Visszaélések domain nevekkel
Az Internet vezető biztonsági szakértői jelentésben hívták fel a figyelmet a domain eltérítések és egyéb visszaélések veszélyeire.
Néhány nemrégiben ismertté vált webhely lopásról – például a Panix.com, a Hushmail.com és a HZ.com eseteiről – számolt be az ICANN Biztonsági és Megbízhatósági Tanácsadó Testülete (SSAC), majd bemutatta a jelenlegi rendszer hibáit és javaslatot tett azok javítására.
10 pontban sorolták fel a legégetőbb problémákat, majd válaszul 10 ajánlást fogalmaztak meg. Ezek figyelembe vételével az Internet-ipar és a felhasználók maguk gondoskodhatnának arról, hogy online tulajdonaikat ne lophassák el.
A jelenlegi helyzet nem igazán aggasztó – mondta Steve Crocker, az SSAC és az ICANN vezetőségi tagja –, viszont akivel ilyesmi történik, annak ez „teljes katasztrófa”. A tanácsadó példaként a panix.com esetét említette, amely során idén januárban a domain szolgáltató egy pénteki napon jogosulatlan kérésre módosította a domain beállításait és ezzel a Panix.com nevű internetes szolgáltató ügyfelei emailek százezreit veszítették el. Rafinált módon, több lépésben szerezték meg a levelezési szolgáltatást biztosító Hushmail-t is. Telefonon és emailben gyűjtöttek információkat, majd egy kereskedelmi ügylet álcájával jutottak hozzá a domainhez. A társaság még jelenleg is szenvedi az eltérítés következményeit – nyilatkozták az SSAC-nek.
Egyre több visszaélés
Hiába ismert a veszély, a domain eltérítések száma a jövőben rakétasebességgel emelkedhet – állítja a jelentés szerzője, Dave Piscitello, aki biztos benne, hogy egy átgondolt intézkedési csomaggal elejét lehetne venni a további gondoknak.
A Panix.com például több dolog együttállása miatt került szerencsétlen helyzetbe. A webhelyük költöztetésével megbízott társaság továbbadta a feladatott egy alvállalkozónak, feltételezve róla, hogy elvégezi a szükséges ellenőrzéseket. De ez nem történt meg. Az csak tetőzte a bajt, hogy a hétvégén a domain fenntartójának ügyfélszolgálata nem volt elérhető, így csak 3 nap után lehetett visszaállítani az eredeti állapotot.
A fentiek okán a jelentés határozottan javasolja minden regisztrátornak, hogy vészhelyzet esetére adjanak meg olyan elérhetőséget, amelyen bármikor kapcsolatba lehet lépni képzett és megfelelő jogosultságokkal rendelkező munkatárssal. A domain regisztrációs szolgáltatások esetén nagyon gyakori a több láncszemből álló viszonteladói hálózat üzemeltetése, ilyen esetekben a kipróbált és megbízható biztonsági szabályok alvállalkozókkal való betartatása elengedhetetlen, azonban a csökkenthető a kockázat, ha a felhasználó közvetlenül egy regisztrátorral köt szerződést.
Az SSAC reméli, hogy az elkövetett hibák és lehetséges megelőzésük bemutatásának köszönhetően az internetes közösség – nem csak a regisztrátorok, de a cégek és magánszemélyek is – önszabályozóvá válnak és képesek lesznek a szabályok betartására késztetni a renitenseket is.
Az ilyen közösségi irányelvek bevezetése nagyon olcsó és jórészt technikai kérdés lenne – fejtette ki Crocker –, így a regisztrátoroknak nem lehet valós kifogása az alkalmazásuk ellen, ha a közösség nyomást gyakorol rájuk. Az Egyesült Államokban mindössze néhány száz vállalkozás rendeklezik regisztrátori joggal, tehát egy meglehetősen szűk körön belül kell eredményt elérni.
Az SSAC azonban azt is javasolta az ICANN-nak, hogy dolgozzon ki egy olyan szabályzatot, amely alapján büntetéssel lehetne sújtani az elvárásoknak eleget nem tevő regisztrátorokat. Piscitello ellenben reméli, hogy a veszélyérzet elegendő ahhoz, hogy ne kelljen ezt az eljárást bevezetni. Az ICANN vezetője, Vint Cerf azonban úgy nyilatkozott, hogy a szervezet már állást foglalt a szankciók ügyében, azonban a szervezet vezetőtestülete a mostani jelentéssel együtt még ismételten napirendre tűzi a kérdést.
Más módszer is létezik
A domain eltérítés nem az egyetlen módja a webcímekkel való visszaéléseknek. A jogosulatlan haszonszerzés egyes módszereit a regisztrátorok is gyakorolják. Ezek a szolgáltatók a domain nevek regisztrátorok közötti szabad mozgását akadályozzák meg azzal, hogy a domain nevek „elengedéséért” jogosulatlanul kisebb-nagyobb összegeket kérnek vagy teljesíthetetlenül bonyolulttá teszik az átregisztráció folyamatát. Ezt a visszaélési formát kívánta megakadályozni a regisztrátorváltási procedúra szabályzatának néhány hónappal ezelőtti változtatása. Ez a módosítás tette lehetővé, hogy az „elhagyandó” regisztrátor ne tudja megakadályozni egy-egy domain átvitelét más szolgáltatóhoz. Azonban még ezekben a napokban is domain tulajdonosok ezreit csapják be cégek a korábbi szabályzatra való hivatkozással.
Magyarok is megtévesztenek
Egy hazai piaci szereplő a módszer továbbfejlesztését is kitalálta: ingyenes tárhely szolgáltatáshoz társított olcsó domain regisztrációt kínál, majd az első év után a díjat megemeli és a szolgáltató váltását egy bonyolult – azonban jogilag jól körülbástyázott szabályos – eljárással akadályozza meg. Az ügyfelek a jelentős adminisztrációtól meghátrálva általában félbehagyják az átregisztrálási eljárást, így a szolgáltató extra profitra tehet szert.
Az email mindennek a kulcsa
A domain tulajdonosoknak néhány részlettel kell tisztában lenniük: a domain zárolásának intézménye már minden szolgáltatónál bevezetésre került, ennek alkalmazásával biztos lehet benne, hogy a domain nem „lopható el”. A másik hasznos tanács a domain regisztrációkor megadott email cím megőrzése. Azokat az email címeket, amelyeket a regisztráció során kapcsolattartás céljából adunk meg ne mondjuk fel, annak jelszavát ne adjuk ki mások számára, azonban ha ez a cím megváltozik valamilyen oknál fogva, akkor erről haladéktalanul értesítsük a domain regisztrátorunkat.