Uudised, sündmused ja blogi

ICANN77 poliitika poliitika pärast?

Techday-l ehk tehniliste teemade ringis tegi otsa lahti ülevaade riigiasutuste DNSi kasutamise headest tavadest Rootsi, Hollandi, Šveitsi ja USA näitel. Valikut piiras keerukus tuvastada avaliku sektori domeene - vaid vähestel juhtudel kasutatakse selleks spetsiaalset alamdomeeni nagu näiteks .gov.ee. Tšehhis võeti samas aga hiljuti vastu otsus asutada riigiasutuste jaoks eraldi registripidaja ning viia teenused gov.cz alamdomeeni alla. Aega anti selleks 10 aastat.

Enamikel riigiasutustel on üks DNSi teenuse pakkuja, kelleks on valdavalt registripidaja. Teatud arvul juhtudel on domeeni küljes vaid üks nimeserver, kuid RFC1034 kohaselt peaks igal domeenil olema küljes aga vähemalt 2 nimeserverit. See on 35 aastat vana nõue, mida kasvõi juba anycast teenuse kättesaadavaks muutumisega ignoreeritakse üha enam. Seda kinnitas ka Zonemasteri uuring .se näitel, kus leiti, et 65% registreeringutest on domeeni teenindavad nimeserverid tegelikult ühes masinas, muutes mitme serveri nõude mõttetuks. Kuid kui kasutada mitut DNSi serverit, on hea mõte kasutada erinevaid teenusepakkujaid. Veelgi olulisem on, et need oleksid erinevate TLDde all.

Anycast on teema - USA puhul on 60% avaliku sektori domeenidest anycast nimeserveritega ning Rootsi puhul 20%. TTL ehk kirje eluiga nimeserverites võiks pigem olla pikk - USAs on selleks näitajaks enamasti 28 000 (8 tundi), Euroopas aga vaid 3 600 sekundit (1 tund). Kõige levinum e-posti teenus avalikus sektoris on Microsoft Outlook - see moodustab kõikidest kasutatavatest võimalustest lausa 40%.

Oleme EISis kaalunud DNS teenuse pakkumist eelkõige teisese teenusena, mida kasutada registripidaja või oma halduses oleva nimeserveri kõrval. See võiks olla kaasaegne anycast teenus, mida pakkuda erinevate TLDde alt – mõte sai nüüd hoogu juurde. Cira on kindlasti käsi, kui tahame hakata pakkuma oma anycast DNS teenust registreerijatele. Cira anycast teenindab täna miljonit tsooni ja töötleb 4Gb liiklust.

Kanadas käivad arutelud riigi poolt tunnustatud keskse digi-rahakoti arendamise üle ning CIRA võib saada selle loomise ja haldamise au endale. Tegemist on ilmselt tasuta teenusega, mis tähendab CIRA jaoks aga uusi kulusid. Teema resoneerub ja ehk on ka inspireeritud Euroopa püüdlusest oma digikukru arenduses. Jätk üle-euroopalisele digi-ID projektile eIDAS. Projekti  on kaasatud hulk organisatsioone erasektorist ja sihiks on luua avatud standard, kuhu saaks taotleda liitumisõigust iga digitasku tootja. Meie oma eeID projektiga hetkel digi-rahakoti poole ei vaata, pigem on eesmärgiks hoolitseda selle eest, et oleksime standardsed ja kasutatav olulisemate rahakoti lahendustega.

Üks ehk huvitavamaid esitlusi oli pahavara peitmise ja maskeerimise teemal. Esitlus toimus PHP, kui kõige paindlikuma programmeerimiskeele, näitel ning selle käigus võeti ette jupp “kurja” koodi ning tehti seda samm-sammult üha raskemini tuvastatavaks. Pööre loosse saabus aga ühes ChatGPTga. Lahendused, mida see välja pakub on midagi, mida inimesed ei tee - inimloodud kood on fokuseeritud ja tõhus (alustad lõppeesmärgist ja töötad tagasi kuni eesmärk on saavutatud), robot kombineeris aga mitu programmi üheks ja peitis koodi mõttetu või tähelepanu kõrvale juhtiva koodijupi vahele. Head lahendust sellega võitlemiseks polegi - saad lülita PHP oma veebiserverist välja, kuid see lahendab  pahavara seotud probleemidest vaid 50%.

