ICANN would like to announce that the transition of the technical management function for the IN-ADDR.ARPA zone from ARIN to ICANN has been completed. ICANN would also like to thank ARIN for carrying out the DNS zone maintenance function for IN-ADDR.ARPA since 1997 and their cooperation during this transition period.

For more details on the history of this transition please see the project web page.

Egypt’s top-level domain .eg is operated by the Egyptian Universities Network (EUN) (http://www.iana.org/domains/root/db/eg.html). The Arabic script top-level domain .masr (مصر, http://www.iana.org/domains/root/db/xn--wgbh1c.html) is operated by the National Telecommunication Regulatory Authority of Egypt (NTRA) (http://www.iana.org/domains/root/db/xn--wgbh1c.html).

The primary servers they operate have been inaccessible to those outside of Egypt since January 27. Secondary DNS servers for .eg, located in Austria and the United States, have continued to function with data provided before the shutdown.

The .مصر DNS servers are exclusively in Egypt and there do not appear to be any secondary DNS servers outside the country. This means that service to sites served by this top-level domain are unreachable by the rest of the world.

Secondary servers copy their data from the primary server at regular intervals. Data in the secondary DNS servers, serving anyone in the world wishing to receive .eg DNS services, have an expiration date. Secondary servers require regular updating from the primary server at specified intervals – called “time to live” (TTL) – and that time is set to expire in 140 days.

Normally when primary servers fail – for example, following the earthquake in Haiti – the operator wants secondary servers to continue operating with the last zone file they had provided. This allows users around the world to connect to functioning servers in their zone.

ICANN’s Manager for Regional Relations for the Middle East has been communicating with both TLD operators, EUN and NTRA. The operators of .eg have communicated with ICANN and through ICANN are communicating with the secondary operators outside the country. They have requested that the secondary operators continue using the existing zone files past their time to live timeframes, if necessary.

This experience offers a number of lessons, among them that a policy to encourage the establishment of secondary servers to promote continuity of service as well as DNS stability could be useful and in the global public interest. ICANN will ask the ccNSO to consider proposing a policy to address this type of situation.

ICANN helps to ensure a secure and stable global Internet through its coordination of the domain name system, and is the global policy development body for the DNS and related matters. More than 100 ccTLD operators are voluntary members of the Country Code Names Supporting Organization (ccNSO), a formal ICANN policy and coordination body.

The objective of the DSSA-WG is to draw upon the collective expertise of the participating Supporting Organizations and Advisory Committees, solicit expert input and advice and report:

1. The actual level, frequency and severity of threats to the DNS;
2. The current efforts and activities to mitigate these threats to the DNS; and
3. The gaps (if any) in the current security response to DNS issues.

If considered feasible and appropriate, the DSSA-WG may identify and report on possible additional risk mitigation activities that it believes would assist in closing any gaps identified under item C above.

Each of the participating Supporting Organizations and Advisory Committees has adopted the Charter [PDF, 153 KB] of the Working Group according to its own rules and procedures. There shall be a minimum of one representative from each participating SO and AC. The Working Group shall also approach the technical and security communities, other DNS experts and Computer Emergency Response Teams to seek their participation and expertise. All DSSA-WG participants are expected to be able to:

• Demonstrate knowledge or expertise of aspects of the objectives of the DSSA-WG; and
• Commit to actively participate in the activities of the working group on an ongoing and long-term basis.

Interested volunteers are encouraged to contact their respective AC and SO representatives, although staff points of contact listed below can provide more information:

• ALAC – Heidi Ullrich
• ccNSO & NRO – Bart Boswinkel
• GNSO & SSAC – Julie Hedlund

The IPv4 Reverse DNS uses the special domain IN-ADDR.ARPA. For many years the IN-ADDR.ARPA zone has been served by twelve of the thirteen DNS root servers. The changes we are planning will see the IN-ADDR.ARPA zone move to new, dedicated nameservers, five operated by the Regional Internet Registries (RIRs) and one operated by ICANN.

The deployment of dedicated DNS infrastructure for IN-ADDR.ARPA provides additional protection for clients and for root servers from high IPv4 reverse DNS traffic loads, and is consistent with the direction identified by the Internet Architecture Board (IAB) in RFC 3172. The naming scheme for the
new nameserver set will be as described in RFC 5855, as was recently implemented by ICANN for IP6.ARPA, the domain which supports the reverse DNS for IPv6.

