Александр Венедюхин - Домены. Все, что нужно знать о ключевом элементе Интернета

Именно так работала система регистрации RUдо того, как перешли к онлайн-схеме. И это действительно разумный способ ввести «домены по паспорту». И, видимо, единственный реальный способ (так как технологии ЭЦП пока еще недостаточно распространены).

Тем не менее изменения в правилах регистрации доменов RUвылились все же в вариант с отправкой электронных «сканов паспортов» регистраторам. То есть декларировалось проведение как бы «аутентификации» администратора домена, но в реальности использовалось просто другое представление данных. Раньше вводили вымышленные паспортные данные в веб-форму. Теперь нужно было нарисовать «скан». В Сети на специализированных форумах достаточно давно имелись предложения вида «нарисую сканы паспортов» и «программа для генерации сканов паспортов». Потому что, к сожалению, поддельные копии документов, удостоверяющих личность, используются в различных мошеннических схемах. С ужесточением правил регистрации доменов количество подобных предложений тут же возросло. Тем более что изготовление цифрового изображения паспорта анонимным «художником» не только сложно отследить, но и не так просто юридически классифицировать как подделку документа.

Интересно, что настоящие злоумышленники не используют совсем банальных, явно вымышленных персональных данных, даже если заполняют веб-форму. Напротив, берут или какие-то реальные данные, или данные, очень похожие на реальные, но сгенерированные по специальной базе. При генерации используются реальные фамилии, названия улиц, городов, номера домов и т. п. Такой подход очень давно известен и много лет назад был принят на вооружение кардерами (теми, кто специализируется на краже и подделке банковских карт). Понятно же, что вездесущие васи пупкины вызывают подозрение не только у сотрудников регистратора, просматривающих договоры.

Кстати, если договор заключается с иностранным подданным, то «детектировать реальность» паспорта какого-нибудь африканского государства – та еще задачка.

Когда паспорт предъявляют лично, то можно сверить фото с «личностью» предъявителя (понятно, что паспорт может быть поддельным, но в случае с «физическим документом» это уже совсем иная история). Собственно, паспорт, как документ, именно для такого «физического» подтверждения личности по фото (по биометрическим данным) и придуман. Использование «сканов» для «якобы аутентификации», когда физически аутентифицируемый пользователь не присутствует рядом – старая, хорошо известная дыра в системах безопасности.

Конечно, злоумышленник, планирующий нарушать закон с использованием домена, имеет и технические навыки, и готовность прислать какой-нибудь там «скан». При этом удачно «приславший скан» администратор домена получает в системе новый статус: «идентифицированный администратор». А такой статус, конечно, добавляет некоторой «надежности» персональным данным, полученным с подтверждением «сканом». На самом же деле надежность эта чисто мнимая: процедура аутентификации никак не изменилась: как присылал кто-то неизвестно откуда какие-то данные по Интернету, так и присылает кто-то что-то, но в новом формате файлов. А вот статус изменился, и администраторы в интерфейсах управления клиентской информацией вдруг «раскрасились в разный цвет». Для системы безопасности это очень плохо, потому что добавляет ложной уверенности тем, кто с данными работает.

В истории российского доменного бизнеса известны случаи, когда домен «угоняли» при помощи реального поддельного паспорта и личного визита мошенников в офис регистратора. Однако поставить такие рискованные мероприятия на поток – весьма сложно, а единичные случаи мошенничества, совершенные к тому же в офлайне, расследуются более эффективно, чем массовые онлайн-события с минимумом следов.

При этом многие и многие добросовестные пользователи и так указывали верные данные, потому что пользователи опасаются проблем с потерей домена в случае возникновения спорной ситуации. В отличие от злоумышленника, добросовестному пользователю домен реально нужен в долговременное пользование для легального проекта, ну, раз он этот домен регистрирует. И вот эти добросовестные пользователи, администраторы доменов, по новым правилам должны направо и налево рассылать «сканы» своих паспортов, часто по