Один из крупнейших российских провайдеров связи «Ростелеком» предложил запретить доступ к публичным DNS-серверам Google и Cloudflare. Об этом рассказал интернет-эксперт, автор Telegram-канала «Эшер II» Филипп Кулин. Достоверность информации в разговоре с РБК подтвердил представитель «Ростелекома».

Источник: РБК

Провайдер предложил ограничить доступ к серверам c IP-адресами 8.8.8.8 и 8.8.4.4 от Google, 1.1.1.1 и 1.0.0.1 от Cloudflare, а также запретить протокол DoH (DNS over HTTPS). Компания аргументировала это стремлением к «организации устойчивого доступа абонентов в интернет». Как именно это поможет не уточняется, но «Ростелеком» предложил использовать в качестве замены свои DNS-серверы или IP-адреса Национальной системы доменных имён.

Фактически инициатива компании может снизить безопасность интернет-соединения для клиентов. Всё дело в том, что публичные серверы Google и Cloudflare не только ускоряют загрузку страниц, но и помогают защититься от спуфинга (подмены сайтов с целью похищения личных данных пользователя). Кроме этого, использование протокола DoH позволяет зашифровать трафик таким образом, чтобы операторы не могли распознать к какому ресурсу обращался абонент. Благодаря этому пользователи могут попасть на запрещённые веб-сайты.

По мнению технического директора «Роскомсвободы» Станислава Шакирова, «Ростелеком» переводит клиентов на другие серверы из-за риска блокировки публичных DNS от Google и Cloudflare. Он также отметил, что запрет на их использование может привести к недоступности многих систем.

На прошлой неделе российские IT-эксперты рассказали о тестировании оборудования для «суверенного Рунета» на предмет блокировки публичных DNS-серверов Google. По словам одного из специалистов, в результате проверок большое количество людей временно лишилось доступа к Сети.

Российский регулятор намерен вывести защиту пользователей на новый уровень. В этом месяце Роскомнадзор намерен оценить инструменты, имеющиеся в распоряжении ведомства, для блокировки иностранных интернет-протоколов. В частности, речь идёт о DoH, внедряемом Mozilla и Google — он скрывает имя сайта и усложняет блокировку доступа к запрещённым в стране сайтам.

machinemetrics.com

Для сохранения работоспособности сетей в Роскомнадзоре настоятельно советуют компаниям переходить на используемую страной Национальную систему доменных имён (НСДИ), а в начале сентября госкомпании получили от ведомства письма, призывающие проверить собственные информационные системы на использование протоколов, скрывающих имена сайтов.

Речь идёт о DNS-серверах Google и Cloudflare, а также сервисе DoH (DNS поверх HTTPS), внедряемом Mozilla и Google. До 9 сентября компаниям рекомендовали подключиться к российским DNS-сервисам или НСДИ. По некоторым данным, тестирование блокировки DNS-сервисов Google и Cloudflare состоялось уже 8 сентября.

DNS-сервер определяет IP-адрес ресурса по его доменному имени. Технологию DoH используют для шифрования запроса, направляемого DNS-серверу, поэтому конечный узел «невидим» для провайдера и не позволяет эффективно блокировать доступ к нему в случае, если тот находится в числе запрещённых на территории России.

Технологии постепенно внедряются Mozilla в браузерах Firefox и Google — в Chrome как минимум с осени 2020 года. В то же время Минцифры выступило с законопроектом, позволяющим блокировать протоколы шифрования, скрывающие имена сайтов. Хотя известно, что закон так и не был принят, ещё в феврале прошлого года принято постановление правительства №127 «Об утверждении Правил централизованного управления сетью связи общего пользования», наделяющего полномочиями блокировки Роскомнадзор.