ARIN has carried out the DNS zone maintenance function for IN-ADDR.ARPA since 1997. This function will transition to ICANN and will be managed concurrently with the central assignment of IPv4 address space to RIRs. Once the IN-ADDR.ARPA zone is being maintained by ICANN it will also be signed using DNS Security Extensions (DNSSEC), providing end-users with the ability to validate answers to reverse DNS queries.

Work on this set of changes began in November 2010, and is expected to be complete in February 2011. For more details please see <http://in-addr-transition.icann.org/>.

Threats to the DNS have been around for many years, and ICANN has served as a forum for bringing the Internet community together. An entire international public meeting was dedicated to “Security and Stability of the Internet Naming and Address Allocation Systems” in November 2001. The Security and Stability Advisory Committee was formed in 2002. Each ICANN public meeting since 2006 has included a tech day for the ccTLD community, and recent meetings have included dedicated sessions on DNSSEC and abuse of the DNS. We’ve supported annual contingency exercises since 2008, and we are planning a DNS Operations and L-root exercise for early 2011.

The Security team recently completed a 53-day comment period on the FY 11 Update to the SSR Plan (including several outreach and briefing sessions). The At Large, global business, TLD operations and academic research communities all contributed. A summary and analysis of comments is available at http://forum.icann.org/lists/ssr-plan-fy11/msg00008.html, and we will soon post a version of the Plan showing how comments were incorporated, along with an updated clean version.

As part of our effort to strengthen and improve the security, stability and continuity of ICANN internal operations, consistent with the 2010-13 Strategic Plan, the Security and Information Technology teams formalized internal incident response practices in September 2010. The ICANN Computer Incident Response Team is intended to be the primary responder in handling internal ICANN organizational information security incidents, and detail on this team is posted on our website at http://www.icann.org/en/cirt/.

In establishing an internal CIRT, ICANN is following best practices set by other operators of Internet infrastructure. Many entities have them in place, including the US National Institute for Standards and Technology (NIST), Microsoft, Neustar, VeriSign, Symantec, Juniper, Packet Clearing House, Skype, Yahoo, Google, Apple Computer, AT&T, the National Institutes of Health, universities and others.

The FY 11 Operating Plan noted that we would put an emphasis on hardening ICANN’s infrastructure and internal security efforts. This included:

• Ensuring annual updating of ICANN security plans and monitoring effective implementation of security controls and procedures;
• Ensuring ICANN security staff has strong skills and appropriate tools and is current with security threats and best practices.

Our FY 11 SSR Plan stated: “Specific initiatives underway in 2010 to improve ICANN’s security posture include improvements to logical and physical access controls, change management, logging/auditing and data backup procedures, security awareness training for staff, building incident response capabilities and improvements to mobile device security.” The formation of an internal incident response team demonstrates these plans are being put into action.

We understand there has been some confusion about whether the internal CIRT is related to the DNS-CERT initiative. The CIRT is not the foundation for a DNS-CERT. ICANN stated very clearly in Brussels, and in the summary and analysis of comments on the Security Strategic Initiatives and DNS-CERT Business Case in May 2010, that ICANN was not taking steps to operate a DNS-CERT.

ICANN supports the Joint DNS Security and Stability Analysis (DSSA) Working Group and other community efforts to develop a proposal on where a DNS-CERT, or collaborative response capability, might be housed and financially supported. The first proposal for an entity to support DNS related operations when DNS incidents occur was by DNS-OARC in 2002 (see http://www.isc.org/community/blog/201003/perspectives-dns-cert). Unfortunately, the needs identified at that time and recognized again in the DNS-CERT Business Case have not yet been addressed. ICANN staff very much hope to receive support and guidance from the community on this matter.

ICANN wants to collaborate with the community to identify threats and risks to the DNS, and to facilitate efforts to bring the Security community, the DNS operations community and users of the DNS together to improve overall DNS security, stability and resiliency. The DSSA Working Group is finalizing a charter, led by representatives from the At Large Advisory Committee, Country Code Names Supporting Organization, Generic Names Supporting Organization and Number Resource Organization. Independent experts from the security and infrastructure operations community are likely to be included in this effort.

