Threats to the DNS have been around for many years, and ICANN has served as a forum for bringing the Internet community together. An entire international public meeting was dedicated to “Security and Stability of the Internet Naming and Address Allocation Systems” in November 2001. The Security and Stability Advisory Committee was formed in 2002. Each ICANN public meeting since 2006 has included a tech day for the ccTLD community, and recent meetings have included dedicated sessions on DNSSEC and abuse of the DNS. We’ve supported annual contingency exercises since 2008, and we are planning a DNS Operations and L-root exercise for early 2011.

The Security team recently completed a 53-day comment period on the FY 11 Update to the SSR Plan (including several outreach and briefing sessions). The At Large, global business, TLD operations and academic research communities all contributed. A summary and analysis of comments is available at http://forum.icann.org/lists/ssr-plan-fy11/msg00008.html, and we will soon post a version of the Plan showing how comments were incorporated, along with an updated clean version.

As part of our effort to strengthen and improve the security, stability and continuity of ICANN internal operations, consistent with the 2010-13 Strategic Plan, the Security and Information Technology teams formalized internal incident response practices in September 2010. The ICANN Computer Incident Response Team is intended to be the primary responder in handling internal ICANN organizational information security incidents, and detail on this team is posted on our website at http://www.icann.org/en/cirt/.

In establishing an internal CIRT, ICANN is following best practices set by other operators of Internet infrastructure. Many entities have them in place, including the US National Institute for Standards and Technology (NIST), Microsoft, Neustar, VeriSign, Symantec, Juniper, Packet Clearing House, Skype, Yahoo, Google, Apple Computer, AT&T, the National Institutes of Health, universities and others.

The FY 11 Operating Plan noted that we would put an emphasis on hardening ICANN’s infrastructure and internal security efforts. This included:

• Ensuring annual updating of ICANN security plans and monitoring effective implementation of security controls and procedures;
• Ensuring ICANN security staff has strong skills and appropriate tools and is current with security threats and best practices.

Our FY 11 SSR Plan stated: “Specific initiatives underway in 2010 to improve ICANN’s security posture include improvements to logical and physical access controls, change management, logging/auditing and data backup procedures, security awareness training for staff, building incident response capabilities and improvements to mobile device security.” The formation of an internal incident response team demonstrates these plans are being put into action.

We understand there has been some confusion about whether the internal CIRT is related to the DNS-CERT initiative. The CIRT is not the foundation for a DNS-CERT. ICANN stated very clearly in Brussels, and in the summary and analysis of comments on the Security Strategic Initiatives and DNS-CERT Business Case in May 2010, that ICANN was not taking steps to operate a DNS-CERT.

ICANN supports the Joint DNS Security and Stability Analysis (DSSA) Working Group and other community efforts to develop a proposal on where a DNS-CERT, or collaborative response capability, might be housed and financially supported. The first proposal for an entity to support DNS related operations when DNS incidents occur was by DNS-OARC in 2002 (see http://www.isc.org/community/blog/201003/perspectives-dns-cert). Unfortunately, the needs identified at that time and recognized again in the DNS-CERT Business Case have not yet been addressed. ICANN staff very much hope to receive support and guidance from the community on this matter.

ICANN wants to collaborate with the community to identify threats and risks to the DNS, and to facilitate efforts to bring the Security community, the DNS operations community and users of the DNS together to improve overall DNS security, stability and resiliency. The DSSA Working Group is finalizing a charter, led by representatives from the At Large Advisory Committee, Country Code Names Supporting Organization, Generic Names Supporting Organization and Number Resource Organization. Independent experts from the security and infrastructure operations community are likely to be included in this effort.

ICANN continues to regularize root key signing operations for DNSSEC in partnership with VeriSign and with the support of the Internet community. ICANN conducted the third DNSSEC Key Signing Ceremony on 1 November 2010 in Culpeper, Virginia. A growing number of registry operators are implementing DNSSEC in TLD zones, including recent adoption in Finland, India, and in the Caribbean ccTLDs for Antigua and Barbuda, Belize, Honduras, St. Lucia, and St. Vincent and the Grenadines. VeriSign has announced its progress on implementing DNSSEC in .NET and .COM, and ICANN anticipates this will accelerate the adoption of this security enhancement by other registries and registrars, for the benefit of Internet users. Large ISPs such as Comcast are announcing DNSSEC implementation initiatives, and this is a very positive step.

Under the Affirmation of Commitments, we are supporting the efforts of the Security, Stability and Resiliency Review Team (http://www.icann.org/en/reviews/affirmation/review-2-en.htm), which will conduct its first face-to-face meeting in Cartagena. This is a strong group of volunteers from across the global Internet community and we stand ready to facilitate their work.

We’re continuing to support DNS capacity building initiatives in partnership with the Network Startup Resource Center and the Internet Society. Successful training sessions have been conducted since the Brussels meeting in Mali for AfTLD and Guatamala for LACTLD. A training session was held on 2-6 November 2010 in Amman, Jordan, for APTLD.

This is a just sampling of our current activities. Security team staff will be in Cartagena and available to discuss the initiatives underway for FY 11. We welcome your suggestions and input. For more information, see http://www.icann.org/en/security/.

Patrick Jones
Senior Manager of Continuity & Risk Management
ICANN

حضر عدد من أعضاء ICANN  مؤتمري Black Hat وDefcon الأسبوع الماضي بهدف طرح DNSSEC أمام مجتمع أمن الإنترنت العالمي.

يعتبر Black Hat أحد المؤتمرات الرئيسية في العالم حول الأمن؛ والتي تجتذب نحو من 5,000 مشارك في الموقع والعديد عبر الإنترنت. أما Defcon فهو أحد المؤتمرات التي تدور حول القراصنة، كما قد حضره ممثلون من الحكومة والأمن، وما يقرب من 10,000 شخص مسجلين لمؤتمر هذا العام. وتلك بمثابة مجتمعات مهمة بالنسبة لـ ICANN .