Полномочия делегируются в рамках закона «о суверенном рунете», предписывающем с 1 января текущего года владельцам ASN (специальных номеров автономных сетей в интернете крупных компаний) подключаться к НСДИ. Именно на этом уровне блокируются запросы к запрещённым ресурсам, а Роскомнадзор, по некоторым данным, уже начал штрафовать за отказ компаний подключаться к системе. При этом известно, что регулятор действует посредством персональных «рекомендаций» крупным компаниям, поэтому отслеживать подобные действия регулятора довольно трудно.

По мнению некоторых экспертов, блокировка защищённых DNS-серверов и протоколов может, например, привести к остановке работы браузера Firefox. При этом блокировка DNS-серверов Google и Cloudflare приведёт к их оперативной замене на альтернативные серверы, но это неизбежно приведёт к снижению приватности и безопасности интернет-соединений, чем не замедлят воспользоваться мошенники.

Пользователи интернета по всему миру сегодня вечером массово жаловались на проблемы с доступом к популярным сетевым ресурсам. По данным сервиса DownDetector, сегодня вечером участились сообщения о перебоях в работе более 40 популярных сайтов и сервисов, среди которых Steam, PlayStation Network, Google, Amazon, Fortnite, Aliexpress, Microsoft и многие другие.

arstechnica.com

Представители ряда ресурсов, среди которых Airbnb и FedEx, подтвердили, что в работе сайтов наблюдаются проблемы, и сообщили, что технические специалисты ищут причины неполадок. Осведомлённые источники сообщают, что причина массовой потери доступа к ресурсам кроется в сбое DNS-сервиса компании Akamai, провайдера облачных технологий. Akamai подтвердила, что возникли проблемы с сервисом Edge DNS, а позднее сообщила, что устранила неполадки.

forbes.ru

Сегодняшние проблемы с доступом к Сети подчёркивают проблему централизации современного интернета. Первоначально он проектировался как децентрализованный и устойчивый к сбоям, но, по мере появления крупных игроков на онлайн-рынке, которые объединяют вокруг себя ключевые сервисы, устойчивость сети страдает. Сбои у крупных компаний оказывают всё большее значение на экосистему интернета в целом.

Akamai заявляет, что сбой в работе DNS-сервиса не был результатом кибератаки на платформу, но не сообщает, в чём заключается проблема и что стало её причиной.

Глава федерального ретейлера DNS Дмитрий Алексеев публично извинился за провал продаж видеокарт GeForce RTX 3060 неделю назад. Тогда продавец так сильно пытался противодействовать перекупщикам и дать шанс купить видеокарту всем желающим, что в итоге ускорители так и не добрались до прилавков, в том числе виртуальных.

Напомним, что для борьбы с перекупщиками DNS пообещал начать продажи «когда-то ночью» 26 февраля. Фактически продажи запустились раньше, чем планировалось, из-за неотлаженной информационной системы и проблем с синхронизацией базы данных. Получилось так, что осведомлённые пользователи смогли заказать GeForce RTX 3060 через конфигуратор ПК, причём ещё до официального старта продаж. Конечно же, из-за этого весь запас карт быстро разобрали, и в основном каталоге ожидаемые новинки так и не появились ни вечером, ни ночью, ни ранним утром.

За всё это и извинился глава DNS в посте на своей странице в Facebook: «Хочу лично извиниться перед всеми покупателями видеокарт. Как бы ни было неприятно, но нужно признать, что ДНС допустил целый ряд ошибок и не смог предотвратить возникшие проблемы».

Далее он отметил, что компания столкнулась с нетипичной проблемой — необходимостью как-то справедливо распределить дефицит. На старте продаж DNS получила всего около 2000 видеокарт GeForce RTX 3060, что на порядки ниже спроса. Алексеев отметил, что он не знает хорошего решения для данной ситуации, которое устроило бы всех. Конечно, можно было бы позволить спросу диктовать цены, которые, конечно же, взлетели бы. Но тогда продавец бы прослыл «барыгой», да и о майнерах забывать не стоит, ведь им может быть выгодно скупать видеокарты и по завышенным ценам.

