Техническая экспертиза законопроекта PROTECT-IP от создателей DNS

Дата публикации: 27 Июня 2012

Техническая экспертиза законопроекта PROTECT-IP от создателей DNS

Документ описывает технические проблемы, возникающие при фильтрации DNS в соответствии с требованиями S. 978 законопроекта 2011 года о предотвращении реальных сетевых угроз экономическому творческому потенциалу и кражи интеллектуальной собственности (PROTECT-IP). Его авторы являются представителями технических, управленческих, академических и исследовательских сообществ, ведущими учеными, разработчиками и операторами системы доменных имен (DNS), которые создали многочисленные RFС (техническая проектная документация) для DNS, опубликовали множество рецензируемых научных исследований, посвященных архитектуре и безопасности DNS, и которые управляют важными элементами DNS-инфраструктуры в Интернете.

Основными техническими проблемами, не решёнными законопроектом, авторы называют следующие:

  1. Правительство и частная промышленность США считают безопасность и стабильность Интернета важнейшей частью более общей стратегии кибер-безопасности, а реализация соответствующих положений законопроекта, касающихся фильтрации DNS, помешает осуществлению этого приоритета.
  2. DNS-фильтры можно будет легко обойти, и, скорее всего, они окажутся неэффективными в борьбе с преступлениями в Интернете. Кроме того, повсеместное распространение практики уклонения будет угрожать безопасности и стабильности глобальной DNS.
  3. Положения Законопроекта, посвященные DNS, разрушат принцип универсальности доменных имен, который был одним из ключевых компонентов инновации, экономического роста, улучшения качества связи и доступа к информации, реализованных в глобальной сети Интернет.
  4. Переход с DNS серверов, предоставляемых провайдерами, причинит вред деятельности, основанной на учете данных DNS, такой как обнаружение и предотвращение угроз безопасности и повышение производительности сети.
  5. Зависимости внутри DNS создают значительный риск появления побочного ущерба, когда фильтрация одного домена может повлиять на возможность доступа к контенту, не нарушающему законодательство.
  6. Перенаправление на другие сайты несовместимо с дополнением к безопасности DNS, известным как DNSSEC. Правительство и частная промышленность США считают DNSSEC ключевой частью более широкой стратегии кибер-безопасности, кроме того, многие частные, военные и правительственные сети уже давно вложили средства в технологии DNSSEC.
  7. В случае исполнения, эта часть Законопроекта будет направлена против важной работы по повышению безопасности в Интернете. Она закрепит и узаконит те самые сетевые манипуляции, с которыми должна бороться DNSSEC, чтобы предотвращать кибератаки и другие виды вредоносного поведения в глобальной сети Интернет, и тем самым подвергнет сети и пользователей повышенным рискам для безопасности и конфиденциальности.

Авторы делают обоснованный вывод, что фильтрация DNS по официальному запросу, положение о котором содержится в PROTECT-IP, вызывает множество серьезных технических проблем и снижает безопасность. Авторы полагают, что заявленные в PROTECT-IP цели могут быть достигнуты без снижения безопасности и стабильности DNS, при помощи улучшения международного сотрудничества в сфере привлечения к ответственности, а также других методов, за исключением тех, которые связаны с фильтрацией DNS.

Полный текст исследования на английском языке: Security and Other Technical Concerns Raised by the DNS Filtering Requirements in the PROTECT IP Bill

Полный текст исследования на русском языке: Безопасность и другие технические проблемы, являющиеся следствием требований по фильтрации DNS, заложенных в проект закона о предотвращении сетевых угроз (PROTECT-IP)