وقد ألقى جيف موس رئيس Black Hat كلمته أمام آلاف المشاركين في الجلسة الافتتاحية، وطرح إحدى المسائل الهامة. حيث قال بأن مسألة الأمن على مدار تاريخ Black Hat الذي يعود إلى 13 عاماً قد تم بحثها ومناقشتها، ولكن ما هو التقدم الذي تم إحرازه؟ ما هو النجاح الحقيقي الذي يمكننا الاحتفاء به؟ يعتبر النمو في حركة مرور البيانات الضارة على الويب أعلى من النمو في حركة مرور البيانات المشروعة. وأكد قائلاً بأن مجتمع أمن الإنترنت لم يكن لديه إنجاز ملموس لإظهار جهودنا – حتى اليوم. ويجري حاليًا إطلاق DNSSEC ، وقبل أيام فقط تم التوقيع على تشفير جذر الإنترنت. وهذا هو أول تعزيز لأمن الإنترنت الرئيسي منذ بداية Black Hat ، ونحن إذاك، نتقدم بالشكر إلى ICANN على هذا الإنجاز.

وهذا ما يمهد الطريق أما تحقيق نجاحات أخرى، والتي تشمل:

خطاب وايت ديفي في الدورة التنفيذية Black Hat

شارك ما يقرب من ثمانين من كبار قادة الحكومات والشركات في برنامج خاص استغرق يومًا واحدًا قبل بدء مؤتمر Black Hat رسمياً. وكان وايت ديفي، نائب الرئيس الجديد لـ ICANN لتشفير وأمن المعلومات، المتكلم الرئيسي والذي أثر كثيراً على الجمهور، وشهد له الكثير بسمعته العالمية باعتباره رائد ومؤسس التشفير.

هيئة ضعف DNS في مؤتمر Black Hat

حظي هذا الحدث بحضور كبير وتركيز كلي على كيفية نشر وتطبيق DNSSEC بنجاح على جميع المستويات. وشملت المناقشة المثيرة كلاً من وايت ديفي؛ وساندي ويلبورن، مسئول التكنولوجيا الأول في نومينيام؛ وكين سيلفا، مسئول التكنولوجيا الأول في فيريساين؛ ومارك ثرفورد، الرئيس السابق لأمن المعلومات بولاية كاليفورنيا، والتي قامت بتنفيذ DNSSEC ؛ ودان كامينسكي، كبير العلماء في شركة Recursion Ventures وأحد ناشطي DNS ؛ وأنا.

المؤتمر الصحفي المعلن عن إطلاق DNSSEC ، مع ربط متابعة مباشرة لاجتماع IETF في ماستريخت

شهد المؤتمر الصحفي حضورًا جيدًا من قبل وسائل الإعلام في العالم، سواء من الناحية التقنية والاتجاه السائد. روس هاوسلي، رئيس فرقة عمل هندسة الإنترنت من خلال ربط الفيديو مع مارك ماكلولين، الرئيس التنفيذي لشركة فيريساين، ودان كامينسكي. وقد قدم روس شرحًا مفصلاً ومتميزًا لمسائل عديدة، وكانت مشاركته بمثابة تعزيز كبير للمؤتمر الصحفي. وقد نشرت العشرات من المقالات حول DNSSEC، بما في ذلك مقال وكالة فرانس التي تم انتقاؤها من قبل وسائل الإعلام في جميع أنحاء العالم والأخبار في مجلة ناشونال جورنال، سي، سي بي اس نيوز وايه بي سي نيوز. للحصول على جوهر التغطية الإعلامية، الرجاء مراجعة:
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

جلسة كامينسكي Black Hat حول كيفية تنفيذ DNSSEC للتصفح والبريد الإلكتروني والمواقع

احتشد أكثر من 1,000 شخص للاستماع إلى دان وهو يطرح مجموعة من الأدوات التي يمكن توقيع تشفيرها بسرعة وسهولة لأي موقع. على الرغم من بداية تشككه بشأن DNSSEC ، أكد دان أنه كان على خطأ وهو الآن مؤمن كبيرً. وقد حث الجميع في هذا المجال على تنفيذ هذه التكنولوجيا الهامة. كما عرض إصدارًا خاصًا من متصفح جوجل كروم ذات خاصية تمكين DNSSEC الكاملة، فضلاً عن الأدوات التي أوجدها لإضافة DNSSEC إلى متصفح الإنترنت ومتصفح موزيلا فايرفوكس. ومن ثم تشغيله من خلال بريد إلكتروني مزود بإمكانية DNSSEC كما أعلن أنه سينشر التعليمات البرمجية بحيث يمكن إرسال واستلام البريد الإلكتروني المحمي بـ DNSSEC من خلال برنامج مايكروسوفت أوتلوك. وذهل الحشد من ذلك الأمر.

هيئة ضعف DNS في مؤتمر Defcon

شملت هذه الهيئة ريك لامب وآكسين محمت أكين من مؤسسة ICANN ، وساندي ويلبورن من مؤسسة نومينيام، وكين سيلفا من شركة فيريساين ودان كامينسكي، وقد حضرها نحو 800 شخص. وقال محمت أنها كانت جلسة تفاعلية وبناءة مع مشاركة كبيرة من الجمهور.

النجاحات والدروس المستفادة

أوضح مستوى المشاركة المرتفع والاهتمام الكبير بـ DNSSEC في ICANN أن هذان الحدثان قد ساعدا في نقطة البدء والدفع طويل الأجل لاعتماد عالمي لـ DNSSEC .