DNS установила самые низкие цены на GeForce RTX 3060 в России

Но всё же глава DNS признаёт, что помимо общих проблем компания допустила и очень много ошибок: «Фактически, мы наступили на все грабли». Отмечаются сбои в системах и нерешённая проблема с перекупщиками. Также говорится о злоупотреблениях продавцами в розничных магазинах: «Сейчас мы проводим расследования, их немного, но около 20 ситуаций подлежат разбору».

В заключение Дмитрий Алексеев заявил, что компания пока что не видит улучшения ситуации с видеокартами. «Проблемы будут как минимум до конца года. На это время мы будем отдавать приоритет собранным игровым компьютерам и нашим постоянным клиентам, зарегистрированным на сайте и в системе "Prozapass", — заявил глава DNS. — Ещё раз прошу прощения у наших покупателей».

Глава сети магазинов DNS Дмитрий Алексеев назвал компанию лидером на рынке бытовой техники и электроники. Он написал об этом в «фейсбуке». По его словам, выручка DNS за 2020 год составила 514 млрд рублей, опередив почти на 10 млрд рублей ближайшего конкурента в лице «М.Видео-Эльдорадо».

DNS

Согласно отчёту «М.Видео-Эльдорадо», выручка группы за 2020 год составила 504,8 млрд рублей. Общие продажи компании выросли на 19 %, а онлайн-заказы удвоились. Статистика и распределение заказов в DNS пока не называются. Когда компания представит полный отчёт за прошедший год, не уточняется.

«Каждое достижение — это ещё и новые вызовы. Не скрою, нам было комфортно, в плане менеджмента, догонять коллег из "М.Видео". Очень надеюсь, что и дальше они будут помогать нам в ориентирах», — заявил Алексеев.

Летом 2020 года совладелец компании DNS Сергей Мещанюк рассказал, что число интернет-заказов выросло на 98 %, а их доля от всего оборота торговой сети составила 28 %. Кроме этого, выручка компании за первые 6 месяцев тоже выросла на 28 %, достигнув 197 млрд рублей.

В преддверии Нового года сеть магазинов DNS запустила акцию на технику компании Nikon. При покупке камер именитого бренда вы сможете выбрать смартфон, умные часы, беспроводные наушники, планшет или другие гаджеты для получения скидки на комплект. Акция распространяется на камеры Nikon Z 50, Z 5, D750, D780 и D850.

Например, при покупке Nikon D850 можно выбрать для получения скидки беспроводную гарнитуру Apple AirPods Pro, смарт-часы Apple Watch Nike+ Series 3, смартфон или другой понравившийся вариант.

Участвующая в акции камера Nikon Z 50, является самым бюджетным решением компании в беззеркальном сегменте. Камера предназначена для продвинутых любителей и энтузиастов, которым нужна максимально лёгкая быстрая и доступная техника. Благодаря поддержке записи в формате 4K с возможностью подключения внешних микрофонов и поворотным экраном камеру можно использовать для съёмки влогов и тревел-сюжетов.

В перечне акционных продуктов также указана самая доступная и популярная полнокадровая «народная» зеркалка D750, которая получила заслуженное одобрение фотографов, благодаря одним из лучших показателей резкости и динамического диапазона в своем ценовом сегменте.

Для тех, кто пока не определился с предпочтениями и подумывает о переходе на беззеркальную систему, подойдёт модель D780, как гибрид, обладающий преимуществами зеркальной и беззеркальной системы. D780 оснащена самым функциональным режимом Live view, в котором используется такая же система автофокуса, как у моделей Z 6 и Z 6II.

Кроме того, на новое поколение камер Nikon Z 6II и Z 7II запущена акция с предоставлением двух карт памяти в комплекте. Nikon Z 6II поступила в продажу в ноябре, а вот Z 7II появится на рынке в середине декабря. Новое поколение камер получило второй слот под накопитель, в несколько раз увеличенный буфер памяти, два процессора EXPEED 6 и многое другое.

