои в работе некоторых интернет-ресурсов находятся вне зоны нашей ответственности», — добавили в компании. В МТС и «ЭР-Телекоме» отказались от комментариев, «Ростелеком» не ответил на запрос.
Что такое DNSSEC и как случился сбой в зоне RU
Для понимания проблемы нужно начать с протокола DNS (Domain Name System, «система доменных имен». — Forbes), поясняет гендиректор хостинг-провайдера RUVDS Никита Цаплин. Это аналог телефонного справочника, который переводит понятные человеку веб-адреса в удобный для работы набор цифр IP-адреса. DNS-сервер обращается либо к вышестоящему серверу, либо к зарубежным серверам, которые хранят каталоги соответствия веб-ресурсов их адресам, продолжает Цаплин: это и позволяет, введя тот или иной адрес в строке, попасть на необходимый сайт.
«DNSSEC же — это набор расширений протокола DNS, который подтверждает подлинность данных, он не дает совершать подмену IP-адреса, защищая пользователей от тех же мошенников. DNSSEC использует два типа ключей: один — для подписи ресурсных записей зоны, ZSK, второй — ключ для подписи ключей, KSK. И этот сбой, вероятно, связан как раз с ZSK: возможно, ключ ZSK был заменен на новый, но невалидный по тем или иным причинам. Проблему выявили и вернулись к прежнему варианту, работа сайтов в зоне .RU восстановилась», — рассуждает он.
Лучше всего, по мнению опрошенных Forbes экспертов, проблему описал бывший ведущий специалист «Технического центра интернет» (ТЦИ), а ныне разработчик в компании Red Hat, Дмитрий Белявский. «DNSSec — как лошадь, которая спереди кусается, а сзади лягается, — написал он в посте в Facebook (принадлежит Meta, которая признана в России экстремистской и запрещена). — Как положено криптографическому протоколу, он требует периодической смены ключей. Как положено DNS, он кеширует записи на некоторое время, от часов до недели. Поэтому если при смене ключей налажать, то, например, невалидные подписи в кеше останутся на вот это самое [время] от нескольких часов до недели, и софт, который их проверяет (который, скорее всего, не у вас на телефоне), вас никуда не пустит. В общем, в зоне .RU именно это».
«Возникла ошибка при генерации новых ключей, — говорит источник Forbes в телекоммуникационной индустрии. — Отвечают за это ТЦИ (технический оператор российской национальной доменной зоны, входит в группу компаний «Ростелеком-ЦОД». — Forbes) и частично MSK-IX (крупнейшая российская точка обмена интернет-трафиком, оператор платформ для масштабирования сетей и сервисов в интернете, также подконтрольный «Ростелекому». — Forbes), у КЦ административные функции».
Как объяснили сбой в КЦ
Главной его причиной стало несовершенство софта, используемого при создании ключей шифрования, пояснили в КЦ на следующий день после сбоя. «Возникшая коллизия ключей… привела к временной недоступности зоны .RU для части интернет-пользователей. После обнаружения сбоя обновленные ключи были отозваны, и работоспособность зоны .RU в полном объеме восстановилась, что заняло, включая распространение данных по системе DNS, около двух часов», — следует из сообщения Центра.
DNSSEC — молодая по меркам интернета технология, и за 15 лет ее применения в мировой практике произошло более 200 подобных случаев, а за последние три года более 20, включая временное отключение домена .AU в сентябре 2023 года, обращают внимание в КЦ. Так, в марте 2022 года из-за ошибки DNSSEC более чем на 12 часов выпал из глобальной сети национальный домен Фиджи .FJ. Из-за той же ошибки в настройках DNSSEC в начале 2022 года на несколько часов оказались отключены от сети около 8000 имен в национальном домене Швеции .SE, причем регистратура .SE первой внедрила у себя DNSSEC — еще в 2005 году. «Напомним, что использование DNSSEC при обновлении реестра корневой зоны интернета является требованием IANA, организации, которая отвечает за распределение всех имен и номеров, использующихся в интернет-протоколах», — говорится в сообщении Центра.
Вторничный инцидент также осложнился тем, что значительная часть российских провайдеров оказалась не подключена к Национальной системе доменных имен (НСДИ), «созданной на случай необходимости реагирования на различные угрозы», обращают внимание в Координационном центре: «НСДИ полностью сохранила свою работоспособность, однако многие провайдеры не смогли перейти на нее даже после рассылки поручения Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП ГРЧЦ) и нормализовали деятельность только после восстановления штатной работы зоны RU».
Во вторник после 21:00 подведомственный Роскомнадзору ЦМУ ССОП (именно он отвечает за так называемые технические средства противодействия угрозам (ТСПУ), которые расположены на сетях операторов, фильтруют трафик и блокируют ресурсы. — Forbes) разослал провайдерам письмо, в котором потребовал подключиться к серверам НСДИ и отключить валидацию DNSSEC на своих DNS-серверах. Именно об этом поручении говорят в КЦ.
Создание НСДИ предусмотрено так называемым законом о «суверенном Рунете», который вступил в силу 1 ноября 2019 года. НСДИ должна обеспечивать маршрутизацию в интернете при невозможности подключения к зарубежным серверам. Например, в случае отключения от глобальной сети она обеспечивает работоспособность российского сегмента интернета.
В MSK-IX и ТЦИ не стали комментировать сбой.