DNSSECi teemad keerlesid ümber automatiseerimise, eesmärgiga tõmmata ICANNi juhtkonna tähelepanu ja nügida ülddomeenide (gTLD) automatiseerimise regulatsiooni skoopi. Tähelepanu all oli autenditud DNSSEC võtme edastamine alamtsoonist tippdomeeni tsooni. DNSSEC on kõige paremini ja terviklikumalt juurutatud PKI süsteem internetis. See tagab autentsuse ehk info on pärit õigest allikast, see on korrektne ja muutmata. DNSSECil baseeruv DANE (DNS-based Authentication of Named Entities) võimaldab TLS sertifikaatide autentsuse detsentraliseeritud kontrolli DNSi abil. DANE on ka kõige enam kasutatud viis e-posti liikluse krüpteerimiseks. Värske ettepanekuna käis Kanada register välja idee kasutada DNSSECi digitaalse identiteedi usaldusregstrite (Digital Identity Trust Registries) autentimiseks. Selliseid usaldusregistreid on vaja näiteks ülepiirilisel identiteedikontrollil, et selgitada välja kust peaks Kanada politsei kontrollima Eesti juhiloa autentsust. Välja pakutud lahenduse nimeks on DANCE (DANE Authentication for Network Clients Everywhere) ja fookuses asjade internet (IoT) ning klientide autentimine.

Seni on jäänud mulje, et gTLDde maailm on ICANNi regulatsioonist tulenevalt ühetaoline, puudub innovatsioon ja eristutakse vaid marginalide, kasutajatoe ja turunduse poolest. Kuid päris nii see siiski pole - lisaks neile veel näiteks arveldamine, millal toimub (automaatne) pikendamine, kas on vaja registreerimise juurde selgitust toimingu kohta. See oli silmaringi laiendav “avastus”.

Huvitav kohtumine oli Mathew Zookiga - tegemist on Tartus doktoriõppe läbinud Ameerika andmeteadlasega, kes teeb palju tööd domeeni registritega, et analüüsida trende ja arenguid domeeni turul. Oleme palunud tal ka spetsiifilisemalt analüüsida .ee domeeni, kuid meie suurusest tingituna on andmeid liiga vähe, et teha olulisi järeldusi. Aga ta oli väga huvitatud õ.ee registreerimisest :) Oksjon tuleb! Zookiga arutasime ka hüpoteesi. et domeeni registreeringud võiksid olla eel-indikaator majanduse arengule - mõte tundus huvitav ja võib olla võimalus ka koostööks.

Zook tutvustas oma kõige värskemat ccTLD turu analüüsi. Esimene huvitav fakt - lausa 38 ccTLDd on juba käsitletavad ülddomeenidena. See tähendab, et neid ei juhita, hallata, ega turundata nagu riigitunnusega domeene .me, .io, .tv, .co, .cc jne. Kui need kõrvale jätta, selgus, et Euroopas on ccTLDde osakaal domeeni registreeringute turust oluliselt suurem võrreldes muu maailmaga (10 000 elaniku kohta 100 Euroopas vs alla 20 mujal).

Teine leid analüüsist oli, et domeeni registreeringute kasv hakkas pidurduma u 10 aastat tagasi, mis ühildub ajalisest uute gTLDde turule tulekuga. Ei saa öelda, et seal on põhjus-tagajärg seos, kuid korrelatsioon on olemas. Paari aasta pärast on tulemas uus ring - mis võib olla selle mõju? Saame teada hiljem.

