Један од озбиљних облика сајбер криминала је преузимање контроле над регистрованим доменом, што изазива недоступност интернет сервиса или преусмеравање корисника ка сервисима које контролише нападач.
Све чешће наилазимо на вести којe говоре о „киднаповању“ или крађи назива домена, што може да има озбиљан утицај на интернет присуство компанија или појединаца. Резултат оваквих напада, када нападач преузме контролу или мења податке о регистрованом домену, је недоступност интернет сервиса или преусмеравање корисника ка сервисима које контролише нападач.
Најчешће мете напада су домени који припадају глобално познатим компанијама (Google, Facebook, Amazon…), али и други домени који нападачу могу да донесу неку корист. Промена података о домену и преусмеравање корисника банке или финансијске институције нападачу може да омогући крађу креденцијала корисника и приступ њиховим рачунима. Нападачима је такође занимљиво онеспособљавање или преусмеравање домена конкурентских компанија које успешно послују на Интернету, као и политичких организација или влада. Ипак, нападачи не бирају само важне домене као мете напада већ користе и сваку могућност да покажу своје „хакерско“ умеће или пласирају политичку или верску поруку.
Последице оваквих напада могу да буду озбиљне:
- Губитак репутације
- Губитак поверења корисника
- Финансијски губитак (пад продаје или надокнађивање штете корисницима)
- Губитак поверљивих и важних пословних података
Ипак, постоје сигурносна решења која онемогућавају овакве врсте напада закључавањем критичних операција над заштићеним називима домена. РНИДС је, у овом тренутку, једини регистар интернет домена највишег нивоа који корисницима нуди три нивоа заштите назива домена:
- Сигуран режим (Secure Mod)
- Закључавање на страни клијента (Client Side Lock или Registrar Lock)
- Закључавање на страни Регистра (Registry Lock)
Сигуран режим (Secure Mode)
Најчешћи начин „киднаповања“ домена је промена параметара домена и преусмеравање корисника на интернет локацију коју контролише нападач. Ово је могуће урадити на много начина, али је један од најчешћих преузимање налога корисника домена код овлашћеног регистра код ког је нападнути домен регистрован (употреба лозинке коју је лако погодити или неадекватна заштита система).
РНИДС је из тог разлога имплементирао могућност пребацивања назива домена у „Сигуран режим“ који за сваку промену критичног податка о домену (промена DNS сервера, укључивање пуног приказа података у WHOIS-у, измена података о административном контакту…) захтева потврду административног контакта за домен.
Када се иницира нека од заштићених промена за домен за који је активиран „Сигуран режим“, на адресу е-поште административног контакта за дати домен се шаље електронска порука која садржи инициране промене, као и линк са временски ограниченим кодом за верификацију промене. Захтевана промена ће бити реализована у систему РНИДС-а тек након потврде административног контакта кликом на верификациони линк (у предвиђеном року), чиме се верификациони код прослеђује систему за регистрацију назива домена.
Иако „Сигуран режим“ не гарантује 100% заштиту, због могућности да налог е-поште административног контакта буде компромитован, ипак значајно отежава успешну реализацију напада и чини га скоро немогућим уколико су испоштована правила за заштиту налога е-поште. Такође, овај вид заштите домена омогућава веома брзе измене заштићених података, без ангажовања овлашћеног регистра или РНИДС-а.
Закључавање на страни клијента (Client Side Lock)
Ова врста обезбеђивања домена је позната и као закључавање на страни овлашћеног регистра (Registrar Lock) и подразумева забрану свих измена над доменом који се налази у овом статусу, осим продужења регистрације.
Овај вид заштите домена обезбеђује висок степен заштите, али зависи и од начина имплементације на страни овлашћеног регистра. Уколико овлашћени регистар омогућава откључавање овако заштићених домена кроз свој портал, без додатних мера заштите (употреба „јаке“ лозинке, двостепену аутентикацију и SSL енкрипцију), налог корисника може лако бити компромитован, а самим тим омогућено и откључавање домена од стране нападача.
Као и у случају сигурног режима, и овај вид закључавања домена обезбеђује довољан вид заштите за већину назива домена, а могућност злоупотребе скоро да не постоји уколико овлашћени регистар пружа адекватан вид заштите кроз безбедан приступ порталу или забрањује могућност аутоматског откључавања домена без додатне провере.
Закључавање на страни Регистра (Registry Lock)
Имајући у виду најбољу праксу регистара интернет домена највишег нивоа, РНИДС је имплементирао и највиши безбедносни ниво - Закључавање назива домена на нивоу Регистра. Овај вид заштите домена уводи додатни ниво провере за откључавање овако заштићених домена и вршење измена над њима. То практично значи да сваки захтев за изменама над доменима за које је активирано закључавање на нивоу Регистра подразумева ручну проверу аутентичности захтева, што практично елиминише могућност злоупотребе и „крађе“ домена.
Захтеви за активирање услуге се подносе посредством овлашћеног регистра и садрже следеће обавезне елементе:
- Назив домена за који се активира услуга;
- Назив или име и презиме корисника (регистранта) назива домена;
- Податке три контакт особе које су овлашћене за давање одобрења у случају подношења захтева за привремену или трајну деактивацију услуге. Подаци морају да садрже име и презиме особе, адресу е-поште и број телефона.
Деактивирање услуге подразумева мануелну проверу од стране РНИДС-а и обавља се искључиво на основу писаног захтева регистранта назива домена, који се подноси посредством ОР-а и садржи:
- Називе домена за које је потребно деактивирати услугу;
- Врсту деактивације која се захтева (привремена или трајна);
- Назив или име и презиме и својеручни или електронски потпис овлашћеног лица или регистранта.
Процедура деактивирања се састоји од два нивоа провере захтева:
- Након подношења захтева за „откључавање“ домена, на адресе е-поште контаката наведених приликом активирања услуге шаљу се поруке са захтевом за потврду захтева. Потребно је да најмање два од три делегирана контакта дају сагласност за „откључавање“ домена.
- РНИДС, након успешно добијених сагласности из претходне фазе, телефонским путем контактира особе које су дале сагласност, ради додатне потврде. Тек након добијене телефонске потврде тих контаката, услуга бива деактивирана.