Читаем Домены. Все, что нужно знать о ключевом элементе Интернета полностью

Тем не менее изменения в правилах регистрации доменов RU вылились все же в вариант с отправкой электронных «сканов паспортов» регистраторам. То есть декларировалось проведение как бы «аутентификации» администратора домена, но в реальности использовалось просто другое представление данных. Раньше вводили вымышленные паспортные данные в веб-форму. Теперь нужно было нарисовать «скан». В Сети на специализированных форумах достаточно давно имелись предложения вида «нарисую сканы паспортов» и «программа для генерации сканов паспортов». Потому что, к сожалению, поддельные копии документов, удостоверяющих личность, используются в различных мошеннических схемах. С ужесточением правил регистрации доменов количество подобных предложений тут же возросло. Тем более что изготовление цифрового изображения паспорта анонимным «художником» не только сложно отследить, но и не так просто юридически классифицировать как подделку документа.

Интересно, что настоящие злоумышленники не используют совсем банальных, явно вымышленных персональных данных, даже если заполняют веб-форму. Напротив, берут или какие-то реальные данные, или данные, очень похожие на реальные, но сгенерированные по специальной базе. При генерации используются реальные фамилии, названия улиц, городов, номера домов и т. п. Такой подход очень давно известен и много лет назад был принят на вооружение кардерами (теми, кто специализируется на краже и подделке банковских карт). Понятно же, что вездесущие васи пупкины вызывают подозрение не только у сотрудников регистратора, просматривающих договоры.

Когда паспорт предъявляют лично, то можно сверить фото с «личностью» предъявителя (понятно, что паспорт может быть поддельным, но в случае с «физическим документом» это уже совсем иная история). Собственно, паспорт, как документ, именно для такого «физического» подтверждения личности по фото (по биометрическим данным) и придуман. Использование «сканов» для «якобы аутентификации», когда физически аутентифицируемый пользователь не присутствует рядом – старая, хорошо известная дыра в системах безопасности.

Конечно, злоумышленник, планирующий нарушать закон с использованием домена, имеет и технические навыки, и готовность прислать какой-нибудь там «скан». При этом удачно «приславший скан» администратор домена получает в системе новый статус: «идентифицированный администратор». А такой статус, конечно, добавляет некоторой «надежности» персональным данным, полученным с подтверждением «сканом». На самом же деле надежность эта чисто мнимая: процедура аутентификации никак не изменилась: как присылал кто-то неизвестно откуда какие-то данные по Интернету, так и присылает кто-то что-то, но в новом формате файлов. А вот статус изменился, и администраторы в интерфейсах управления клиентской информацией вдруг «раскрасились в разный цвет». Для системы безопасности это очень плохо, потому что добавляет ложной уверенности тем, кто с данными работает.

При этом многие и многие добросовестные пользователи и так указывали верные данные, потому что пользователи опасаются проблем с потерей домена в случае возникновения спорной ситуации. В отличие от злоумышленника, добросовестному пользователю домен реально нужен в долговременное пользование для легального проекта, ну, раз он этот домен регистрирует. И вот эти добросовестные пользователи, администраторы доменов, по новым правилам должны направо и налево рассылать «сканы» своих паспортов, часто по

открытым сетям. Например, регистраторами предлагается отправлять «скан» по электронной почте! Где потом всплывут копии «скана»? Кто знает? Остроты добавляет то, что данный «скан», сохраненный на почтовом сервере (или на локальном диске компьютера, давно зараженного трояном), уже был использован именно для регистрации домена Получается вдвойне доверенный «скан»!