ICANN continues to regularize root key signing operations for DNSSEC in partnership with VeriSign and with the support of the Internet community. ICANN conducted the third DNSSEC Key Signing Ceremony on 1 November 2010 in Culpeper, Virginia. A growing number of registry operators are implementing DNSSEC in TLD zones, including recent adoption in Finland, India, and in the Caribbean ccTLDs for Antigua and Barbuda, Belize, Honduras, St. Lucia, and St. Vincent and the Grenadines. VeriSign has announced its progress on implementing DNSSEC in .NET and .COM, and ICANN anticipates this will accelerate the adoption of this security enhancement by other registries and registrars, for the benefit of Internet users. Large ISPs such as Comcast are announcing DNSSEC implementation initiatives, and this is a very positive step.

Under the Affirmation of Commitments, we are supporting the efforts of the Security, Stability and Resiliency Review Team (http://www.icann.org/en/reviews/affirmation/review-2-en.htm), which will conduct its first face-to-face meeting in Cartagena. This is a strong group of volunteers from across the global Internet community and we stand ready to facilitate their work.

We’re continuing to support DNS capacity building initiatives in partnership with the Network Startup Resource Center and the Internet Society. Successful training sessions have been conducted since the Brussels meeting in Mali for AfTLD and Guatamala for LACTLD. A training session was held on 2-6 November 2010 in Amman, Jordan, for APTLD.

This is a just sampling of our current activities. Security team staff will be in Cartagena and available to discuss the initiatives underway for FY 11. We welcome your suggestions and input. For more information, see http://www.icann.org/en/security/.

Patrick Jones
Senior Manager of Continuity & Risk Management
ICANN

Since I was quoted briefly in the article, I’d like to share some additional thoughts.

Why so much Public Comment?

Public Comment periods are vital in satisfying ICANN’s goal to be a bottom-up multi-stakeholder policy making body and to provide openness and transparency in its policy development processes. An ICANN core value is to employ open and transparent mechanisms in policy development processes. Such openness promotes well-informed decisions, and ensures that people affected by a new policy can participate and assist in the policy’s formation. That’s why the Bylaws mandate public comment periods (for example, see Annex A, Sections 6 and 9).

The Affirmation of Commitments reflects the same principles, calling for ICANN to provide transparent and fact-based policy development, cross-community deliberations, and responsive consultation procedures. In the Affirmation, ICANN committed to provide detailed explanations of the basis for decisions — including how comments have influenced policy considerations.

Thus, the desire to hear all voices on each policy issue comes right from ICANN’s core. Frankly, we don’t want to limit public comments.

Is ICANN handling too many policy processes at the same time?

The answer is “No!” as soon as you consider the alternatives.

Three Supporting Organizations and a number of Advisory Committees can bring policy issues before the community. To which of them would we say, “Sorry, too busy to care about your issue; check back later”? Obviously, none of them.

An ICANN policy development process takes time to gather all viewpoints. Imagine how long it would take ICANN to address your particular policy issue if there were an arbitrary limit. If the ICANN community only handles seven or ten issues at once, that means all other issues remain parked indefinitely, probably for months. Notable achievements from this year, such as IDNs and DNSSEC going into the root, might still be waiting to happen. Do we want to slow our processes? Obviously, no. (Improve and prioritize better? Yes, indeed!)

Andrew reports that “some people” believe there are too many simultaneous policy issues pending, and are worried (with some justification) about overload in our volunteer community. This perception may be due to several factors, including:

• Our list of open issues initially looks confusing because issues have not been prioritized. The GNSO is about halfway through creating a method for prioritizing projects. Ranking their relative importance will help make them easier to take in all at once.
• Many policy-related reports exceed 100 pages. The GNSO has recently resolved that its reports should begin with an Executive Summary. This will help reduce the reading an individual has to do in deciding whether to comment.
• Our large, diverse volunteer community is avid and committed to follow the growing number of policy issues that reflects the increased global impact of the Internet.

We will also be examining the processes and mechanisms we use to manage the public comment process in hopes of identifying more effective and efficient ways to publicize, collect and organize community comments.

