In the Security team [https://www.icann.org/security], we see this technical engagement with the community as a key part of delivering on ICANN’s mission to facilitate the security, stability and resiliency of the Internet’s unique identifier systems through coordination and collaboration.

We do this with community partners across the globe, at the request of operators and universities in the Caribbean and the Middle East, in Africa, Asia-Pacific and South America. We have increasing interest among the law enforcement community for this training. The Security team recently conducted DNS training at Europol, at the International Criminal Law Network in the Netherlands, and with other agencies in the United Kingdom. We are exploring opportunities with the Commonwealth Cybercrime Initiative, and have upcoming DNSSEC training in Tunis, Tunisia next week.

The community has an opportunity to tell us what you think of this training, and on ICANN’s security activities by commenting on the FY 14 Security, Stability and Resiliency Framework. The document has been translated into 7 languages, and is open for comment through 20 April 2013 (with a reply comment period to 20 May 2013, 23:59 UTC). Please take some time to read this document, and provide comments.

Here is some testimony from Rick Lamb, one of our team members and a lead on DNSSEC adoption and engagement:

I consider myself fortunate to be able to participate in this space, following in the footsteps (and the beneficiary of the experience pool) of other seasoned ICANN trainers.

Although I have taught in the past, I had forgotten about the heady mixture of fear, happiness and exhilaration that comes from interacting with a classroom full of intelligent, interested students. After typically spending the better part of an intense week together, trusted relationships are forged, giving the students not just technical knowledge, but a sense of being part of the larger Internet community. These relationships clearly benefit everyone involved.

I know that these are familiar sensations for my seasoned colleagues, but I think that sometimes we should be reminded about the not-so-obvious value of training efforts and the importance of these personal interactions toward building and maintaining the international network of trust that keeps the international network we call the Internet running.

Dr. Richard Lamb
Sr. Program Manager, DNSSEC, ICANN

If you are interested in more information on these trainings, our partners at NSRC maintain excellent wiki pages providing past training agendas and materials. An example from the Lebanon training can be found at https://nsrc.org/workshops/2013/nsrc-isoclb-dnssec/.

Photo Credit – Phil Regnauld, NSRC

Photo Credit – Phil Regnauld, NSRC

Despite the damage and concern caused by Hurricane Sandy as it moves inland along the US east coast, ICANN can confirm that the key materials stored in Culpeper, Virginia remain secure.

The Culpeper KMF is built within Terremark’s NAP of the Capital Region facility. ICANN is receiving regular updates from Terremark and is confident that their Tropical Weather Protocol is being executed appropriately.

ICANN will maintain its communication with Terremark over the coming days and will advise the community promptly of any significant event relating to the root zone KSK.

Editor’s Note: October 30, 2012 -
Terremark has confirmed that the NAP of the Capital Region has declared all clear, and that normal operations have resumed. There was no lapse in security for the root zone KSK stored in the Culpeper Key Management Facility, and the root zone key ceremony scheduled to take place there in November is expected to proceed as planned.

Threats to the DNS have been around for many years, and ICANN has served as a forum for bringing the Internet community together. An entire international public meeting was dedicated to “Security and Stability of the Internet Naming and Address Allocation Systems” in November 2001. The Security and Stability Advisory Committee was formed in 2002. Each ICANN public meeting since 2006 has included a tech day for the ccTLD community, and recent meetings have included dedicated sessions on DNSSEC and abuse of the DNS. We’ve supported annual contingency exercises since 2008, and we are planning a DNS Operations and L-root exercise for early 2011.

The Security team recently completed a 53-day comment period on the FY 11 Update to the SSR Plan (including several outreach and briefing sessions). The At Large, global business, TLD operations and academic research communities all contributed. A summary and analysis of comments is available at http://forum.icann.org/lists/ssr-plan-fy11/msg00008.html, and we will soon post a version of the Plan showing how comments were incorporated, along with an updated clean version.

As part of our effort to strengthen and improve the security, stability and continuity of ICANN internal operations, consistent with the 2010-13 Strategic Plan, the Security and Information Technology teams formalized internal incident response practices in September 2010. The ICANN Computer Incident Response Team is intended to be the primary responder in handling internal ICANN organizational information security incidents, and detail on this team is posted on our website at http://www.icann.org/en/cirt/.

In establishing an internal CIRT, ICANN is following best practices set by other operators of Internet infrastructure. Many entities have them in place, including the US National Institute for Standards and Technology (NIST), Microsoft, Neustar, VeriSign, Symantec, Juniper, Packet Clearing House, Skype, Yahoo, Google, Apple Computer, AT&T, the National Institutes of Health, universities and others.

The FY 11 Operating Plan noted that we would put an emphasis on hardening ICANN’s infrastructure and internal security efforts. This included:

• Ensuring annual updating of ICANN security plans and monitoring effective implementation of security controls and procedures;
• Ensuring ICANN security staff has strong skills and appropriate tools and is current with security threats and best practices.

Our FY 11 SSR Plan stated: “Specific initiatives underway in 2010 to improve ICANN’s security posture include improvements to logical and physical access controls, change management, logging/auditing and data backup procedures, security awareness training for staff, building incident response capabilities and improvements to mobile device security.” The formation of an internal incident response team demonstrates these plans are being put into action.

We understand there has been some confusion about whether the internal CIRT is related to the DNS-CERT initiative. The CIRT is not the foundation for a DNS-CERT. ICANN stated very clearly in Brussels, and in the summary and analysis of comments on the Security Strategic Initiatives and DNS-CERT Business Case in May 2010, that ICANN was not taking steps to operate a DNS-CERT.

ICANN supports the Joint DNS Security and Stability Analysis (DSSA) Working Group and other community efforts to develop a proposal on where a DNS-CERT, or collaborative response capability, might be housed and financially supported. The first proposal for an entity to support DNS related operations when DNS incidents occur was by DNS-OARC in 2002 (see http://www.isc.org/community/blog/201003/perspectives-dns-cert). Unfortunately, the needs identified at that time and recognized again in the DNS-CERT Business Case have not yet been addressed. ICANN staff very much hope to receive support and guidance from the community on this matter.