وكان للهيئات والعروض التقديمية أثر كبير في تعزيز DNSSEC . ويبقى أهم درس من تجربة ICANN في مؤتمري Black Hat وDefcon أحد الفلسفات التي تحدد لنا: أعمال التعاون. أوضحنا أن لكل فرد دورًا في تعزيز أمن شبكة الإنترنت العالمية، وعلى ذلك فقد دعونا الجميع ليكونوا جزءًا من الحل. وقال العديد من المشاركين أنهم سيعملون على الدفع بـ ccTLDS ، وبشركاتهم الخاصة وشركات البرمجيات لتعزيز عروض منتجاتها للاستفادة من DNSSEC . وفهم المشاركون بوضوح أن نقطة ارتكاز الثقة الأساسية هذه هي بمثابة الأساس لمزيد من التعزيزات الأمنية العالمية.

كما ساعدت مشاركة ICANN الرسمية الأولى في مؤتمري Black Hat وDefcon ، مع العديد كبار مسئولي مجتمعات الأمن القومي بالولايات المتحدة والحكومات الأخرى التي حضرت، في وضع ICANN في مكانة اللاعب المهم بالنسبة لأمن شبكة الإنترنت العالمية. وأعتقد أن الإنجاز الأكبر يتمثل في النية الحسنة التي تشكلت مع مجتمع الأمن العالمي والحكومات التي تعمل معها.

أتوجه بالشكر مرة أخرى للجميع في فريق عمل هندسة الإنترنت لدعم DNSSEC منذ الأيام الأولى. ولم يكن ليحدث ذلك ويتحقق من دون التزامها التام.

Black Hat 是世界上最重要的安全会议之一，它吸引了大约 5000 名现场参与者以及更多的在线参与者。Defcon 是一个黑客参加的活动，同时也有政府与安全领域的人员参与，有近 10000 人登记参加了今年的会议。这些都是 ICANN 非常重视的群体。

Black Hat 主席 Jeff Moss 在开幕式上向数千名与会者发表讲话，并提出了一个具有挑战性的问题。在 Black Hat 的 13 年历史中，与会者们一直在对安全问题进行讨论与争议，但我们取得了哪些进展？我们获得了哪些有实际意义的成就？网络上恶意流量的增长远高于合法流量的增长。他认为直到现在，互联网安全社群一直都无法拿出实质性的成果的来证明我们的努力。但现在 DNSSEC 正在启动，而且就在几天前互联网的根域经过了加密签名。这是自首届 Black Hat 以来互联网安全第一次得到显著的提升，我们要感谢 ICANN 能够取得这一成绩。

这也为取得其它成功确立了基调，包括：

Whit Diffie 在 Black Hat 执行会议中的主题演讲

80 名来自政府和企业的高层领导人在 Black Hat 正式开始的前一天出席了一个为期一天的单独项目。ICANN 负责“信息安全与密码”的新副总裁 Whit Diffie 是该项目的午餐会主题发言人。他给与会者留下了深刻的印象，许多人都知道他作为一流译解密码员的世界级声誉。

Black Hat DNS 漏洞专家小组

这次活动出席者甚众，且重点完全集中于如何在所有级别上成功部署 DNSSEC。这一热烈讨论的参与者包括 Whit Diffie；Nominum 的 CTO Sandy Wilbourn；VeriSign 的 CTO Ken Silva；加利福尼亚州（已实施 DNSSEC）前首席信息安全官 Mark Weatherford；Recursion Ventures 首席科学家和 DNS 活动家 Dan Kaminsky；以及我。

在新闻发布会上推出了 DNSSEC，并与位于马斯特里赫特的 IETF 会议现场连线

此次新闻发布会广受世界媒体参与，包括技术与主流媒体。互联网工程任务组主席 Russ Housely 通过视频链接参加了发布会，此外 VeriSign 的 CEO Mark McLaughlin 以及 Dan Kaminsky 也出席了发布会。Russ 对诸多问题提供了极其详细的解释，由于他的出席，此次新闻发布会的影响大大增强。目前已出现多篇有关 DNSSEC 的文章，其中包括被多家媒体转发的法新社文章，以及 National Journal、MSNBC、CBS News 以及 ABC News 所发表的报导。要了解新闻报道的详细信息，请通过以下链接查看：
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

在 Black Hat 上，Kaminsky 就如何将 DNSSEC 应用于浏览，电子邮件与网站发表讲话

有超过 1000 人观看了 Dan 所展示的一套可快速、方便地加密签署任何网站的工具。Dan 最初对 DNSSEC 表示了怀疑，但他现在已是它最忠实的信徒。他呼吁每位业内人士都应实施这一重要的技术。他展示了一款完全启用了 DNSSEC 的非公开版 Google Chrome 浏览器，以及他创建的用来将 DNSSEC 添加到 Internet Explorer 与 Mozilla Firefox 浏览器的工具。他还展示了启用 DNSSEC 的电子邮件，并宣布将发布代码以便使受 DNSSEC 保护的电子邮件能够通过 Microsoft Outlook 发送与接收。现场参与者一片轰动。

Defcon DNS 漏洞专家小组

这个小组包括 ICANN 的 Rick Lamb 与 Mehmet Akcin，Nominum 的 Sandy Wilbourn，VeriSign 的 Ken Silva 与 Dan Kaminsky 等，与会人数约 800 人。Mehmet 报告说，这是一个高度互动性并且极富建设性的会议，他们从与会者处得到了可观的收获。

成功和经验教训

参与者对 DNSSEC 的高度认识以及对 ICANN 的浓厚兴趣表明，这两项活动已经对长期推动 DNSSEC 的普遍应用起到了很大作用。

这些小组讨论与展示活动在推动 DNSSEC 方面具有重大影响。在 Black Hat 与 Defcon 上 ICANN 想要传达的最重要的一点，同时也是我们最基本的理念之一：团结合作才能成功。我们希望大家能够清楚地认识到，每个人在增强全球互联网安全方面都应当起到作用，并且我们邀请每个人都成为解决方案的一分子。许多与会者表示，他们将推动其国家代码顶级域名 (ccTLDS)、自己的公司以及软件公司，来提高他们的产品对 DNSSEC 的运用。与会者清楚地知道，这样一个真正集中化的信任机制的构建，将成为进一步增强全球安全的基础。