Тем, кто ищет проверенное и признанное экспертами решение, ретейлер предлагает приобрести модели Nikon Z 6 и Z 7 по акции «Рассрочка 0024 или выгода 10%».

Акции продлятся до 10 января 2021 года, чтобы можно было успеть подготовить подарки для вас и ваших близких с приятной выгодой. Подробнее узнать об условиях акций можно на официальном сайте сети магазинов DNS.

Специалист Check Point Саги Цадик (Sagi Tzadik) обнаружил серьёзную уязвимость, затрагивающую Windows Server 2003-2019. Эксплуатация бреши, которую в компании назвали «SigRed» (CVE-2020-1350), позволяет осуществить удалённое выполнение кода, в результате чего злоумышленник может получить права администратора, захватив таким образом контроль над IT-инфраструктурой организации.

Microsoft признала наличие серьёзной проблемы и уже выпустила её исправление, включив его в пакет обновлений, который начал распространяться вчера в рамках программы Patch Tuesday. В компании отметили, что доказательств активного использования данной уязвимости злоумышленниками обнаружено не было. Пользователям рекомендуется как можно быстрее установить патч.

Эксплуатация упомянутой уязвимости предполагает отправку специальных DNS-запросов на DNS-сервер Windows, что позволяет осуществить удалённое выполнение кода. Таким образом хакер может перехватывать вместе с сетевым трафиком электронные письма пользователей, учётные данные и другую конфиденциальную информацию. Исследователь отмечает, что данная уязвимость является очень серьёзной, поскольку её эксплуатация может позволить злоумышленникам организовать «червеобразную» атаку, переходящую с одного уязвимого сервера на другой без какого-либо вмешательства.

Когда уязвимость была обнаружена, компания Check Point поставила в известность Microsoft. Разработчики софтверного гиганта оперативно отреагировали на сообщение и подготовили соответствующий патч. Стоит отметить, что помимо упомянутой проблемы установка пакета обновлений закрывает ещё 122 уязвимости в разных продуктах Microsoft.

Компания Bad Packets сообщила, что начиная с декабря 2018 года группа киберпреступников взламывала домашние маршрутизаторы, в основном модели D-Link, чтобы изменить настройки DNS-сервера и перехватить трафик, предназначенный для легальных сайтов. После этого пользователей перенаправляли на фейковые ресурсы.

Сообщается, что для этого используются бреши в прошивках, которые позволяют вносить незаметные изменения в поведение роутеров. Список целевых устройств выглядит так:

• D-Link DSL-2640B — 14327 взломанных устройств;
• D-Link DSL-2740R — 379 устройств;
• D-Link DSL-2780B — 0 устройств;
• D-Link DSL-526B — 7 устройств;
• ARG-W4 ADSL — 0 устройств;
• DSLink 260E — 7 устройств;
• Secutech — 17 устройств;
• TOTOLINK — 2265 устройств.

То есть против атак устояли только две модели. При этом отмечается, что были проведены три волны атак: в декабре 2018 года, в начале февраля и в конце марта этого года. Сообщается, что хакеры использовали следующие IP-адреса серверов:

• 144.217.191.145;
• 66.70.173.48;
• 195.128.124.131;
• 195.128.126.165.

Принцип действия таких атак прост — настройки DNS в маршрутизаторе подменяются, после чего он переадресовывает пользователя на сайт-клон, где требуется ввести логин, пароль и другие данные. Они затем попадают к хакерам. Всем владельцам вышеупомянутых моделей рекомендуется как можно скорее обновить прошивки роутеров.

Интересно, что сейчас подобные атаки довольно редки, они были популярны в начале 2000-х годов. Хотя и в последние годы их периодически используют. Так, в 2016 году была зафиксирована масштабная атака с использованием рекламы, которая заражала маршрутизаторы в Бразилии.

А в начале 2018 года проводилась атака, которая перенаправляла пользователей на сайты с вредоносным ПО для Android.