ICANN wants to collaborate with the community to identify threats and risks to the DNS, and to facilitate efforts to bring the Security community, the DNS operations community and users of the DNS together to improve overall DNS security, stability and resiliency. The DSSA Working Group is finalizing a charter, led by representatives from the At Large Advisory Committee, Country Code Names Supporting Organization, Generic Names Supporting Organization and Number Resource Organization. Independent experts from the security and infrastructure operations community are likely to be included in this effort.

ICANN continues to regularize root key signing operations for DNSSEC in partnership with VeriSign and with the support of the Internet community. ICANN conducted the third DNSSEC Key Signing Ceremony on 1 November 2010 in Culpeper, Virginia. A growing number of registry operators are implementing DNSSEC in TLD zones, including recent adoption in Finland, India, and in the Caribbean ccTLDs for Antigua and Barbuda, Belize, Honduras, St. Lucia, and St. Vincent and the Grenadines. VeriSign has announced its progress on implementing DNSSEC in .NET and .COM, and ICANN anticipates this will accelerate the adoption of this security enhancement by other registries and registrars, for the benefit of Internet users. Large ISPs such as Comcast are announcing DNSSEC implementation initiatives, and this is a very positive step.

Under the Affirmation of Commitments, we are supporting the efforts of the Security, Stability and Resiliency Review Team (http://www.icann.org/en/reviews/affirmation/review-2-en.htm), which will conduct its first face-to-face meeting in Cartagena. This is a strong group of volunteers from across the global Internet community and we stand ready to facilitate their work.

We’re continuing to support DNS capacity building initiatives in partnership with the Network Startup Resource Center and the Internet Society. Successful training sessions have been conducted since the Brussels meeting in Mali for AfTLD and Guatamala for LACTLD. A training session was held on 2-6 November 2010 in Amman, Jordan, for APTLD.

This is a just sampling of our current activities. Security team staff will be in Cartagena and available to discuss the initiatives underway for FY 11. We welcome your suggestions and input. For more information, see http://www.icann.org/en/security/.

Patrick Jones
Senior Manager of Continuity & Risk Management
ICANN

Since I was quoted briefly in the article, I’d like to share some additional thoughts.

Why so much Public Comment?

Public Comment periods are vital in satisfying ICANN’s goal to be a bottom-up multi-stakeholder policy making body and to provide openness and transparency in its policy development processes. An ICANN core value is to employ open and transparent mechanisms in policy development processes. Such openness promotes well-informed decisions, and ensures that people affected by a new policy can participate and assist in the policy’s formation. That’s why the Bylaws mandate public comment periods (for example, see Annex A, Sections 6 and 9).

The Affirmation of Commitments reflects the same principles, calling for ICANN to provide transparent and fact-based policy development, cross-community deliberations, and responsive consultation procedures. In the Affirmation, ICANN committed to provide detailed explanations of the basis for decisions — including how comments have influenced policy considerations.

Thus, the desire to hear all voices on each policy issue comes right from ICANN’s core. Frankly, we don’t want to limit public comments.

Is ICANN handling too many policy processes at the same time?

The answer is “No!” as soon as you consider the alternatives.

Three Supporting Organizations and a number of Advisory Committees can bring policy issues before the community. To which of them would we say, “Sorry, too busy to care about your issue; check back later”? Obviously, none of them.

An ICANN policy development process takes time to gather all viewpoints. Imagine how long it would take ICANN to address your particular policy issue if there were an arbitrary limit. If the ICANN community only handles seven or ten issues at once, that means all other issues remain parked indefinitely, probably for months. Notable achievements from this year, such as IDNs and DNSSEC going into the root, might still be waiting to happen. Do we want to slow our processes? Obviously, no. (Improve and prioritize better? Yes, indeed!)

Andrew reports that “some people” believe there are too many simultaneous policy issues pending, and are worried (with some justification) about overload in our volunteer community. This perception may be due to several factors, including:

• Our list of open issues initially looks confusing because issues have not been prioritized. The GNSO is about halfway through creating a method for prioritizing projects. Ranking their relative importance will help make them easier to take in all at once.
• Many policy-related reports exceed 100 pages. The GNSO has recently resolved that its reports should begin with an Executive Summary. This will help reduce the reading an individual has to do in deciding whether to comment.
• Our large, diverse volunteer community is avid and committed to follow the growing number of policy issues that reflects the increased global impact of the Internet.

We will also be examining the processes and mechanisms we use to manage the public comment process in hopes of identifying more effective and efficient ways to publicize, collect and organize community comments.

Policy development has an ebb and flow. Recently, we seem to be at high tide. Some of the tide will ebb when the new gTLD program launches and GNSO Improvements Initiative winds down. Five working groups will go away (one already has). Optimistically, the bulk of the GNSO improvements effort may be completed in early 2011.

We shouldn’t set an arbitrary limit to the number of issues evaluated by the ICANN Community. The issues arise from the community, and staff works diligently to support that work. We all recognize that many issues are both important and urgent to different parts of the ICANN community. I do not believe that ICANN is handling too many policy issues.

The ICANN community is also working hard to enhance our collective management of so many important issues, which is not always easy. Yet, if the current situation seems difficult, consider the alternative: Further delays in improvements to WHOIS.  The 65% of Internet users who do not speak English await IDNs in their own languages. Communities still waiting more years for their new gTLDs. Phishers continue defrauding consumers using techniques that DNSSEC can stop. If we must err, it is better for ICANN to handle too much, than for ICANN to handle too little.

حضر عدد من أعضاء ICANN  مؤتمري Black Hat وDefcon الأسبوع الماضي بهدف طرح DNSSEC أمام مجتمع أمن الإنترنت العالمي.