这是 ICANN 首次正式参与有美国和其它政府的国家安全领域高级官员出席的 Black Hat 与 Defcon。这有助于提高 ICANN 在全球互联网安全方面所扮演角色的重要性。我认为在这两个会议上，我们取得最大的成就是同全球安全社群以及与其协同工作的政府建立起了友好的关系。

再次特别感谢一直以来支持 DNSSEC 的互联网工程任务组的所有人员。没有他们不懈的努力，就不可能有今天的成功。

Black Hat является одной из главных всемирных конференций по вопросам безопасности, на которой лично присутствует свыше 5 000 участников, и еще большое их число использует средства удаленного участия. Defcon является мероприятием хакеров, на котором также присутствуют представители правительственных органов и служб безопасности. В этом году для участия в конференции зарегистрировалось почти 10 000 человек. Эти сообщества важны для ICANN.

Председатель Black Hat Джефф Мосс (Jeff Moss) обратился к тысячам участников на церемонии открытия и задал каверзный вопрос. Вопросы безопасности обсуждались на конференции Black Hat в течение всей ее 13‑летней истории, но какого прогресса мы достигли? Какие реальные успехи мы можем торжественно отметить? Вредоносный трафик в сети растет интенсивнее законного трафика. У сообщества, занимающегося решением вопросов безопасности Интернета, — сказал он, — до сих пор нет уверенных достижений, свидетельствующих о продуктивности его усилий. В настоящее время начато внедрение технологии DNSSEC, и всего несколько дней тому назад корневая зона Интернета получила криптографическую подпись. Это первое крупное усовершенствование системы безопасности Интернета с начала проведения Black Hat, и мы благодарны ICANN за это достижение.

Оно задает тон другим успехам, в числе которых можно назвать следующие.

Программный доклад Уита Диффи (Whit Diffie) на закрытом заседании Black Hat

Восемьдесят руководителей высшего звена из правительств и корпораций приняли участие в закрытой однодневной программе за день до официального начала конференции Black Hat. Уит Диффи, новый вице-президент ICANN по вопросам информационной безопасности и криптографии, выступил с программной речью во время официального завтрака и произвел огромное впечатление на аудиторию, значительная часть которой знала о его мировой репутации прогрессивного специалиста по криптографии.

Семинар Black Hat по вопросам уязвимости DNS

На этом мероприятии, целиком посвященном успешному развертыванию DNSSEC на всех уровнях, присутствовало большое количество участников. В оживленном обсуждении принимали участие Уит Диффи; Сэнди Уилборн (Sandy Wilbourn), главный технический директор Nominum; Кен Силва (Ken Silva), главный технический директор VeriSign; Марк Уезерфорд (Mark Weatherford), бывший руководитель службы информационной безопасности штата Калифорния, занимавшийся внедрением DNSSEC; Дэн Каминский (Dan Kaminsky), главный научный советник Recursion Ventures и активист DNS; а также я.

Пресс-конференция, посвященная запуску DNSSEC, с подключением в прямом эфире к совещанию Комиссии по технологиям Интернета (IETF) в Маастрихте.

Н этой пресс-конференции присутствовали многочисленные представители мировых средств массовой информации, как технических, так и основных. Расс Хаусли (Russ Housely), председатель Комиссии по технологиям Интернета, присоединился к конференции по видеосвязи, наряду с Марком Мак-Лауглином (Mark McLaughlin), генеральным директором VeriSign, и Дэном Камински. Расс представил отличные подробные пояснения в ответ на многочисленные вопросы, и эта пресс-конференция существенно выиграла от его участия. Появились десятки статей о DNSSEC, включая статью агентства Франс-Пресс, которая была распространена информационными агентствами по всему миру, и сообщения в National Journal, MSNBC, CBS News и ABC News. Чтобы понять масштабы освещения этого события, воспользуйтесь следующей ссылкой: http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

Заседание Black Hat по вопросам внедрения DNSSEC для просмотра ресурсов, электронной почты и веб-сайтов, проведенное Камински

Свыше 1 000 человек собрались в аудитории, чтобы выслушать проведенную Дэном презентацию набора средств, позволяющих быстро и без труда создать криптографическую подпись для любого веб-сайта. Хотя Дэн вначале скептически относился к DNSSEC, он публично признал свою ошибку и заявил, что теперь является убежденным сторонником этой концепции. Он призвал всех участников отрасли к внедрению этой важной технологии. Дэн продемонстрировал неофициальную версию браузера Google Chrome, полностью совместимую с DNSSEC, а также созданные им средства добавления технологии DNSSEC в браузеры Internet Explorer и Mozilla Firefox. В конце выступления он продемонстрировал электронную почту, совместимую с DNSSEC, и объявил о своих планах опубликовать код, позволяющий отправлять и получать защищенную DNSSEC электронную почту через Microsoft Outlook. Присутствующие пришли в восторг.

Семинар Defcon по вопросам уязвимости DNS

В этом семинаре, на котором присутствовало около 800 человек, приняли участие представители ICANN Рик Лэмб (Rick Lamb) и Мехмет Аксин (Mehmet Akcin), представитель Nominum Сэнди Уилборн (Sandy Wilbourn) и представители VeriSign Кен Силва (Ken Silva) и Дэн Камински. По словам Мехмета, это был конструктивный семинар, основанный на диалоге, в работу которого внесла значительный вклад аудитория.