1 апреля — не лучший день для анонса нового продукта, ведь многие могут посчитать, что это очередная шутка, но команда Cloudflare считает иначе. В конце концов, для них это достаточно знаковая дата, так как адрес их главного массового продукта  —быстрого и анонимного DNS сервера  — 1.1.1.1 (4/1), который тоже был запущен 1 апреля в прошлом году. В связи с этим компания не могла не сравнить себя с Google в связи с тем, что известный почтовый сервис Gmail в своё время был запущен 1 апреля 2004 года.

blog.cloudflare.com 

Итак, ещё раз обозначив, что это никакая не шутка, Cloudflare объявила о запуске собственного DNS-сервера на базе мобильного приложения 1.1.1.1, которое ранее использовалось для автоматической настройки предоставляемого компанией DNS-сервиса на мобильных устройствах.

Прежде, чем перейти к деталям, в блоге компании не могли не рассказать об успехе 1.1.1.1, который показал рост количества установок в 700 % ежемесячно и вероятно имеет шансы стать вторым по величине общедоступным DNS-сервисом в мире, уступая только Google. Впрочем Cloudflare рассчитывает в будущем подвинуть и его, заняв первое место.

blog.cloudflare.com 

Также компания напоминает, что она одной из первых стала популяризировать такие стандарты, как DNS поверх TLS и DNS поверх HTTPS в сотрудничестве с фондом Mozilla. Данные стандарты регламентируют метод шифрования для обмена данными между вашим устройством и удалённым DNS-сервером, дабы никакое третье лицо (в том числе ваш интернет-провайдер), используя атаки по типу «человек посередине» (англ. Man in the middle (MITM)), не смогло по DNS-трафику отслеживать ваши передвижения в сети Интернет. Стоит заметить, в ряде случаев именно отсутствие шифрования DNS делает неэффективным использование VPN-сервисов для анонимизации, если последние не фильтруют DNS-трафик через себя в отдельном порядке.

11 ноября 2018 года (и снова четыре единицы) Cloudflare запустила своё приложение для мобильных устройств, которое позволило использовать безопасный DNS с поддержкой упомянутых стандартов всеми желающими буквально при помощи нажатия одной кнопки. И, как утверждает компания, несмотря на то, что они ожидали небольшой интерес к приложению, в итоге им воспользовались миллионы людей на платформах Andoid и iOS по всему миру.

После этого в Cloudflare задумались о том, что можно сделать ещё для того, чтобы обезопасить Интернет для мобильных устройств. Как отмечают в блоге далее, мобильный Интернет мог бы быть намного лучше, чем то, что он представляет из себя сейчас. Да, 5G решает многие проблемы, но сам протокол TCP/IP с точки зрения Cloudflare просто не предназначен для беспроводной связи, так как не имеет необходимой устойчивости к помехам и потерям пакетов данных, вызванных ими.

Так, в ходе размышлений о состоянии мобильного интернета в компании зародился «секретный» план. Его воплощение началось с приобретения компании Neumob, небольшого стартапа, занимавшегося разработкой приложений для мобильных VPN-клиентов. Именно наработки Neumob позволили в итоге создать Warp — VPN-сервис от Cloudflare (не перепутайте с одноименным warpvpn.com).

В чём особенность нового сервиса?

Во-первых, Cloudflare обещают, что приложение будет обеспечивать максимально быструю скорость соединения, в чём помогут сотни серверов по всему миру с низкой задержкой доступа, а также встроенная технология сжатия трафика, там где это безопасно и возможно. Компания утверждает, что чем хуже соединение, тем большую выгоду даст использование Warp для скорости доступа. Описание технологии до боли напоминает Opera Turbo, впрочем последняя в большей степени является прокси-сервером и никогда не позиционировалась как средство для безопасности и анонимности в сети.