Policy development has an ebb and flow. Recently, we seem to be at high tide. Some of the tide will ebb when the new gTLD program launches and GNSO Improvements Initiative winds down. Five working groups will go away (one already has). Optimistically, the bulk of the GNSO improvements effort may be completed in early 2011.

We shouldn’t set an arbitrary limit to the number of issues evaluated by the ICANN Community. The issues arise from the community, and staff works diligently to support that work. We all recognize that many issues are both important and urgent to different parts of the ICANN community. I do not believe that ICANN is handling too many policy issues.

The ICANN community is also working hard to enhance our collective management of so many important issues, which is not always easy. Yet, if the current situation seems difficult, consider the alternative: Further delays in improvements to WHOIS.  The 65% of Internet users who do not speak English await IDNs in their own languages. Communities still waiting more years for their new gTLDs. Phishers continue defrauding consumers using techniques that DNSSEC can stop. If we must err, it is better for ICANN to handle too much, than for ICANN to handle too little.

حضر عدد من أعضاء ICANN  مؤتمري Black Hat وDefcon الأسبوع الماضي بهدف طرح DNSSEC أمام مجتمع أمن الإنترنت العالمي.

يعتبر Black Hat أحد المؤتمرات الرئيسية في العالم حول الأمن؛ والتي تجتذب نحو من 5,000 مشارك في الموقع والعديد عبر الإنترنت. أما Defcon فهو أحد المؤتمرات التي تدور حول القراصنة، كما قد حضره ممثلون من الحكومة والأمن، وما يقرب من 10,000 شخص مسجلين لمؤتمر هذا العام. وتلك بمثابة مجتمعات مهمة بالنسبة لـ ICANN .

وقد ألقى جيف موس رئيس Black Hat كلمته أمام آلاف المشاركين في الجلسة الافتتاحية، وطرح إحدى المسائل الهامة. حيث قال بأن مسألة الأمن على مدار تاريخ Black Hat الذي يعود إلى 13 عاماً قد تم بحثها ومناقشتها، ولكن ما هو التقدم الذي تم إحرازه؟ ما هو النجاح الحقيقي الذي يمكننا الاحتفاء به؟ يعتبر النمو في حركة مرور البيانات الضارة على الويب أعلى من النمو في حركة مرور البيانات المشروعة. وأكد قائلاً بأن مجتمع أمن الإنترنت لم يكن لديه إنجاز ملموس لإظهار جهودنا – حتى اليوم. ويجري حاليًا إطلاق DNSSEC ، وقبل أيام فقط تم التوقيع على تشفير جذر الإنترنت. وهذا هو أول تعزيز لأمن الإنترنت الرئيسي منذ بداية Black Hat ، ونحن إذاك، نتقدم بالشكر إلى ICANN على هذا الإنجاز.

وهذا ما يمهد الطريق أما تحقيق نجاحات أخرى، والتي تشمل:

خطاب وايت ديفي في الدورة التنفيذية Black Hat

شارك ما يقرب من ثمانين من كبار قادة الحكومات والشركات في برنامج خاص استغرق يومًا واحدًا قبل بدء مؤتمر Black Hat رسمياً. وكان وايت ديفي، نائب الرئيس الجديد لـ ICANN لتشفير وأمن المعلومات، المتكلم الرئيسي والذي أثر كثيراً على الجمهور، وشهد له الكثير بسمعته العالمية باعتباره رائد ومؤسس التشفير.

هيئة ضعف DNS في مؤتمر Black Hat

حظي هذا الحدث بحضور كبير وتركيز كلي على كيفية نشر وتطبيق DNSSEC بنجاح على جميع المستويات. وشملت المناقشة المثيرة كلاً من وايت ديفي؛ وساندي ويلبورن، مسئول التكنولوجيا الأول في نومينيام؛ وكين سيلفا، مسئول التكنولوجيا الأول في فيريساين؛ ومارك ثرفورد، الرئيس السابق لأمن المعلومات بولاية كاليفورنيا، والتي قامت بتنفيذ DNSSEC ؛ ودان كامينسكي، كبير العلماء في شركة Recursion Ventures وأحد ناشطي DNS ؛ وأنا.