Rootsi register jagas oma kogemusi soodukatega – 2021. aastani oli palju hinnakampaaniaid ja saavutati suur kasv. Peale seda sooviti aga näha, mis juhtub, kui kampaaniaid ei teha. Aasta hiljem otsustati, et hinnakampaaniaid enam ei tehtagi - kampaaniate tulemusel oli registris palju madala kvaliteediga registreeringuid, mida normaalhinnaga ei pikendata ja domeene ei kasutata sihtotstarbeliselt. See ei lähe kokku registri eesmärkide ja huvidega. Odavate domeenide puhul oli ka oluliselt rohkem kuritarvitame juhtumeid ja halva kvaliteediga registreerijate infot. Otsustati teha kannapööre ja tõsta esimese aasta registreeringu hinda, pikendamise hinda ei muudetud. Hinda tõsteti 20SEKi (umbes 1,7€) ning lisati registripidajatele võimalus saada hinnaalandust: kui registreerija tuvastati eID’ga, saadi 20SEKi soodustust ning kui registripidaja portfellis on üle 70% DNSSECiga kaitstud domeene, saadakse iga uue registreeringu puhul 20SEKi soodustust. Geniaalne!

Jätkuks Jamboreel räägitule arutasime rootslastega veel nende pilve teekonda. Miks pilve? Mitte niivõrd selleks, et säästa raha või vähendada personali, vaid et säästa aega ja suunata energia väärtuse loomisele registreerija jaoks. Aga on eeldus, et oma taristu haldusest saab enamuse, kui mitte kogu ressursi vabaks. See seab kahtluse alla idee jätta varukoopia süsteemist oma taristule. Jätkuvalt peab olema ressurss, et hallata oma servereid, kuid samal ajal tuleb õppida juurde ja panustada pilvesüsteemi haldusesse. Kokkuvõte juba CENTRi kohtumisel Belgia ja Rootsi registriga räägitust oli, et tõhususe vaatenurgast on pilv “kõik või mitte midagi” lahendus.

Huvitav kohtumine oli ka BitSightiga (https://www.bitsight.com/). Ettevõte tegeleb riskihindamisega Fortune 500 ettevõtetele. Uue ideena alustavad nad teenusega, mis võimaldab registritel ja registripidajatel suunata blokeeritavate domeenide liikluse tühjuse asemel kontrollitud “auku”, võimaldades koguda andmeid selle kohta, kust liiklus tuleb, profileerida ründajaid, analüüsida andmeid ning kui teenusega on liitunud piisav hulk registreid, pakkuda ka infot, mis võimaldaks ennetada teatud tüüpi ründeid.

Meil on kuritahtliku aktiivsust .ee tsoonis väga vähe - see on hea ja selle üle tasub uhkust tunda. Kuid samas ei tähenda, et teemaga ei peaks üldse tegelema. Meie suuruses registril pole ressurssi, et midagi sellist ise ehitada, kuid omal kohal oleksid ettevõtmised, nagu BitSight. Nad pakuvad teenust tasuta, andes lisaks üle ka analüüside tulemused. Miks nad seda teevad? Tasuta lõunaid pole - kui neil tekib piisav hulk sisendinfot, on seal väärtust, mida pakkuda tagasi äriklientidele nende riskide maandamiseks. Arvan, et see võiks olla lahendus, mida vähemalt arutada .ee registri, registripidajate ning Certiga.

Lõpetuseks murranguline tähelepanek – ccNSO ehk riigitunnusega registrite töögrupi liikmete hulgas läbi viidud uuringus (osales 44 ccTLDd) ei tuvastatud korrelatsiooni hinna ja DNSi kuritarvituste vahel. See on vastuolus senise levinud seisukohaga, et madalama hinnaga registrites on rohkem probleeme. Oleme selles alati kahelnud, sest võiks eeldada, et kui keegi valib kuritegeliku tee, siis peaks selle eest potentsiaalne saadav tulu olema piisav, et õigustada seotud riske. Kui paarikümne euro suurune hinnasilt on oluline mõjur, on selle plaaniga midagi valesti. Võib öelda, et määravateks näitajateks on siin eelkõige võimalus jääda anonüümseks ja teisalt ka tsooni suurus.