Успехи и извлеченные уроки

Высокий уровень интереса участников к DNSSEC и ICANN демонстрирует, что эти два мероприятия способствовали сильному первому рывку в направлении долгосрочного и всеобщего признания DNSSEC.

Семинары и презентации оказали существенное влияние на продвижение технологии DNSSEC. Наиболее важным уроком, который ICANN извлекла из участия в Black Hat и Defcon, остается одна из наших основополагающих концепций: совместная работа дает плоды. Мы ясно дали понять, что каждый играет свою роль в повышении безопасности всемирного Интернета, и мы пригласили всех принять участие в решении этой задачи. Многие участники заявили о намерении способствовать использованию своими нДВУ, компаниями и организациями, занимающимися разработкой ПО, возможностей DNSSEC, чтобы повысить качество предлагаемой продукции. Участники конференций смогли четко понять, что эта первая действительно централизованная точка доверия является основой дальнейшего повышения глобальной безопасности.

Первое официальное участие ICANN в работе Black Hat и Defcon, наряду с участием многих высокопоставленных должностных лиц национальных сообществ США и правительств других стран, занимающихся решением вопросов безопасности, также помогло позиционировать ICANN как важного игрока в области глобальной безопасности Интернета. Я считаю, что самым главным нашим достижением было приобретение хорошей репутации в глазах мирового сообщества, занимающегося решением вопросов безопасности, и правительств, с которыми оно сотрудничает.

И я хочу вновь выразить особую благодарность всем в Комиссии по технологиям Интернета за поддержку, оказываемую технологии DNSSEC с самого начала. Без этой твердой приверженности внедрение данной технологии было бы невозможным.

"Black Hat" es una de las conferencias principales de seguridad; atrae a unos 5.000 participantes en persona y a muchos más en línea. "Defcon" es un evento acerca de piratas informáticos, también visitado por personal del gobierno y de seguridad y con alrededor de 10.000 personas registradas para la conferencia de este año. Estas son comunidades importantes para ICANN.

Jeff Moss, el director de "Black Hat", se dirigió a miles de participantes en la sesión inaugural e hizo una pregunta desafiante.  Se ha discutido y debatido la seguridad a lo largo de los 13 años de historia del "Black Hat", sin embargo ¿cuánto es lo que hemos avanzado? ¿Qué triunfo verdadero podemos festejar?  El crecimiento del tráfico maligno en la web es mayor que el crecimiento de tráfico legítimo. La comunidad de seguridad de Internet, dijo, no ha obtenido ningún logro substancial como para demostrar sus esfuerzos, hasta ahora.  Hoy estamos lanzando la DNSSEC, y hace apenas unos días la raíz de Internet fue firmada criptográficamente. Esta es la primera gran mejora en la seguridad de Internet desde el comienzo de "Black Hat" y le agradecemos a ICANN por este logro.

Esto marca las pautas para el triunfo, incluyendo:

Comentario principal de Whit Diffie en la sesión ejecutiva de "Black Hat"

Ochenta de los mayores líderes de gobiernos y empresas participaron en un programa exclusivo de un día el día anterior al comienzo oficial de "Black Hat".  Whit Diffie, el Nuevo vicepresidente de seguridad de la información y criptografía de ICANN, fue el orador principal e impresionó enormemente a la audiencia, muchos de los cuales conocía su reputación global como un criptógrafo de vanguardia.

Panel de vulnerabilidad de DNS de "Black Hat"

El evento tuvo buena asistencia y se concentró completamente en cómo implementar la DNSSEC exitosamente en todos los niveles. La animada discusión incluyó a Whit Diffie; Sandy Wilbourn, director de tecnología de Nominum; Ken Silva, director de tecnología de VeriSign; Mark Weatherford, ex director de seguridad de la información del estado de California, quien implementó DNSSEC; Dan Kaminsky, jefe de ciencias de Recursion Ventures y activista de DNS y a mí. 

Conferencia de prensa del lanzamiento de la DNSSEC, con una conexión en directo a la reunión de la IETF en Maastricht

La conferencia de prensa fue bien atendida por la prensa mundial, técnica y en general. Russ Housely, director del grupo de trabajo en ingeniería de Internet se sumó mediante un enlace de video junto a Mark McLaughlin, director general ejecutivo de VeriSign y a Dan Kaminsky.  Russ brindó explicaciones detalladas excelentes a muchas de las preguntas y la conferencia de prensa mejorada en general gracias a su participación.  Han aparecido decenas de artículos acerca de la DNSSEC, incluyendo un artículo de la Agence France Presse que ha sido escogido por los medios de todo el mundo y artículos en el National Journal, MSNBC, CBS News y ABC News. Para darse una idea de la cobertura, visite: http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

Sesión Kaminsky de "Black Hat" acerca de cómo implementar la DNSSEC para navegar, correo electrónico y sitios web

Más de 1.000 personas se reunieron para oír a Dan presentando un juego de herramientas que pueden firmar criptográficamente cualquier sitio web de forma rápida y sencilla. Inicialmente no muy convencido acerca de la DNSSEC, Dan declaró que estuvo equivocado y ahora es un ferviente seguidor. Les pidió a todos los miembros de la industria que implementen esta importante tecnología. Mostró una versión privada del navegador Google Chrome que es completamente compatible con DNSSEC, junto con las herramientas que ha creado para agregarle DNSSEC a los navegadores Internet Explorer y Mozilla Firefox. Coronó todo esto con una demostración de correo electrónico compatible con DNSSEC y anunció que publicará el código para que los correos electrónicos protegidos con DNSSEC se puedan enviar y recibir usando Microsoft Outlook.  La audiencia quedó impresionada. 

Panel de vulnerabilidad de DNS de "Defcon"

Este panel incluyó a Rick Lamb y Mehmet Akcin de ICANN, Sandy Wilbourn de Nominum, Ken Silva y Dan Kaminsky de VeriSign y fue atendido por más de 800 personas. Mehmet reporta que fue una sesión interactiva y constructiva con mucha participación de la audiencia.