يعتبر Black Hat أحد المؤتمرات الرئيسية في العالم حول الأمن؛ والتي تجتذب نحو من 5,000 مشارك في الموقع والعديد عبر الإنترنت. أما Defcon فهو أحد المؤتمرات التي تدور حول القراصنة، كما قد حضره ممثلون من الحكومة والأمن، وما يقرب من 10,000 شخص مسجلين لمؤتمر هذا العام. وتلك بمثابة مجتمعات مهمة بالنسبة لـ ICANN .

وقد ألقى جيف موس رئيس Black Hat كلمته أمام آلاف المشاركين في الجلسة الافتتاحية، وطرح إحدى المسائل الهامة. حيث قال بأن مسألة الأمن على مدار تاريخ Black Hat الذي يعود إلى 13 عاماً قد تم بحثها ومناقشتها، ولكن ما هو التقدم الذي تم إحرازه؟ ما هو النجاح الحقيقي الذي يمكننا الاحتفاء به؟ يعتبر النمو في حركة مرور البيانات الضارة على الويب أعلى من النمو في حركة مرور البيانات المشروعة. وأكد قائلاً بأن مجتمع أمن الإنترنت لم يكن لديه إنجاز ملموس لإظهار جهودنا – حتى اليوم. ويجري حاليًا إطلاق DNSSEC ، وقبل أيام فقط تم التوقيع على تشفير جذر الإنترنت. وهذا هو أول تعزيز لأمن الإنترنت الرئيسي منذ بداية Black Hat ، ونحن إذاك، نتقدم بالشكر إلى ICANN على هذا الإنجاز.

وهذا ما يمهد الطريق أما تحقيق نجاحات أخرى، والتي تشمل:

خطاب وايت ديفي في الدورة التنفيذية Black Hat

شارك ما يقرب من ثمانين من كبار قادة الحكومات والشركات في برنامج خاص استغرق يومًا واحدًا قبل بدء مؤتمر Black Hat رسمياً. وكان وايت ديفي، نائب الرئيس الجديد لـ ICANN لتشفير وأمن المعلومات، المتكلم الرئيسي والذي أثر كثيراً على الجمهور، وشهد له الكثير بسمعته العالمية باعتباره رائد ومؤسس التشفير.

هيئة ضعف DNS في مؤتمر Black Hat

حظي هذا الحدث بحضور كبير وتركيز كلي على كيفية نشر وتطبيق DNSSEC بنجاح على جميع المستويات. وشملت المناقشة المثيرة كلاً من وايت ديفي؛ وساندي ويلبورن، مسئول التكنولوجيا الأول في نومينيام؛ وكين سيلفا، مسئول التكنولوجيا الأول في فيريساين؛ ومارك ثرفورد، الرئيس السابق لأمن المعلومات بولاية كاليفورنيا، والتي قامت بتنفيذ DNSSEC ؛ ودان كامينسكي، كبير العلماء في شركة Recursion Ventures وأحد ناشطي DNS ؛ وأنا.

المؤتمر الصحفي المعلن عن إطلاق DNSSEC ، مع ربط متابعة مباشرة لاجتماع IETF في ماستريخت

شهد المؤتمر الصحفي حضورًا جيدًا من قبل وسائل الإعلام في العالم، سواء من الناحية التقنية والاتجاه السائد. روس هاوسلي، رئيس فرقة عمل هندسة الإنترنت من خلال ربط الفيديو مع مارك ماكلولين، الرئيس التنفيذي لشركة فيريساين، ودان كامينسكي. وقد قدم روس شرحًا مفصلاً ومتميزًا لمسائل عديدة، وكانت مشاركته بمثابة تعزيز كبير للمؤتمر الصحفي. وقد نشرت العشرات من المقالات حول DNSSEC، بما في ذلك مقال وكالة فرانس التي تم انتقاؤها من قبل وسائل الإعلام في جميع أنحاء العالم والأخبار في مجلة ناشونال جورنال، سي، سي بي اس نيوز وايه بي سي نيوز. للحصول على جوهر التغطية الإعلامية، الرجاء مراجعة:
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

جلسة كامينسكي Black Hat حول كيفية تنفيذ DNSSEC للتصفح والبريد الإلكتروني والمواقع

احتشد أكثر من 1,000 شخص للاستماع إلى دان وهو يطرح مجموعة من الأدوات التي يمكن توقيع تشفيرها بسرعة وسهولة لأي موقع. على الرغم من بداية تشككه بشأن DNSSEC ، أكد دان أنه كان على خطأ وهو الآن مؤمن كبيرً. وقد حث الجميع في هذا المجال على تنفيذ هذه التكنولوجيا الهامة. كما عرض إصدارًا خاصًا من متصفح جوجل كروم ذات خاصية تمكين DNSSEC الكاملة، فضلاً عن الأدوات التي أوجدها لإضافة DNSSEC إلى متصفح الإنترنت ومتصفح موزيلا فايرفوكس. ومن ثم تشغيله من خلال بريد إلكتروني مزود بإمكانية DNSSEC كما أعلن أنه سينشر التعليمات البرمجية بحيث يمكن إرسال واستلام البريد الإلكتروني المحمي بـ DNSSEC من خلال برنامج مايكروسوفت أوتلوك. وذهل الحشد من ذلك الأمر.

هيئة ضعف DNS في مؤتمر Defcon

شملت هذه الهيئة ريك لامب وآكسين محمت أكين من مؤسسة ICANN ، وساندي ويلبورن من مؤسسة نومينيام، وكين سيلفا من شركة فيريساين ودان كامينسكي، وقد حضرها نحو 800 شخص. وقال محمت أنها كانت جلسة تفاعلية وبناءة مع مشاركة كبيرة من الجمهور.

النجاحات والدروس المستفادة

أوضح مستوى المشاركة المرتفع والاهتمام الكبير بـ DNSSEC في ICANN أن هذان الحدثان قد ساعدا في نقطة البدء والدفع طويل الأجل لاعتماد عالمي لـ DNSSEC .