المؤتمر الصحفي المعلن عن إطلاق DNSSEC ، مع ربط متابعة مباشرة لاجتماع IETF في ماستريخت

شهد المؤتمر الصحفي حضورًا جيدًا من قبل وسائل الإعلام في العالم، سواء من الناحية التقنية والاتجاه السائد. روس هاوسلي، رئيس فرقة عمل هندسة الإنترنت من خلال ربط الفيديو مع مارك ماكلولين، الرئيس التنفيذي لشركة فيريساين، ودان كامينسكي. وقد قدم روس شرحًا مفصلاً ومتميزًا لمسائل عديدة، وكانت مشاركته بمثابة تعزيز كبير للمؤتمر الصحفي. وقد نشرت العشرات من المقالات حول DNSSEC، بما في ذلك مقال وكالة فرانس التي تم انتقاؤها من قبل وسائل الإعلام في جميع أنحاء العالم والأخبار في مجلة ناشونال جورنال، سي، سي بي اس نيوز وايه بي سي نيوز. للحصول على جوهر التغطية الإعلامية، الرجاء مراجعة:
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

جلسة كامينسكي Black Hat حول كيفية تنفيذ DNSSEC للتصفح والبريد الإلكتروني والمواقع

احتشد أكثر من 1,000 شخص للاستماع إلى دان وهو يطرح مجموعة من الأدوات التي يمكن توقيع تشفيرها بسرعة وسهولة لأي موقع. على الرغم من بداية تشككه بشأن DNSSEC ، أكد دان أنه كان على خطأ وهو الآن مؤمن كبيرً. وقد حث الجميع في هذا المجال على تنفيذ هذه التكنولوجيا الهامة. كما عرض إصدارًا خاصًا من متصفح جوجل كروم ذات خاصية تمكين DNSSEC الكاملة، فضلاً عن الأدوات التي أوجدها لإضافة DNSSEC إلى متصفح الإنترنت ومتصفح موزيلا فايرفوكس. ومن ثم تشغيله من خلال بريد إلكتروني مزود بإمكانية DNSSEC كما أعلن أنه سينشر التعليمات البرمجية بحيث يمكن إرسال واستلام البريد الإلكتروني المحمي بـ DNSSEC من خلال برنامج مايكروسوفت أوتلوك. وذهل الحشد من ذلك الأمر.

هيئة ضعف DNS في مؤتمر Defcon

شملت هذه الهيئة ريك لامب وآكسين محمت أكين من مؤسسة ICANN ، وساندي ويلبورن من مؤسسة نومينيام، وكين سيلفا من شركة فيريساين ودان كامينسكي، وقد حضرها نحو 800 شخص. وقال محمت أنها كانت جلسة تفاعلية وبناءة مع مشاركة كبيرة من الجمهور.

النجاحات والدروس المستفادة

أوضح مستوى المشاركة المرتفع والاهتمام الكبير بـ DNSSEC في ICANN أن هذان الحدثان قد ساعدا في نقطة البدء والدفع طويل الأجل لاعتماد عالمي لـ DNSSEC .

وكان للهيئات والعروض التقديمية أثر كبير في تعزيز DNSSEC . ويبقى أهم درس من تجربة ICANN في مؤتمري Black Hat وDefcon أحد الفلسفات التي تحدد لنا: أعمال التعاون. أوضحنا أن لكل فرد دورًا في تعزيز أمن شبكة الإنترنت العالمية، وعلى ذلك فقد دعونا الجميع ليكونوا جزءًا من الحل. وقال العديد من المشاركين أنهم سيعملون على الدفع بـ ccTLDS ، وبشركاتهم الخاصة وشركات البرمجيات لتعزيز عروض منتجاتها للاستفادة من DNSSEC . وفهم المشاركون بوضوح أن نقطة ارتكاز الثقة الأساسية هذه هي بمثابة الأساس لمزيد من التعزيزات الأمنية العالمية.

كما ساعدت مشاركة ICANN الرسمية الأولى في مؤتمري Black Hat وDefcon ، مع العديد كبار مسئولي مجتمعات الأمن القومي بالولايات المتحدة والحكومات الأخرى التي حضرت، في وضع ICANN في مكانة اللاعب المهم بالنسبة لأمن شبكة الإنترنت العالمية. وأعتقد أن الإنجاز الأكبر يتمثل في النية الحسنة التي تشكلت مع مجتمع الأمن العالمي والحكومات التي تعمل معها.