Éxitos y lecciones aprendidas

El alto nivel de compromiso de los participantes con DNSSEC y el interés en ICANN demuestra que esos dos eventos ayudaron a iniciar el lanzamiento a largo plazo para la adopción universal de la DNSSEC.  

Los paneles y presentaciones tuvieron un impacto importante en promover la DNSSEC.  La lección más importante de la experiencia de ICANN en "Black Hat" y "Defcon" sigue siendo una de nuestras filosofías básicas: la colaboración funciona. Hemos puesto en claro que todos tienen un papel en la mejora de la seguridad del Internet global y hemos invitado a todos para que sean parte de la solución. Muchos participantes dijeron que impulsarán sus ccTLDS, sus propias empresas y las de software para que mejoren sus productos para impulsar la DNSSEC. Los participantes claramente entendieron que este punto verdaderamente centralizado de confianza es la base para las futuras mejoras globales en seguridad. 

La primera participación formal de ICANN en "Black Hat" y Defcon" con la asistencia de muchos funcionarios superiores de comités de seguridad nacional de los Estados Unidos y otros gobiernos, también ayudó a colocar a ICANN como un participante importante en la seguridad global de Internet.   Yo creo que nuestro mayor logro fue la buena voluntad que hemos creado con la comunidad de seguridad global y de los gobiernos con los que trabajan. 

Y un agradecimiento especial nuevamente para el grupo de trabajo de ingeniería de Internet por dirigir la DNSSEC desde el principio.  No lo hubiéramos logrado sin su incuestionable compromiso.

Black Hat est l’une des principales conférences de sécurité au monde, et attire environ 5 000 participants sur place et de nombreux autres en ligne. Defcon est un événement relatif aux hackers, auquel participent également des entités gouvernementales et de sécurité. Près de 10 000 personnes étaient inscrites à l’événement de cette année. Ce sont là des communautés d’importance pour ICANN.

Le président de Black Hat, Jeff Moss, s’est adressé à des milliers de participants lors de la session d’ouverture, et a posé une question audacieuse. On parle de la sécurité et on en débat depuis le début de l’histoire de Black Hat, il y a 13 ans, mais quels progrès avons-nous réellement réalisés ? De quelles véritables réussites pouvons-nous être fiers ? La croissance du trafic malveillant sur le Net est bien supérieure à celle du trafic légitime. La communauté de sécurité d’Internet, a-t-il déclaré, n’a, jusqu’à ce jour, aucune réalisation concrète d’envergure à montrer en compensation de nos efforts. Le lancement du DNSSEC a lieu aujourd’hui, alors qu’il y a quelques jours seulement les racines d’Internet étaient cryptées. C’est là la première amélioration conséquente en matière de sécurité d’Internet depuis les débuts de Black Hat, et nous pouvons en remercier ICANN.

Cette réalisation a donné le ton à d’autres réussites, dont:

Le discours d’introduction de Whit Diffie lors de la session exécutive

Quatre-vingt leaders de gouvernements et de multinationales ont participé à un programme exclusif d’une journée, la veille de l’inauguration de Black Hat. Whit Diffie, vice-président de la sécurité de l’information et de la cryptographie d’ICANN, principal intervenant lors du déjeuner, a grandement impressionné les auditeurs, dont bon nombre connaissait sa réputation internationale de cryptographe pionnier.

Le panel vulnérabilité DNS de Black Hat

La participation a été importante lors de l’événement, qui a entièrement porté sur la manière de réussir un déploiement du DNSSEC à tous les niveaux. La discussion animée a inclus Whit Diffie ; Sandy Wilbourn, directeur de la technologie chez Nominum ; Ken Silva, directeur de la technologie chez VeriSign ; Mark Weatherford, ancien officier en chef de la sécurité de l’information de l’Etat de Californie, qui a déployé le DNSSEC ; Dan Kaminsky, scientifique en chef chez Recursion Ventures, un activiste du DNS, et moi.

Conférence de presse pour le lancement du DNSSEC, avec une intervention en direct dans la réunion de l’IETF à Maastricht

La conférence de presse a été bien suivie par les médias internationaux, à la fois techniques et généraux. Russ Housely, président de l’Internet Engineering Task Force, a été contacté par vidéo, ainsi que Mark McLaughlin, P.d.-g. de VeriSign et Dan Kaminsky. Russ nous a fourni d’excellentes explications détaillées en réponse aux nombreuses questions, et le niveau de la conférence de presse a été grandement rehaussé du fait de sa participation. Des douzaines d’articles à propos du DNSSEC ont été publiés, y compris un article de l’Agence France Presse qui a été repris par les agences de presse internationales, ainsi que des papiers dans le National Journal, sur MSNBC, CBS News et ABC News. Pour se rendre compte de la couverture médiatique, on peut visiter la page:
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

La session de Kaminsky à Black Hat sur la manière de mettre le DNSSEC en application pour la navigation sur Internet, les courriels et les sites Web

Plus de 1 000 personnes se sont pressées pour écouter Dan présenter une série d’outils qui peuvent rapidement et aisément signer cryptographiquement tout site Internet. Bien qu’ayant initialement douté de la nécessité du DNSSEC, Dan a déclaré qu’il avait eu tort et qu’il y croit maintenant fermement. Il a incité toutes les personnes impliquées dans l’industrie à mettre en œuvre cette technologie importante. Il a montré aux personnes présentes une version privée du navigateur Google Chrome qui est entièrement équipée du DNSSEC, ainsi que des outils qu’il a créés pour ajouter le DNSSEC aux navigateurs Internet Explorer et Mozilla Firefox. Dan a conclu en faisant une démonstration de courriel paramétré avec le DNSSEC et a annoncé qu’il posterait le code permettant au courriel envoyé et reçu sur Microsoft Outlook d’être protégé par le DNSSEC. Le public était bluffé.