وكان للهيئات والعروض التقديمية أثر كبير في تعزيز DNSSEC . ويبقى أهم درس من تجربة ICANN في مؤتمري Black Hat وDefcon أحد الفلسفات التي تحدد لنا: أعمال التعاون. أوضحنا أن لكل فرد دورًا في تعزيز أمن شبكة الإنترنت العالمية، وعلى ذلك فقد دعونا الجميع ليكونوا جزءًا من الحل. وقال العديد من المشاركين أنهم سيعملون على الدفع بـ ccTLDS ، وبشركاتهم الخاصة وشركات البرمجيات لتعزيز عروض منتجاتها للاستفادة من DNSSEC . وفهم المشاركون بوضوح أن نقطة ارتكاز الثقة الأساسية هذه هي بمثابة الأساس لمزيد من التعزيزات الأمنية العالمية.

كما ساعدت مشاركة ICANN الرسمية الأولى في مؤتمري Black Hat وDefcon ، مع العديد كبار مسئولي مجتمعات الأمن القومي بالولايات المتحدة والحكومات الأخرى التي حضرت، في وضع ICANN في مكانة اللاعب المهم بالنسبة لأمن شبكة الإنترنت العالمية. وأعتقد أن الإنجاز الأكبر يتمثل في النية الحسنة التي تشكلت مع مجتمع الأمن العالمي والحكومات التي تعمل معها.

أتوجه بالشكر مرة أخرى للجميع في فريق عمل هندسة الإنترنت لدعم DNSSEC منذ الأيام الأولى. ولم يكن ليحدث ذلك ويتحقق من دون التزامها التام.

Black Hat 是世界上最重要的安全会议之一，它吸引了大约 5000 名现场参与者以及更多的在线参与者。Defcon 是一个黑客参加的活动，同时也有政府与安全领域的人员参与，有近 10000 人登记参加了今年的会议。这些都是 ICANN 非常重视的群体。

Black Hat 主席 Jeff Moss 在开幕式上向数千名与会者发表讲话，并提出了一个具有挑战性的问题。在 Black Hat 的 13 年历史中，与会者们一直在对安全问题进行讨论与争议，但我们取得了哪些进展？我们获得了哪些有实际意义的成就？网络上恶意流量的增长远高于合法流量的增长。他认为直到现在，互联网安全社群一直都无法拿出实质性的成果的来证明我们的努力。但现在 DNSSEC 正在启动，而且就在几天前互联网的根域经过了加密签名。这是自首届 Black Hat 以来互联网安全第一次得到显著的提升，我们要感谢 ICANN 能够取得这一成绩。

这也为取得其它成功确立了基调，包括：

Whit Diffie 在 Black Hat 执行会议中的主题演讲

80 名来自政府和企业的高层领导人在 Black Hat 正式开始的前一天出席了一个为期一天的单独项目。ICANN 负责“信息安全与密码”的新副总裁 Whit Diffie 是该项目的午餐会主题发言人。他给与会者留下了深刻的印象，许多人都知道他作为一流译解密码员的世界级声誉。

Black Hat DNS 漏洞专家小组

这次活动出席者甚众，且重点完全集中于如何在所有级别上成功部署 DNSSEC。这一热烈讨论的参与者包括 Whit Diffie；Nominum 的 CTO Sandy Wilbourn；VeriSign 的 CTO Ken Silva；加利福尼亚州（已实施 DNSSEC）前首席信息安全官 Mark Weatherford；Recursion Ventures 首席科学家和 DNS 活动家 Dan Kaminsky；以及我。

在新闻发布会上推出了 DNSSEC，并与位于马斯特里赫特的 IETF 会议现场连线

此次新闻发布会广受世界媒体参与，包括技术与主流媒体。互联网工程任务组主席 Russ Housely 通过视频链接参加了发布会，此外 VeriSign 的 CEO Mark McLaughlin 以及 Dan Kaminsky 也出席了发布会。Russ 对诸多问题提供了极其详细的解释，由于他的出席，此次新闻发布会的影响大大增强。目前已出现多篇有关 DNSSEC 的文章，其中包括被多家媒体转发的法新社文章，以及 National Journal、MSNBC、CBS News 以及 ABC News 所发表的报导。要了解新闻报道的详细信息，请通过以下链接查看：
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

在 Black Hat 上，Kaminsky 就如何将 DNSSEC 应用于浏览，电子邮件与网站发表讲话

有超过 1000 人观看了 Dan 所展示的一套可快速、方便地加密签署任何网站的工具。Dan 最初对 DNSSEC 表示了怀疑，但他现在已是它最忠实的信徒。他呼吁每位业内人士都应实施这一重要的技术。他展示了一款完全启用了 DNSSEC 的非公开版 Google Chrome 浏览器，以及他创建的用来将 DNSSEC 添加到 Internet Explorer 与 Mozilla Firefox 浏览器的工具。他还展示了启用 DNSSEC 的电子邮件，并宣布将发布代码以便使受 DNSSEC 保护的电子邮件能够通过 Microsoft Outlook 发送与接收。现场参与者一片轰动。

Defcon DNS 漏洞专家小组

这个小组包括 ICANN 的 Rick Lamb 与 Mehmet Akcin，Nominum 的 Sandy Wilbourn，VeriSign 的 Ken Silva 与 Dan Kaminsky 等，与会人数约 800 人。Mehmet 报告说，这是一个高度互动性并且极富建设性的会议，他们从与会者处得到了可观的收获。

成功和经验教训

参与者对 DNSSEC 的高度认识以及对 ICANN 的浓厚兴趣表明，这两项活动已经对长期推动 DNSSEC 的普遍应用起到了很大作用。

这些小组讨论与展示活动在推动 DNSSEC 方面具有重大影响。在 Black Hat 与 Defcon 上 ICANN 想要传达的最重要的一点，同时也是我们最基本的理念之一：团结合作才能成功。我们希望大家能够清楚地认识到，每个人在增强全球互联网安全方面都应当起到作用，并且我们邀请每个人都成为解决方案的一分子。许多与会者表示，他们将推动其国家代码顶级域名 (ccTLDS)、自己的公司以及软件公司，来提高他们的产品对 DNSSEC 的运用。与会者清楚地知道，这样一个真正集中化的信任机制的构建，将成为进一步增强全球安全的基础。

