Jedan od ozbiljnih oblika sajber kriminala je preuzimanje kontrole nad registrovanim domenom, što izaziva nedostupnost internet servisa ili preusmeravanje korisnika ka servisima koje kontroliše napadač.
Sve češće nailazimo na vesti koje govore o „kidnapovanju“ ili krađi naziva domena, što može da ima ozbiljan uticaj na internet prisustvo kompanija ili pojedinaca. Rezultat ovakvih napada, kada napadač preuzme kontrolu ili menja podatke o registrovanom domenu, je nedostupnost internet servisa ili preusmeravanje korisnika ka servisima koje kontroliše napadač.
Najčešće mete napada su domeni koji pripadaju globalno poznatim kompanijama (Google, Facebook, Amazon…), ali i drugi domeni koji napadaču mogu da donesu neku korist. Promena podataka o domenu i preusmeravanje korisnika banke ili finansijske institucije napadaču može da omogući krađu kredencijala korisnika i pristup njihovim računima. Napadačima je takođe zanimljivo onesposobljavanje ili preusmeravanje domena konkurentskih kompanija koje uspešno posluju na Internetu, kao i političkih organizacija ili vlada. Ipak, napadači ne biraju samo važne domene kao mete napada već koriste i svaku mogućnost da pokažu svoje „hakersko“ umeće ili plasiraju političku ili versku poruku.
Posledice ovakvih napada mogu da budu ozbiljne:
- Gubitak reputacije
- Gubitak poverenja korisnika
- Finansijski gubitak (pad prodaje ili nadoknađivanje štete korisnicima)
- Gubitak poverljivih i važnih poslovnih podataka
Ipak, postoje sigurnosna rešenja koja onemogućavaju ovakve vrste napada zaključavanjem kritičnih operacija nad zaštićenim nazivima domena. RNIDS je, u ovom trenutku, jedini registar internet domena najvišeg nivoa koji korisnicima nudi tri nivoa zaštite naziva domena:
- Siguran režim (Secure Mod)
- Zaključavanje na strani klijenta (Client Side Lock ili Registrar Lock)
- Zaključavanje na strani Registra (Registry Lock)
Siguran režim (Secure Mode)
Najčešći način „kidnapovanja“ domena je promena parametara domena i preusmeravanje korisnika na internet lokaciju koju kontroliše napadač. Ovo je moguće uraditi na mnogo načina, ali je jedan od najčešćih preuzimanje naloga korisnika domena kod ovlašćenog registra kod kog je napadnuti domen registrovan (upotreba lozinke koju je lako pogoditi ili neadekvatna zaštita sistema).
RNIDS je iz tog razloga implementirao mogućnost prebacivanja naziva domena u „Siguran režim“ koji za svaku promenu kritičnog podatka o domenu (promena DNS servera, uključivanje punog prikaza podataka u WHOIS-u, izmena podataka o administrativnom kontaktu…) zahteva potvrdu administrativnog kontakta za domen.
Kada se inicira neka od zaštićenih promena za domen za koji je aktiviran „Siguran režim“, na adresu e-pošte administrativnog kontakta za dati domen se šalje elektronska poruka koja sadrži inicirane promene, kao i link sa vremenski ograničenim kodom za verifikaciju promene. Zahtevana promena će biti realizovana u sistemu RNIDS-a tek nakon potvrde administrativnog kontakta klikom na verifikacioni link (u predviđenom roku), čime se verifikacioni kod prosleđuje sistemu za registraciju naziva domena.
Iako „Siguran režim“ ne garantuje 100% zaštitu, zbog mogućnosti da nalog e-pošte administrativnog kontakta bude kompromitovan, ipak značajno otežava uspešnu realizaciju napada i čini ga skoro nemogućim ukoliko su ispoštovana pravila za zaštitu naloga e-pošte. Takođe, ovaj vid zaštite domena omogućava veoma brze izmene zaštićenih podataka, bez angažovanja ovlašćenog registra ili RNIDS-a.
Zaključavanje na strani klijenta (Client Side Lock)
Ova vrsta obezbeđivanja domena je poznata i kao zaključavanje na strani ovlašćenog registra (Registrar Lock) i podrazumeva zabranu svih izmena nad domenom koji se nalazi u ovom statusu, osim produženja registracije.
Ovaj vid zaštite domena obezbeđuje visok stepen zaštite, ali zavisi i od načina implementacije na strani ovlašćenog registra. Ukoliko ovlašćeni registar omogućava otključavanje ovako zaštićenih domena kroz svoj portal, bez dodatnih mera zaštite (upotreba „jake“ lozinke, dvostepenu autentikaciju i SSL enkripciju), nalog korisnika može lako biti kompromitovan, a samim tim omogućeno i otključavanje domena od strane napadača.
Kao i u slučaju sigurnog režima, i ovaj vid zaključavanja domena obezbeđuje dovoljan vid zaštite za većinu naziva domena, a mogućnost zloupotrebe skoro da ne postoji ukoliko ovlašćeni registar pruža adekvatan vid zaštite kroz bezbedan pristup portalu ili zabranjuje mogućnost automatskog otključavanja domena bez dodatne provere.
Zaključavanje na strani Registra (Registry Lock)
Imajući u vidu najbolju praksu registara internet domena najvišeg nivoa, RNIDS je implementirao i najviši bezbednosni nivo - Zaključavanje naziva domena na nivou Registra. Ovaj vid zaštite domena uvodi dodatni nivo provere za otključavanje ovako zaštićenih domena i vršenje izmena nad njima. To praktično znači da svaki zahtev za izmenama nad domenima za koje je aktivirano zaključavanje na nivou Registra podrazumeva ručnu proveru autentičnosti zahteva, što praktično eliminiše mogućnost zloupotrebe i „krađe“ domena.
Zahtevi za aktiviranje usluge se podnose posredstvom ovlašćenog registra i sadrže sledeće obavezne elemente:
- Naziv domena za koji se aktivira usluga;
- Naziv ili ime i prezime korisnika (registranta) naziva domena;
- Podatke tri kontakt osobe koje su ovlašćene za davanje odobrenja u slučaju podnošenja zahteva za privremenu ili trajnu deaktivaciju usluge. Podaci moraju da sadrže ime i prezime osobe, adresu e-pošte i broj telefona.
Deaktiviranje usluge podrazumeva manuelnu proveru od strane RNIDS-a i obavlja se isključivo na osnovu pisanog zahteva registranta naziva domena, koji se podnosi posredstvom OR-a i sadrži:
- Nazive domena za koje je potrebno deaktivirati uslugu;
- Vrstu deaktivacije koja se zahteva (privremena ili trajna);
- Naziv ili ime i prezime i svojeručni ili elektronski potpis ovlašćenog lica ili registranta.
Procedura deaktiviranja se sastoji od dva nivoa provere zahteva:
- Nakon podnošenja zahteva za „otključavanje“ domena, na adrese e-pošte kontakata navedenih prilikom aktiviranja usluge šalju se poruke sa zahtevom za potvrdu zahteva. Potrebno je da najmanje dva od tri delegirana kontakta daju saglasnost za „otključavanje“ domena.
- RNIDS, nakon uspešno dobijenih saglasnosti iz prethodne faze, telefonskim putem kontaktira osobe koje su dale saglasnost, radi dodatne potvrde. Tek nakon dobijene telefonske potvrde tih kontakata, usluga biva deaktivirana.