أتوجه بالشكر مرة أخرى للجميع في فريق عمل هندسة الإنترنت لدعم DNSSEC منذ الأيام الأولى. ولم يكن ليحدث ذلك ويتحقق من دون التزامها التام.

Black Hat 是世界上最重要的安全会议之一，它吸引了大约 5000 名现场参与者以及更多的在线参与者。Defcon 是一个黑客参加的活动，同时也有政府与安全领域的人员参与，有近 10000 人登记参加了今年的会议。这些都是 ICANN 非常重视的群体。

Black Hat 主席 Jeff Moss 在开幕式上向数千名与会者发表讲话，并提出了一个具有挑战性的问题。在 Black Hat 的 13 年历史中，与会者们一直在对安全问题进行讨论与争议，但我们取得了哪些进展？我们获得了哪些有实际意义的成就？网络上恶意流量的增长远高于合法流量的增长。他认为直到现在，互联网安全社群一直都无法拿出实质性的成果的来证明我们的努力。但现在 DNSSEC 正在启动，而且就在几天前互联网的根域经过了加密签名。这是自首届 Black Hat 以来互联网安全第一次得到显著的提升，我们要感谢 ICANN 能够取得这一成绩。

这也为取得其它成功确立了基调，包括：

Whit Diffie 在 Black Hat 执行会议中的主题演讲

80 名来自政府和企业的高层领导人在 Black Hat 正式开始的前一天出席了一个为期一天的单独项目。ICANN 负责“信息安全与密码”的新副总裁 Whit Diffie 是该项目的午餐会主题发言人。他给与会者留下了深刻的印象，许多人都知道他作为一流译解密码员的世界级声誉。

Black Hat DNS 漏洞专家小组

这次活动出席者甚众，且重点完全集中于如何在所有级别上成功部署 DNSSEC。这一热烈讨论的参与者包括 Whit Diffie；Nominum 的 CTO Sandy Wilbourn；VeriSign 的 CTO Ken Silva；加利福尼亚州（已实施 DNSSEC）前首席信息安全官 Mark Weatherford；Recursion Ventures 首席科学家和 DNS 活动家 Dan Kaminsky；以及我。

在新闻发布会上推出了 DNSSEC，并与位于马斯特里赫特的 IETF 会议现场连线

此次新闻发布会广受世界媒体参与，包括技术与主流媒体。互联网工程任务组主席 Russ Housely 通过视频链接参加了发布会，此外 VeriSign 的 CEO Mark McLaughlin 以及 Dan Kaminsky 也出席了发布会。Russ 对诸多问题提供了极其详细的解释，由于他的出席，此次新闻发布会的影响大大增强。目前已出现多篇有关 DNSSEC 的文章，其中包括被多家媒体转发的法新社文章，以及 National Journal、MSNBC、CBS News 以及 ABC News 所发表的报导。要了解新闻报道的详细信息，请通过以下链接查看：
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

在 Black Hat 上，Kaminsky 就如何将 DNSSEC 应用于浏览，电子邮件与网站发表讲话

有超过 1000 人观看了 Dan 所展示的一套可快速、方便地加密签署任何网站的工具。Dan 最初对 DNSSEC 表示了怀疑，但他现在已是它最忠实的信徒。他呼吁每位业内人士都应实施这一重要的技术。他展示了一款完全启用了 DNSSEC 的非公开版 Google Chrome 浏览器，以及他创建的用来将 DNSSEC 添加到 Internet Explorer 与 Mozilla Firefox 浏览器的工具。他还展示了启用 DNSSEC 的电子邮件，并宣布将发布代码以便使受 DNSSEC 保护的电子邮件能够通过 Microsoft Outlook 发送与接收。现场参与者一片轰动。

Defcon DNS 漏洞专家小组

这个小组包括 ICANN 的 Rick Lamb 与 Mehmet Akcin，Nominum 的 Sandy Wilbourn，VeriSign 的 Ken Silva 与 Dan Kaminsky 等，与会人数约 800 人。Mehmet 报告说，这是一个高度互动性并且极富建设性的会议，他们从与会者处得到了可观的收获。