这是 ICANN 首次正式参与有美国和其它政府的国家安全领域高级官员出席的 Black Hat 与 Defcon。这有助于提高 ICANN 在全球互联网安全方面所扮演角色的重要性。我认为在这两个会议上，我们取得最大的成就是同全球安全社群以及与其协同工作的政府建立起了友好的关系。

再次特别感谢一直以来支持 DNSSEC 的互联网工程任务组的所有人员。没有他们不懈的努力，就不可能有今天的成功。

Black Hat является одной из главных всемирных конференций по вопросам безопасности, на которой лично присутствует свыше 5 000 участников, и еще большое их число использует средства удаленного участия. Defcon является мероприятием хакеров, на котором также присутствуют представители правительственных органов и служб безопасности. В этом году для участия в конференции зарегистрировалось почти 10 000 человек. Эти сообщества важны для ICANN.

Председатель Black Hat Джефф Мосс (Jeff Moss) обратился к тысячам участников на церемонии открытия и задал каверзный вопрос. Вопросы безопасности обсуждались на конференции Black Hat в течение всей ее 13‑летней истории, но какого прогресса мы достигли? Какие реальные успехи мы можем торжественно отметить? Вредоносный трафик в сети растет интенсивнее законного трафика. У сообщества, занимающегося решением вопросов безопасности Интернета, — сказал он, — до сих пор нет уверенных достижений, свидетельствующих о продуктивности его усилий. В настоящее время начато внедрение технологии DNSSEC, и всего несколько дней тому назад корневая зона Интернета получила криптографическую подпись. Это первое крупное усовершенствование системы безопасности Интернета с начала проведения Black Hat, и мы благодарны ICANN за это достижение.

Оно задает тон другим успехам, в числе которых можно назвать следующие.

Программный доклад Уита Диффи (Whit Diffie) на закрытом заседании Black Hat

Восемьдесят руководителей высшего звена из правительств и корпораций приняли участие в закрытой однодневной программе за день до официального начала конференции Black Hat. Уит Диффи, новый вице-президент ICANN по вопросам информационной безопасности и криптографии, выступил с программной речью во время официального завтрака и произвел огромное впечатление на аудиторию, значительная часть которой знала о его мировой репутации прогрессивного специалиста по криптографии.

Семинар Black Hat по вопросам уязвимости DNS

На этом мероприятии, целиком посвященном успешному развертыванию DNSSEC на всех уровнях, присутствовало большое количество участников. В оживленном обсуждении принимали участие Уит Диффи; Сэнди Уилборн (Sandy Wilbourn), главный технический директор Nominum; Кен Силва (Ken Silva), главный технический директор VeriSign; Марк Уезерфорд (Mark Weatherford), бывший руководитель службы информационной безопасности штата Калифорния, занимавшийся внедрением DNSSEC; Дэн Каминский (Dan Kaminsky), главный научный советник Recursion Ventures и активист DNS; а также я.

Пресс-конференция, посвященная запуску DNSSEC, с подключением в прямом эфире к совещанию Комиссии по технологиям Интернета (IETF) в Маастрихте.

Н этой пресс-конференции присутствовали многочисленные представители мировых средств массовой информации, как технических, так и основных. Расс Хаусли (Russ Housely), председатель Комиссии по технологиям Интернета, присоединился к конференции по видеосвязи, наряду с Марком Мак-Лауглином (Mark McLaughlin), генеральным директором VeriSign, и Дэном Камински. Расс представил отличные подробные пояснения в ответ на многочисленные вопросы, и эта пресс-конференция существенно выиграла от его участия. Появились десятки статей о DNSSEC, включая статью агентства Франс-Пресс, которая была распространена информационными агентствами по всему миру, и сообщения в National Journal, MSNBC, CBS News и ABC News. Чтобы понять масштабы освещения этого события, воспользуйтесь следующей ссылкой: http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

Заседание Black Hat по вопросам внедрения DNSSEC для просмотра ресурсов, электронной почты и веб-сайтов, проведенное Камински

Свыше 1 000 человек собрались в аудитории, чтобы выслушать проведенную Дэном презентацию набора средств, позволяющих быстро и без труда создать криптографическую подпись для любого веб-сайта. Хотя Дэн вначале скептически относился к DNSSEC, он публично признал свою ошибку и заявил, что теперь является убежденным сторонником этой концепции. Он призвал всех участников отрасли к внедрению этой важной технологии. Дэн продемонстрировал неофициальную версию браузера Google Chrome, полностью совместимую с DNSSEC, а также созданные им средства добавления технологии DNSSEC в браузеры Internet Explorer и Mozilla Firefox. В конце выступления он продемонстрировал электронную почту, совместимую с DNSSEC, и объявил о своих планах опубликовать код, позволяющий отправлять и получать защищенную DNSSEC электронную почту через Microsoft Outlook. Присутствующие пришли в восторг.

Семинар Defcon по вопросам уязвимости DNS

В этом семинаре, на котором присутствовало около 800 человек, приняли участие представители ICANN Рик Лэмб (Rick Lamb) и Мехмет Аксин (Mehmet Akcin), представитель Nominum Сэнди Уилборн (Sandy Wilbourn) и представители VeriSign Кен Силва (Ken Silva) и Дэн Камински. По словам Мехмета, это был конструктивный семинар, основанный на диалоге, в работу которого внесла значительный вклад аудитория.

Успехи и извлеченные уроки

Высокий уровень интереса участников к DNSSEC и ICANN демонстрирует, что эти два мероприятия способствовали сильному первому рывку в направлении долгосрочного и всеобщего признания DNSSEC.