Во-вторых, новый VPN-сервис используют протокол — WireGuard, который разработал канадский специалист по информационной безопасности Jason A. Donenfeld. Особенностью протокола является высокая производительность и современное шифрование, а хорошо организованный и компактный код делает простым его внедрение и аудит на высокий уровень безопасности и отсутствие каких-либо закладок. WireGuard уже положительно оценил создатель Linux Линус Торвальдс и американский сенат.

В-третьих, Cloudflare приложили максимум усилий, чтобы снизить влияние приложения на батарею мобильных устройств, это достигается как за счёт минимальной нагрузки на процессор благодаря использованию WireGuard, так и за счёт оптимизации количества обращений к радио-модулю.

Как получить доступ?

Просто установите последнюю версию приложения 1.1.1.1 через Apple App Store или Google Play Store, запустите его и вы увидите наверху приметную кнопку, предлагающую принять участие в тестировании Warp. После её нажатия вы займёте место в общей очереди желающих опробовать новый сервис. Как только очередь дойдёт до вас, вы получите соответствующее уведомление, после чего сможете активировать Warp, а до того 1.1.1.1 можно продолжать использовать как безопасный и быстрый DNS-сервис.

blog.cloudflare.com 

Cloudflare заявляет, что сервис будет полностью бесплатным и распространяться по модели freemium, то есть зарабатывать компания планирует на дополнительной функциональности для премиум-аккаунтов, а также на предоставлении услуг для корпоративных клиентов. Премиум-аккаунтам будут доступны отдельные серверы с большей пропускной способностью, а также технология маршрутизации Argo, которая позволяет перенаправлять ваш трафик через ряд серверов, минуя высоконагруженные участки сети, что, по утверждению Cloudflare, позволяет сократить задержку для доступа к интернет-ресурсам до 30%.

Пока ещё сложно оценить реальность воплощения всех обещаний Cloudflare в их стремлении сделать VPN-сервис мечты, но общая задумка и намерения компании выглядят очень интересно, а потому мы с нетерпением ждём, когда Warp будет доступен для всех желающих, чтобы проверить его быстродействие и способность серверов компании выдержать будущую нагрузку, учитывая, что только в Google Play желающих протестировать Warp уже около 300 000 человек.

Через несколько дней, 11 октября 2018 года, произойдёт первое в истории обновление криптографического ключа для защиты корневой структуры DNS — системы доменных имён Интернета. Речь идёт об обновлении корневого ключа DNSSEC — системы цифровых подписей, которая предотвращает подмену сервера.

seofarming.it

Как ожидается, работы начнутся в 16:00 по Гринвичу, и, если всё будет нормально, пользователи и провайдеры ничего не заметят. Процесс будет проводиться и координироваться поставщиками DNS, группой Internet Engineering Task Force (IETF), ICANN и другими. Однако есть вероятность, что некоторые старые забытые серверы и виртуальные машины, на которых не обновляли DNSSEC, останутся без доступа к сети.

Впрочем, решение есть. Разработчики Red Hat предприняли свои шаги и постарались максимально автоматизировать процесс. А по ссылке доступен полный план имплементации нового ключа.

redhat.com

Как сообщается, текущий корневой ключ DNSSEC, также называемый KSK-2010, имеет идентификатор 19036. У версии KSK-2017, которую поставят 11 октября, идентификатор ключа 20326.

В случае возникновения проблем рекомендуется просто перезагрузить DNS-сервер. По идее, после этого система должна штатно запуститься. На случай же аварийной ситуации рекомендуется временно перейти на любой из открытых DNS-серверов. Список их выглядит так:

Возможно также придётся изменить некоторые правила брандмауэра. В частности, должен быть доступен порт 53 по TCP и доступ к UDP. Отметим, что в будущем подобная операция вряд ли потребуется, поскольку в ICANN намерены автоматизировать процесс и менять ключ каждые 5–7 лет.

Международная корпорация ICANN, управляющая адресным пространством глобальной сети, опубликовала информационное сообщение, в котором предупредила пользователей о возможных перебоях в работе Интернета 11 октября.