Le panel vulnérabilité DNS de Defcon

Ce panel incluait Rick Lamb et Mehmet Akcin d’ICANN, Sandy Wilbourn de Nominum, Ken Silva de VeriSign et Dan Kaminsky. Environ 800 personnes participaient à l’événement. Mehmet a rapporté que la session avait été interactive et constructive, et que le public avait bien participé.

Réussites et leçons apprises

Le haut niveau d’implication des participants à propos du DNSSEC et leur intérêt pour ICANN démontrent que ces deux événements ont contribué à propulser les efforts de long terme en faveur de l’adoption universelle du DNSSEC.

Les panels et les présentations ont grandement contribué à promouvoir le DNSSEC. La leçon la plus importante à tirer de l’expérience d’ICANN à Black Hat et à Defcon demeure l’une des nos philosophies de travail: la collaboration est efficace. Nous avons clairement fait comprendre que tout le monde a un rôle à jouer pour améliorer la sécurité internationale d’Internet, et avons convié les participants à prendre part à la solution. Nombre de participants ont annoncé qu’ils inciteraient leurs domaines géographiques Internet, leurs propres sociétés et les sociétés de logiciel à améliorer leurs offres de produits pour promouvoir le DNSSEC. Les participants ont bien compris que cette première ancre centralisée de confiance constitue la fondation des améliorations de sécurité globale à venir.

La première participation officielle d’ICANN à Black Hat et à Defcon, avec la présence de nombreux cadres officiels des communautés nationales de sécurité américaines et d’autres membres de gouvernement, a également contribué à positionner ICANN en tant qu’acteur important sur la scène internationale de la sécurité Internet. Je pense que notre plus grande réussite a été la cote d’estime que nous avons obtenue auprès de la communauté de sécurité internationale et des gouvernements avec lesquels elles collaborent.

Encore un grand merci à tous les membres de l’Internet Engineering Task Force pour avoir cru au DNSSEC depuis le début. Tout ceci n’aurait pas pu être sans leur engagement inconditionnel.

Black Hat is one of the world’s premier security conferences; it attracts about 5,000 onsite participants and many more online. Defcon is a hacker event, also attended by government and security types, and nearly 10,000 people registered for this year’s conference. These are important communities for ICANN.

Black Hat Chair Jeff Moss addressed thousands of participants at the opening session and asked a challenging question. Security has been discussed and debated throughout Black Hat’s 13-year history, yet what progress have we made? What real successes can we celebrate? The growth in malicious traffic on the web is higher than the growth in legitimate traffic. The Internet security community, he said, has had no solid accomplishment to show for our efforts – until today. Today DNSSEC is being launched, and just days ago the root of the Internet was cryptographically signed. This is the first major Internet security enhancement since the beginning of Black Hat, and we thank ICANN for this accomplishment.

This set the tone for other successes, including:

Whit Diffie’s Keynote at Black Hat Executive Session

Eighty top leaders from governments and corporations participated in an exclusive one-day program the day before Black Hat officially began. Whit Diffie, ICANN’s new Vice President for Information Security and Cryptography, was the keynote luncheon speaker and greatly impressed the audience, many of whom knew of his global reputation as a groundbreaking cryptographer.

Black Hat DNS Vulnerability Panel

The event was well attended and focused entirely on how to deploy DNSSEC successfully at all levels. The lively discussion included Whit Diffie; Sandy Wilbourn, CTO of Nominum; Ken Silva, CTO of VeriSign; Mark Weatherford, former Chief Information Security Officer of the State of California, which implemented DNSSEC; Dan Kaminsky, Chief Scientist at Recursion Ventures and a DNS activist; and me.

Press conference launching DNSSEC, with a live hook-up to the IETF meeting in Maastricht

The press conference was well attended by the world’s media, both technical and mainstream. Russ Housely, Chair of the Internet Engineering Task Force, joined by video link along with Mark McLaughlin, CEO of VeriSign, and Dan Kaminsky. Russ provided excellent detailed explanations to numerous questions, and the press conference was greatly enhanced by his participation. Dozens of articles on DNSSEC have appeared, including an Agence France Presse article that has been picked up by media outlets around the world and stories in the National Journal, MSNBC, CBS News and ABC News. To get a sense of the coverage, please see:
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

Black Hat Kaminsky session on how to implement DNSSEC for browsing, email and websites

Over 1,000 people packed in to hear Dan present a set of tools that can rapidly and easily cryptographically sign any website. Though initially a skeptic about DNSSEC, Dan stated that he had been wrong and is now a huge believer. He urged everyone in the industry to implement this important technology. He showed a private version of the Google Chrome browser that is fully DNSSEC-enabled, as well as tools he has created to add DNSSEC to Internet Explorer and Mozilla Firefox browsers. He capped it off by demonstrating DNSSEC-enabled email and announced he will be posting code so that DNSSEC-protected email can be sent and received though Microsoft Outlook. The crowd was wowed.

Defcon DNS Vulnerability Panel

This panel included ICANN’s Rick Lamb and Mehmet Akcin, Nominum’s Sandy Wilbourn, VeriSign’s Ken Silva and Dan Kaminsky, and was attended by about 800 people. Mehmet reports that it was an interactive and constructive session with considerable input from the audience.

Successes and lessons learned

Participants’ high level of engagement on DNSSEC and interest in ICANN demonstrate that these two events have helped to kickstart the long-term push for universal adoption of DNSSEC.

The panels and presentations had a significant impact in promoting DNSSEC. The most important lesson of ICANN’s experience at Black Hat and Defcon remains one of our defining philosophies: collaboration works. We made clear that everyone has a role in enhancing the security of the global Internet and we invited everyone to be a part of the solution. Many participants said they would push their ccTLDS, their own companies and software companies to enhance their product offerings to leverage DNSSEC. Participants clearly understood that this first true centralized trust anchor is a foundation for further global security enhancements.