Семинары и презентации оказали существенное влияние на продвижение технологии DNSSEC. Наиболее важным уроком, который ICANN извлекла из участия в Black Hat и Defcon, остается одна из наших основополагающих концепций: совместная работа дает плоды. Мы ясно дали понять, что каждый играет свою роль в повышении безопасности всемирного Интернета, и мы пригласили всех принять участие в решении этой задачи. Многие участники заявили о намерении способствовать использованию своими нДВУ, компаниями и организациями, занимающимися разработкой ПО, возможностей DNSSEC, чтобы повысить качество предлагаемой продукции. Участники конференций смогли четко понять, что эта первая действительно централизованная точка доверия является основой дальнейшего повышения глобальной безопасности.

Первое официальное участие ICANN в работе Black Hat и Defcon, наряду с участием многих высокопоставленных должностных лиц национальных сообществ США и правительств других стран, занимающихся решением вопросов безопасности, также помогло позиционировать ICANN как важного игрока в области глобальной безопасности Интернета. Я считаю, что самым главным нашим достижением было приобретение хорошей репутации в глазах мирового сообщества, занимающегося решением вопросов безопасности, и правительств, с которыми оно сотрудничает.

И я хочу вновь выразить особую благодарность всем в Комиссии по технологиям Интернета за поддержку, оказываемую технологии DNSSEC с самого начала. Без этой твердой приверженности внедрение данной технологии было бы невозможным.

"Black Hat" es una de las conferencias principales de seguridad; atrae a unos 5.000 participantes en persona y a muchos más en línea. "Defcon" es un evento acerca de piratas informáticos, también visitado por personal del gobierno y de seguridad y con alrededor de 10.000 personas registradas para la conferencia de este año. Estas son comunidades importantes para ICANN.

Jeff Moss, el director de "Black Hat", se dirigió a miles de participantes en la sesión inaugural e hizo una pregunta desafiante.  Se ha discutido y debatido la seguridad a lo largo de los 13 años de historia del "Black Hat", sin embargo ¿cuánto es lo que hemos avanzado? ¿Qué triunfo verdadero podemos festejar?  El crecimiento del tráfico maligno en la web es mayor que el crecimiento de tráfico legítimo. La comunidad de seguridad de Internet, dijo, no ha obtenido ningún logro substancial como para demostrar sus esfuerzos, hasta ahora.  Hoy estamos lanzando la DNSSEC, y hace apenas unos días la raíz de Internet fue firmada criptográficamente. Esta es la primera gran mejora en la seguridad de Internet desde el comienzo de "Black Hat" y le agradecemos a ICANN por este logro.

Esto marca las pautas para el triunfo, incluyendo:

Comentario principal de Whit Diffie en la sesión ejecutiva de "Black Hat"

Ochenta de los mayores líderes de gobiernos y empresas participaron en un programa exclusivo de un día el día anterior al comienzo oficial de "Black Hat".  Whit Diffie, el Nuevo vicepresidente de seguridad de la información y criptografía de ICANN, fue el orador principal e impresionó enormemente a la audiencia, muchos de los cuales conocía su reputación global como un criptógrafo de vanguardia.

Panel de vulnerabilidad de DNS de "Black Hat"

El evento tuvo buena asistencia y se concentró completamente en cómo implementar la DNSSEC exitosamente en todos los niveles. La animada discusión incluyó a Whit Diffie; Sandy Wilbourn, director de tecnología de Nominum; Ken Silva, director de tecnología de VeriSign; Mark Weatherford, ex director de seguridad de la información del estado de California, quien implementó DNSSEC; Dan Kaminsky, jefe de ciencias de Recursion Ventures y activista de DNS y a mí. 

Conferencia de prensa del lanzamiento de la DNSSEC, con una conexión en directo a la reunión de la IETF en Maastricht

La conferencia de prensa fue bien atendida por la prensa mundial, técnica y en general. Russ Housely, director del grupo de trabajo en ingeniería de Internet se sumó mediante un enlace de video junto a Mark McLaughlin, director general ejecutivo de VeriSign y a Dan Kaminsky.  Russ brindó explicaciones detalladas excelentes a muchas de las preguntas y la conferencia de prensa mejorada en general gracias a su participación.  Han aparecido decenas de artículos acerca de la DNSSEC, incluyendo un artículo de la Agence France Presse que ha sido escogido por los medios de todo el mundo y artículos en el National Journal, MSNBC, CBS News y ABC News. Para darse una idea de la cobertura, visite: http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

Sesión Kaminsky de "Black Hat" acerca de cómo implementar la DNSSEC para navegar, correo electrónico y sitios web

Más de 1.000 personas se reunieron para oír a Dan presentando un juego de herramientas que pueden firmar criptográficamente cualquier sitio web de forma rápida y sencilla. Inicialmente no muy convencido acerca de la DNSSEC, Dan declaró que estuvo equivocado y ahora es un ferviente seguidor. Les pidió a todos los miembros de la industria que implementen esta importante tecnología. Mostró una versión privada del navegador Google Chrome que es completamente compatible con DNSSEC, junto con las herramientas que ha creado para agregarle DNSSEC a los navegadores Internet Explorer y Mozilla Firefox. Coronó todo esto con una demostración de correo electrónico compatible con DNSSEC y anunció que publicará el código para que los correos electrónicos protegidos con DNSSEC se puedan enviar y recibir usando Microsoft Outlook.  La audiencia quedó impresionada. 

Panel de vulnerabilidad de DNS de "Defcon"

Este panel incluyó a Rick Lamb y Mehmet Akcin de ICANN, Sandy Wilbourn de Nominum, Ken Silva y Dan Kaminsky de VeriSign y fue atendido por más de 800 personas. Mehmet reporta que fue una sesión interactiva y constructiva con mucha participación de la audiencia.

Éxitos y lecciones aprendidas

El alto nivel de compromiso de los participantes con DNSSEC y el interés en ICANN demuestra que esos dos eventos ayudaron a iniciar el lanzamiento a largo plazo para la adopción universal de la DNSSEC.  