Что говорят эксперты
Что конкретно сломалось, пока не понятно, но говорить о полном решении проблемы нельзя, уверен Кулин. По словам эксперта, ТЦИ откатил работу DNSSEC к доаварийному состоянию, но зона .RU сейчас «заморожена», то есть не происходят регистрации или перерегистрации доменов, не удаляются также и старые домены. «Это говорит о том, что работа доменной зоны еще не полностью восстановлена. Туманные объяснения КЦ причин аварии «несовершенством софта» не соответствуют реальности, — полагает Кулин. — Скорее, можно говорить о том, что ТЦИ накатывали обновление на систему доменных имен в зоне и не проверили корректность работы этого обновления».
Источник, близкий к КЦ, говорит, что основная обсуждаемая версия причины сбоя сейчас — это человеческий фактор, случайный или злонамеренный. При этом собеседник Forbes отмечает, что этот сбой в работе DNSSEC показал неготовность НСДИ к поддержке всей зоны RU. «Да, НСДИ дала возможность работать в первую очередь приложениям, но если бы на нее перешли все провайдеры, она бы рухнула. От сбоев она спасла, но DNSSEC пришлось выключить, а это значит, что Рунет на какое-то время остался без защиты от фишинга», — пояснил он.
Президент Ассоциации «Ростелесеть» Олег Грищенко называет сбой в работе DNSSEC «нетипичной проблемой», которая для российских провайдеров «всплыла впервые». По его словам, сбой затронул только тех, кто использовал свои или чужие DNS-сервера, на которых была включена проверка DNSSEC. «Сложно оценить масштаб, так как восточная часть страны в пик сбоя уже спала и сбоя не заметила, утром большинство отключило проверку DNSSEC», — заключает он.
Как это повлияло на бизнес
Проблема с DNS на время парализовала бизнес, констатируют аналитики. «Компании, которые использовали домены в зоне .RU для своих сервисов, пострадали, из-за сбоя не работали сайты, банкоматы, мобильные приложения и различные онлайн-услуги. Даже крупный бизнес, располагающий различной резервной инфраструктурой, не мог ничего сделать и как-то повлиять на ситуацию, можно было только сидеть и ждать, пока починят», — говорит ведущий инженер CorpSoft24 Михаил Сергеев.
«Представьте себе, если бы сбой продолжался на протяжении шести часов: тогда шесть часов не работали бы банки, аптеки, магазины. Скорее всего, проблемы появились бы в больницах, поликлиниках, аэропортах и вокзалах. Вы банально не сможете заплатить сотовому оператору или, если, например, пользовались каршерингом, завершить поездку, не можете вызвать такси, купить билет, — перечисляет генеральный директор Smart Engines, д. т. н. Владимир Арлазаров. — А люди, у которых нет наличных, могли бы оказаться просто в ловушке. Люди не смогут зайти, например, на сайт Forbes и банально узнать информацию: а что происходит? Тут недалеко и до паники». По его мнению, убытки были бы «колоссальными и исчислялись бы миллиардами долларов, но это все меркнет перед возможными человеческими жертвами».
Некоторые российские компании держат свои основные домены в других зонах, например, vk.com — их пользователи вообще ничего не заметили, указывает генеральный директор компании — разработчика российского веб-сервера Angie Заур Абасмирзов. «А вот невозможность для некоторых пользователей зайти на условный маркетплейс, сделать покупку — это прямой урон бизнесу в виде «недопродажи», — продолжает он. — Дальше — больше: мобильные приложения. Пользователи не могли забрать посылку, курьер не доставил кому-то пиццу, кто-то не смог расплатиться в ресторане через СБП. Онлайн глубоко проник и в бизнес-процессы, и в обыденную жизнь людей. Так или иначе пострадали все».
К сожалению, ни один бизнес не сможет полноценно подготовиться к повторению такой проблемы, чтобы минимизировать ущерб, продолжает Сергеев. «Например, в банкоматах и мобильных приложениях еще можно указать вместо домена IP-адрес, и проблема с DNS никак не затронет работоспособность сервиса, — размышляет он. — С сайтами сложнее: можно, к примеру, иметь домены в нескольких зонах, например .com, .net, .org, но пользователи все равно заходят на какой-то конкретный домен, он в закладках, в поисковике. Только очень продвинутые пользователи смогут зайти на другой домен, когда основной будет не работать из-за сбоя DNS».
Очевидно, что, помимо реального ущерба, сбой принес немалые убытки в виде упущенной выгоды — то есть недополученных доходов, что особенно актуально для банков например, говорит преподаватель образовательной платформы Moscow Digital School, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович. «Ряд платформ уже возмещает или возместил своим клиентам причиненный вред (например, за оплаченные, но не приобретенные товары, услуги), однако остается непонятным, а могут ли в свою очередь платформы рассчитывать на соответствующее возмещение, и если могут, то с чьей стороны. С учетом того, что конкретные причины в работе DNSSEC не установлены, произошедший сбой в работе может быть признан форс-мажором — обстоятельствами непредвиденными, возникшими независимо от воли сторон, — говорит Орехович. — А значит, в таком случае взыскать даже реальный ущерб с лица, допустившего технический сбой, с точки зрения закона будет невозможно».
По мнению экспертов, масштабные проблемы в работе сайтов зоны .RU стали очередным подтверждением того, что система жизнеобеспечения государства, равно как и, например, банковские системы, должна быть автономной. «Если банк или любая другая организация использует облачные сервисы, то работа в нем в таком случае просто остановится, — рассуждает Владимир Арлазаров. — И речь идет не о сложностях, связанных с мобильным интернетом, а о том, что остановится работа в офисах, банковских отделениях и т. д. Не говоря о том, что использование сервисов — скажем, распознавания или любых других, — сопряжено с высочайшим риском пресловутых утечек данных, о которых мы вынуждены говорить каждый день».