ICANN’s first formal participation at Black Hat and Defcon, with many senior officials from the national security communities of the United States and other governments attending, also helped position ICANN as an important player in global Internet security. I believe our greatest achievement was the goodwill we created with the global security community and the governments they work with.

And special thanks again to all in the Internet Engineering Task Force for championing DNSSEC from the early days. It wouldn’t have happened without their unwavering commitment.

This month’s episode discusses ICANN’s Registrar Accreditation Agreement. If you’re not familiar with it, perhaps you should be — more than 900 ICANN registrars have signed it, making it one of ICANN’s most foundational documents. Though it has seldom been revised in ICANN’s history, currently, a Working Group contemplates amending it.

Advocates for changing it include individual domain name holders, seeking a “Registrant Rights” charter; and numerous law enforcement agencies have focused on the RAA in hopes of gaining an edge in their fight against cybercrime. To learn more, listen to (or read) Senior Policy Counselor Margie Milam’s briefing in our latest episode of the podcast, entitled simply, “RAA.”

Could RAA amendments unveil cybercriminals? Or might they harm privacy?

If you missed last month’s episode, it’s also well worth your time. Leo Vegoda, Manager of Number Resources, delivered an outstanding orientation on almost every issue related to the fast-approaching shortage of Internet addresses. Whether or not you feel geeky enough to understand IPv4, IPv6, and the differences between them, Leo will help you understand all the ramifications of a worldwide Internet address shortage, what’s being done about it, and how the problem will affect you. If you’ve ever wondered at all about IPv6, check out Episode 5, “What Does IPv6 Mean?”

If you feel you learn better (or faster) by reading rather than listening, I’m pleased to announce that as of this month, every ICANN Start episode now has its transcript sitting right next to it. We’re continuing our effort to make the podcast a useful starting point when you want to understand an ICANN issue that is new to you. The ICANN community has responded, with the number of downloads during the podcast’s second month soaring north of 1,000. Thank you for your support!

What else would you like to hear a basic orientation about? Send an email to start@icann.org, where we’re watching for your input.

The initial variants of the worm, Conficker A/B, focused on potentially utilizing a limited number of domain names to control the infected computers. The affected registrars have collaborated to block the control of this variant of the worm over the past two months. A new variant, Conficker C, has been identified. This variant is more complex and presents increased mitigation challenges. Among these challenges, Conficker C seeks to use a wider range of domain names across the DNS, involving many more names in across a greater number of registries. Analysis indicates the Conficker C code will become active on April 1st.

ICANN is working with the security, vendor and DNS communities in an effort to proactively inform those involved registries who might be affected with specific information that will enable them to block the use of the DNS to control the infected computers. Through the outreach, the registry community is now in close contact with the Conficker working group and taking actions appropriate to their particular situations. An important note regarding April 1st: While the Conficker C code may become active on this date, the DNS and the Internet will likely not see a sudden wave of disruption or activity from the infected computers. Lack of activity on April 1st does not mean the millions of infected computers have been cleaned up or that efforts to mitigate the control of these computers can stop.

The cooperation to stop the spread of the Conficker worm and block control of the infected computers has become a major effort involving well over 100 organizations. The collaborative has conducted shared technical analysis and passed information resulting in practical, proactive steps to limit control and stop the spread of the worm. ICANN will continue its efforts with the security and DNS communities and sees this effort as a model for effective global response to situations that challenge the security and stability of the Internet and the DNS. We also want to encourage individuals and organizations who are concerned about removing the malicious code and to contribute to disabling Conficker to visit http://confickerworkinggroup.org/wiki/ for information regarding what can be done.

As has been discussed a lot lately, the DNS does not have much in the way in inherent security mechanisms. DNSSEC is a newer technology designed to remedy that by adding a layer of cryptographic verification to the DNS. By using DNSSEC, DNS data can be checked and verified to make sure it has not been tampered with in transit over the unprotected Internet.

Key to deploying DNSSEC is deploying it at the root zone level. The root zone is the upper most level in the DNS hierarchy, and is managed under a complex arrangement involving not only ourselves, but also VeriSign and the US Government. Right now, consultations are being made on how best to secure the root zone using DNSSEC, and that discussion is expected to carry on for some time. It is a somewhat political debate, as well as a technical discussion on how to maintain the robustness of a service that is the cornerstone of Internet stability.

The community has recognised that discussion will undoubtedly carry on for some time, but that there is an immediate need to support nascent DNSSEC deployment efforts. To do this a trust anchor repository was proposed, with ICANN requested to operate the service. A trust anchor repository would be a place to hold the security information that would be in the root zone if it were signed. For example, the Swedish country code top-level domain .SE has already implemented DNSSEC, and their trust anchors can be found in the repository. This allows for early adopters who have suitably configured DNSSEC software to obtain that security information independent of the DNS, without waiting for the root zone to have DNSSEC implemented.

Today we have released the first public version of the trust anchor repository after some initial experimentation with some of the core DNSSEC engineering community. We have prepended the word “interim” to its name, just to emphasise that this isn’t permanent, and is only designed to be a stepping stone to the ultimate goal of a DNSSEC-signed root zone.

We do not recommend it for use other than by expert administrators. It is experimental and requires some understanding of DNSSEC to be helpful. We think it will be useful in giving everyone involved better operational experience with DNSSEC, as well as being a helpful nudge on the way toward more universal DNSSEC deployment on the Internet. As a temporary solution, it has its caveats, and we recommend not treating it as an ultimate solution. But with that in mind, we look forward to those who are feeling adventurous to give it a try and provide us with feedback on how we can improve the service.