Los paneles y presentaciones tuvieron un impacto importante en promover la DNSSEC.  La lección más importante de la experiencia de ICANN en "Black Hat" y "Defcon" sigue siendo una de nuestras filosofías básicas: la colaboración funciona. Hemos puesto en claro que todos tienen un papel en la mejora de la seguridad del Internet global y hemos invitado a todos para que sean parte de la solución. Muchos participantes dijeron que impulsarán sus ccTLDS, sus propias empresas y las de software para que mejoren sus productos para impulsar la DNSSEC. Los participantes claramente entendieron que este punto verdaderamente centralizado de confianza es la base para las futuras mejoras globales en seguridad. 

La primera participación formal de ICANN en "Black Hat" y Defcon" con la asistencia de muchos funcionarios superiores de comités de seguridad nacional de los Estados Unidos y otros gobiernos, también ayudó a colocar a ICANN como un participante importante en la seguridad global de Internet.   Yo creo que nuestro mayor logro fue la buena voluntad que hemos creado con la comunidad de seguridad global y de los gobiernos con los que trabajan. 

Y un agradecimiento especial nuevamente para el grupo de trabajo de ingeniería de Internet por dirigir la DNSSEC desde el principio.  No lo hubiéramos logrado sin su incuestionable compromiso.

Black Hat est l’une des principales conférences de sécurité au monde, et attire environ 5 000 participants sur place et de nombreux autres en ligne. Defcon est un événement relatif aux hackers, auquel participent également des entités gouvernementales et de sécurité. Près de 10 000 personnes étaient inscrites à l’événement de cette année. Ce sont là des communautés d’importance pour ICANN.

Le président de Black Hat, Jeff Moss, s’est adressé à des milliers de participants lors de la session d’ouverture, et a posé une question audacieuse. On parle de la sécurité et on en débat depuis le début de l’histoire de Black Hat, il y a 13 ans, mais quels progrès avons-nous réellement réalisés ? De quelles véritables réussites pouvons-nous être fiers ? La croissance du trafic malveillant sur le Net est bien supérieure à celle du trafic légitime. La communauté de sécurité d’Internet, a-t-il déclaré, n’a, jusqu’à ce jour, aucune réalisation concrète d’envergure à montrer en compensation de nos efforts. Le lancement du DNSSEC a lieu aujourd’hui, alors qu’il y a quelques jours seulement les racines d’Internet étaient cryptées. C’est là la première amélioration conséquente en matière de sécurité d’Internet depuis les débuts de Black Hat, et nous pouvons en remercier ICANN.

Cette réalisation a donné le ton à d’autres réussites, dont:

Le discours d’introduction de Whit Diffie lors de la session exécutive

Quatre-vingt leaders de gouvernements et de multinationales ont participé à un programme exclusif d’une journée, la veille de l’inauguration de Black Hat. Whit Diffie, vice-président de la sécurité de l’information et de la cryptographie d’ICANN, principal intervenant lors du déjeuner, a grandement impressionné les auditeurs, dont bon nombre connaissait sa réputation internationale de cryptographe pionnier.

Le panel vulnérabilité DNS de Black Hat

La participation a été importante lors de l’événement, qui a entièrement porté sur la manière de réussir un déploiement du DNSSEC à tous les niveaux. La discussion animée a inclus Whit Diffie ; Sandy Wilbourn, directeur de la technologie chez Nominum ; Ken Silva, directeur de la technologie chez VeriSign ; Mark Weatherford, ancien officier en chef de la sécurité de l’information de l’Etat de Californie, qui a déployé le DNSSEC ; Dan Kaminsky, scientifique en chef chez Recursion Ventures, un activiste du DNS, et moi.

Conférence de presse pour le lancement du DNSSEC, avec une intervention en direct dans la réunion de l’IETF à Maastricht

La conférence de presse a été bien suivie par les médias internationaux, à la fois techniques et généraux. Russ Housely, président de l’Internet Engineering Task Force, a été contacté par vidéo, ainsi que Mark McLaughlin, P.d.-g. de VeriSign et Dan Kaminsky. Russ nous a fourni d’excellentes explications détaillées en réponse aux nombreuses questions, et le niveau de la conférence de presse a été grandement rehaussé du fait de sa participation. Des douzaines d’articles à propos du DNSSEC ont été publiés, y compris un article de l’Agence France Presse qui a été repris par les agences de presse internationales, ainsi que des papiers dans le National Journal, sur MSNBC, CBS News et ABC News. Pour se rendre compte de la couverture médiatique, on peut visiter la page:
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

La session de Kaminsky à Black Hat sur la manière de mettre le DNSSEC en application pour la navigation sur Internet, les courriels et les sites Web

Plus de 1 000 personnes se sont pressées pour écouter Dan présenter une série d’outils qui peuvent rapidement et aisément signer cryptographiquement tout site Internet. Bien qu’ayant initialement douté de la nécessité du DNSSEC, Dan a déclaré qu’il avait eu tort et qu’il y croit maintenant fermement. Il a incité toutes les personnes impliquées dans l’industrie à mettre en œuvre cette technologie importante. Il a montré aux personnes présentes une version privée du navigateur Google Chrome qui est entièrement équipée du DNSSEC, ainsi que des outils qu’il a créés pour ajouter le DNSSEC aux navigateurs Internet Explorer et Mozilla Firefox. Dan a conclu en faisant une démonstration de courriel paramétré avec le DNSSEC et a annoncé qu’il posterait le code permettant au courriel envoyé et reçu sur Microsoft Outlook d’être protégé par le DNSSEC. Le public était bluffé.

Le panel vulnérabilité DNS de Defcon

Ce panel incluait Rick Lamb et Mehmet Akcin d’ICANN, Sandy Wilbourn de Nominum, Ken Silva de VeriSign et Dan Kaminsky. Environ 800 personnes participaient à l’événement. Mehmet a rapporté que la session avait été interactive et constructive, et que le public avait bien participé.