В качестве причины возможных сбоев называются предстоящие работы ICANN по обновлению криптографических ключей корневой зоны (Key Signing Key, KSK), которые используются в инфраструктуре системы доменных имён глобальной сети (Domain Name System, DNS). По оценкам экспертов ICANN, последствия смены KSK в корневой зоне для пользователей будут минимальные, однако небольшой процент интернет-аудитории может столкнуться со сложностями доступа к некоторым веб-ресурсам.

Аналогичного мнения, что запланированное на 11 октября обновление криптографических ключей корневой зоны DNS не окажет особого влияния на работоспособность глобальной сети, также придерживается директор Координационного центра доменов .RU/.РФ Андрей Воробьёв.

«Мы не ожидаем, что обновление сильно заметят пользователи, потому что все крупнейшие операторы к этому событию готовы. Корпорация ICANN ещё в 2016 году была готова к смене криптографических ключей, но по причине неготовности провайдеров и операторов связи эта процедура была перенесена. Все крупнейшие российские операторы заявили, что они не ждут каких-либо проблем в этой связи. То, что пишут в СМИ, что возможны какие-то сильные замедления в работе пользователей в Интернете, это преувеличение — не стоит ждать из-за смены криптографических ключей каких-то серьёзных перебоев в работе онлайновых-сервисов», — приводит слова г-на Воробьёва информационное телеграфное агентство России (ИТАР-ТАСС).

Cloudflare запустила DNS-сервер, который должен ускорить работу вашего интернет-соединения и сделать его более защищённым. Компания уверяет, что это «самый быстрый в Интернете, сосредоточенный на конфиденциальности потребительский DNS-сервер». Одно из его преимуществ — то, что Cloudflare удаляет все записи о DNS-запросах в течение 24 часов.

Обычно интернет-провайдеры предоставляют собственные DNS-серверы, с помощью которых доменные имена превращаются в IP-адреса, распознаваемые роутерами. Зачастую такие серверы медленные и ненадёжные — в частности, они позволяют владельцу сети узнать, на какие сайты вы заходили.

Cloudflare вместе с Азиатско-Тихоокеанским сетевым информационным центром (Asia-Pacific Network Information Centre или APNIC) решила предложить собственный DNS-сервер под первичным и вторичным адресами 1.1.1.1 и 1.0.0.1. Ранее многие использовали 1.1.1.1 в качестве фиктивного адреса.

«Мы обратились к команде APNIC и рассказали, что хотим создать крайне быструю DNS-систему с упором на конфиденциальность, — рассказал генеральный директор Cloudflare Мэтью Принс (Matthew Prince). — Мы предложили сеть Cloudflare для изучения трафика, а взамен получили возможность использовать запоминающиеся IP-адреса в качестве DNS-адресов».

Продукт Cloudflare поддерживает DNS-over-TLS и DNS-over-HTTPS. Сервер работает с задержкой 14 мс, в то время как у OpenDNS этот показатель составляет 20 мс, а у Google DNS — 34 мс. Это делает DNS-сервер Cloudflare самым быстрым в мире.

Команда разработчиков Яндекса сообщила о включении в новую версию Яндекс.Браузера технологии DNSCrypt, обеспечивающей безопасный обмен данными между интернет-обозревателем и DNS-сервером и, как следствие, защиту от атак злоумышленников, занимающихся перехватом и подменой сетевого трафика.

В компании подчёркивают, что добавление в Яндекс.Браузер поддержки DNSCrypt стало ответом на всё учащающиеся случаи фишинговых атак, связанных с модификацией киберпреступниками DNS-запросов (DNS hijacking). Система защиты функционирует в паре с безопасным DNS-сервером Яндекса и выполняет шифрование канала связи между веб-обозревателем и сервером DNS. Такой подход делает бесполезным перехват трафика и помогает удостовериться, что получаемые от DNS ответы действительно отправлены этим сервером, а не подделаны злоумышленником. Это позволяет защититься от подмены сайтов даже в случае взлома пользовательских устройств и злонамеренного изменения настроек роутера или компьютера.