Réussites et leçons apprises

Le haut niveau d’implication des participants à propos du DNSSEC et leur intérêt pour ICANN démontrent que ces deux événements ont contribué à propulser les efforts de long terme en faveur de l’adoption universelle du DNSSEC.

Les panels et les présentations ont grandement contribué à promouvoir le DNSSEC. La leçon la plus importante à tirer de l’expérience d’ICANN à Black Hat et à Defcon demeure l’une des nos philosophies de travail: la collaboration est efficace. Nous avons clairement fait comprendre que tout le monde a un rôle à jouer pour améliorer la sécurité internationale d’Internet, et avons convié les participants à prendre part à la solution. Nombre de participants ont annoncé qu’ils inciteraient leurs domaines géographiques Internet, leurs propres sociétés et les sociétés de logiciel à améliorer leurs offres de produits pour promouvoir le DNSSEC. Les participants ont bien compris que cette première ancre centralisée de confiance constitue la fondation des améliorations de sécurité globale à venir.

La première participation officielle d’ICANN à Black Hat et à Defcon, avec la présence de nombreux cadres officiels des communautés nationales de sécurité américaines et d’autres membres de gouvernement, a également contribué à positionner ICANN en tant qu’acteur important sur la scène internationale de la sécurité Internet. Je pense que notre plus grande réussite a été la cote d’estime que nous avons obtenue auprès de la communauté de sécurité internationale et des gouvernements avec lesquels elles collaborent.

Encore un grand merci à tous les membres de l’Internet Engineering Task Force pour avoir cru au DNSSEC depuis le début. Tout ceci n’aurait pas pu être sans leur engagement inconditionnel.

Black Hat is one of the world’s premier security conferences; it attracts about 5,000 onsite participants and many more online. Defcon is a hacker event, also attended by government and security types, and nearly 10,000 people registered for this year’s conference. These are important communities for ICANN.

Black Hat Chair Jeff Moss addressed thousands of participants at the opening session and asked a challenging question. Security has been discussed and debated throughout Black Hat’s 13-year history, yet what progress have we made? What real successes can we celebrate? The growth in malicious traffic on the web is higher than the growth in legitimate traffic. The Internet security community, he said, has had no solid accomplishment to show for our efforts – until today. Today DNSSEC is being launched, and just days ago the root of the Internet was cryptographically signed. This is the first major Internet security enhancement since the beginning of Black Hat, and we thank ICANN for this accomplishment.

This set the tone for other successes, including:

Whit Diffie’s Keynote at Black Hat Executive Session

Eighty top leaders from governments and corporations participated in an exclusive one-day program the day before Black Hat officially began. Whit Diffie, ICANN’s new Vice President for Information Security and Cryptography, was the keynote luncheon speaker and greatly impressed the audience, many of whom knew of his global reputation as a groundbreaking cryptographer.

Black Hat DNS Vulnerability Panel

The event was well attended and focused entirely on how to deploy DNSSEC successfully at all levels. The lively discussion included Whit Diffie; Sandy Wilbourn, CTO of Nominum; Ken Silva, CTO of VeriSign; Mark Weatherford, former Chief Information Security Officer of the State of California, which implemented DNSSEC; Dan Kaminsky, Chief Scientist at Recursion Ventures and a DNS activist; and me.

Press conference launching DNSSEC, with a live hook-up to the IETF meeting in Maastricht

The press conference was well attended by the world’s media, both technical and mainstream. Russ Housely, Chair of the Internet Engineering Task Force, joined by video link along with Mark McLaughlin, CEO of VeriSign, and Dan Kaminsky. Russ provided excellent detailed explanations to numerous questions, and the press conference was greatly enhanced by his participation. Dozens of articles on DNSSEC have appeared, including an Agence France Presse article that has been picked up by media outlets around the world and stories in the National Journal, MSNBC, CBS News and ABC News. To get a sense of the coverage, please see:
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

Black Hat Kaminsky session on how to implement DNSSEC for browsing, email and websites

Over 1,000 people packed in to hear Dan present a set of tools that can rapidly and easily cryptographically sign any website. Though initially a skeptic about DNSSEC, Dan stated that he had been wrong and is now a huge believer. He urged everyone in the industry to implement this important technology. He showed a private version of the Google Chrome browser that is fully DNSSEC-enabled, as well as tools he has created to add DNSSEC to Internet Explorer and Mozilla Firefox browsers. He capped it off by demonstrating DNSSEC-enabled email and announced he will be posting code so that DNSSEC-protected email can be sent and received though Microsoft Outlook. The crowd was wowed.

Defcon DNS Vulnerability Panel

This panel included ICANN’s Rick Lamb and Mehmet Akcin, Nominum’s Sandy Wilbourn, VeriSign’s Ken Silva and Dan Kaminsky, and was attended by about 800 people. Mehmet reports that it was an interactive and constructive session with considerable input from the audience.

Successes and lessons learned

Participants’ high level of engagement on DNSSEC and interest in ICANN demonstrate that these two events have helped to kickstart the long-term push for universal adoption of DNSSEC.

The panels and presentations had a significant impact in promoting DNSSEC. The most important lesson of ICANN’s experience at Black Hat and Defcon remains one of our defining philosophies: collaboration works. We made clear that everyone has a role in enhancing the security of the global Internet and we invited everyone to be a part of the solution. Many participants said they would push their ccTLDS, their own companies and software companies to enhance their product offerings to leverage DNSSEC. Participants clearly understood that this first true centralized trust anchor is a foundation for further global security enhancements.

ICANN’s first formal participation at Black Hat and Defcon, with many senior officials from the national security communities of the United States and other governments attending, also helped position ICANN as an important player in global Internet security. I believe our greatest achievement was the goodwill we created with the global security community and the governments they work with.

And special thanks again to all in the Internet Engineering Task Force for championing DNSSEC from the early days. It wouldn’t have happened without their unwavering commitment.