Чтобы воспользоваться новой системой защиты, необходимо обновить Яндекс.Браузер до последней версии и включить DNSCrypt в настройках программы. Защита доступна в сборках браузера для операционных систем Windows и OS X. В ближайшем будущем Яндекс планирует добавить в веб-обозреватель поддержку альтернативных DNS-серверов.

Дополнительные сведения о реализованной в Яндекс.Браузере технологии DNSCrypt можно найти в блоге разработчиков Яндекса.

Зачастую для незаконного проникновения в компьютерные системы и удалённые сети киберпреступники прибегают к использованию вредоносного программного обеспечения, а также эксплуатированию различных уязвимостей. Однако серьёзную угрозу для информационной безопасности могут представлять и неправильные настройки серверных приложений или других программных средств.

Ярким примером подобного рода упущений может служить выявленная специалистами «Доктора Веба» ошибка в конфигурации оборудования easyDNS Technologies, Inc. — компании, специализирующейся на предоставлении услуг DNS-хостинга.

Клиентами easyDNS Technologies, Inc. являются многие популярные и посещаемые интернет-ресурсы вроде informer.com и php.net. Компания также предоставляет своим пользователям в аренду DNS-серверы — услуга востребована среди клиентов, которые не желают сами заниматься их поддержкой и администрированием.

Экспертам «Доктора Веба» удалось установить, что один из DNS-серверов easyDNS Technologies, Inc. был настроен некорректно и обрабатывал AXFR-запросы на передачу доменной зоны, поступающие из любых внешних источников. По сути, компании, пользующиеся услугами easyDNS Technologies, Inc., сами того не зная, открывали всему миру список зарегистрированных ими поддоменов. Как правило, подобные домены используются для организации непубличных внутренних веб-серверов, систем контроля версий, различных служб мониторинга, вики-ресурсов, и т. д.

Антивирусные эксперты предупреждают, что с использованием подобного списка адресов злоумышленникам становится значительно проще исследовать сеть потенциальной жертвы для поиска слабых или незащищенных мест. При этом сам по себе факт передачи доменной зоны не способен нанести организации, эксплуатирующей неправильно настроенный DNS-сервер, материальный вред, однако успешно обработанный AXFR-запрос предоставляет потенциальным взломщикам критически важную информацию об используемом этой организацией инструментарии и средствах разработки.

Специалисты «Доктора Веба» уже оповестили easyDNS Technologies, Inc. о выявленной бреши в конфигурации её DNS-сервера. Сейчас компания принимает меры по устранению замечаний в настройках.

В настройках роутеров ASUS и D-Link появилась возможность включить сервис «Яндекс.DNS», который блокирует некоторые виды опасных сайтов и ресурсов для взрослых сразу во всей домашней сети.

Бесплатная служба «Яндекс.DNS» заработала в 2013 году. Система предлагает несколько режимов работы: базовый, безопасный и семейный. В первом не предусмотрена какая-либо фильтрация трафика — сервис обеспечивает лишь ускоренное открытие сайтов. В безопасном режиме обеспечивается защита от заражённых и мошеннических ресурсов. Семейный режим включает защиту от опасных сайтов и блокировку сайтов для взрослых.

Настроив «Яндекс.DNS» на роутере, можно выбрать определённый режим работы для каждого устройства в сети. Например, для планшета ребёнка можно установить семейный режим, а для личного ноутбука — безопасный. Во всех режимах, кроме базового, «Яндекс.DNS» обеспечивает защиту от программ-ботов.

Для использования системы «Яндекс.DNS» на роутерах ASUS и D-Link необходимо обновить прошивку устройства до последней версии и выбрать нужный режим работы сервиса в панели управления. Пошаговые инструкции для оборудования названных компаний доступны здесь и здесь.

Отметим, что прошивка с «Яндекс.DNS» ранее была выпущена для роутеров ZyXEL серии Keenetic.