成功和经验教训

参与者对 DNSSEC 的高度认识以及对 ICANN 的浓厚兴趣表明，这两项活动已经对长期推动 DNSSEC 的普遍应用起到了很大作用。

这些小组讨论与展示活动在推动 DNSSEC 方面具有重大影响。在 Black Hat 与 Defcon 上 ICANN 想要传达的最重要的一点，同时也是我们最基本的理念之一：团结合作才能成功。我们希望大家能够清楚地认识到，每个人在增强全球互联网安全方面都应当起到作用，并且我们邀请每个人都成为解决方案的一分子。许多与会者表示，他们将推动其国家代码顶级域名 (ccTLDS)、自己的公司以及软件公司，来提高他们的产品对 DNSSEC 的运用。与会者清楚地知道，这样一个真正集中化的信任机制的构建，将成为进一步增强全球安全的基础。

这是 ICANN 首次正式参与有美国和其它政府的国家安全领域高级官员出席的 Black Hat 与 Defcon。这有助于提高 ICANN 在全球互联网安全方面所扮演角色的重要性。我认为在这两个会议上，我们取得最大的成就是同全球安全社群以及与其协同工作的政府建立起了友好的关系。

再次特别感谢一直以来支持 DNSSEC 的互联网工程任务组的所有人员。没有他们不懈的努力，就不可能有今天的成功。

Black Hat является одной из главных всемирных конференций по вопросам безопасности, на которой лично присутствует свыше 5 000 участников, и еще большое их число использует средства удаленного участия. Defcon является мероприятием хакеров, на котором также присутствуют представители правительственных органов и служб безопасности. В этом году для участия в конференции зарегистрировалось почти 10 000 человек. Эти сообщества важны для ICANN.

Председатель Black Hat Джефф Мосс (Jeff Moss) обратился к тысячам участников на церемонии открытия и задал каверзный вопрос. Вопросы безопасности обсуждались на конференции Black Hat в течение всей ее 13‑летней истории, но какого прогресса мы достигли? Какие реальные успехи мы можем торжественно отметить? Вредоносный трафик в сети растет интенсивнее законного трафика. У сообщества, занимающегося решением вопросов безопасности Интернета, — сказал он, — до сих пор нет уверенных достижений, свидетельствующих о продуктивности его усилий. В настоящее время начато внедрение технологии DNSSEC, и всего несколько дней тому назад корневая зона Интернета получила криптографическую подпись. Это первое крупное усовершенствование системы безопасности Интернета с начала проведения Black Hat, и мы благодарны ICANN за это достижение.

Оно задает тон другим успехам, в числе которых можно назвать следующие.

Программный доклад Уита Диффи (Whit Diffie) на закрытом заседании Black Hat

Восемьдесят руководителей высшего звена из правительств и корпораций приняли участие в закрытой однодневной программе за день до официального начала конференции Black Hat. Уит Диффи, новый вице-президент ICANN по вопросам информационной безопасности и криптографии, выступил с программной речью во время официального завтрака и произвел огромное впечатление на аудиторию, значительная часть которой знала о его мировой репутации прогрессивного специалиста по криптографии.

Семинар Black Hat по вопросам уязвимости DNS

На этом мероприятии, целиком посвященном успешному развертыванию DNSSEC на всех уровнях, присутствовало большое количество участников. В оживленном обсуждении принимали участие Уит Диффи; Сэнди Уилборн (Sandy Wilbourn), главный технический директор Nominum; Кен Силва (Ken Silva), главный технический директор VeriSign; Марк Уезерфорд (Mark Weatherford), бывший руководитель службы информационной безопасности штата Калифорния, занимавшийся внедрением DNSSEC; Дэн Каминский (Dan Kaminsky), главный научный советник Recursion Ventures и активист DNS; а также я.

Пресс-конференция, посвященная запуску DNSSEC, с подключением в прямом эфире к совещанию Комиссии по технологиям Интернета (IETF) в Маастрихте.

Н этой пресс-конференции присутствовали многочисленные представители мировых средств массовой информации, как технических, так и основных. Расс Хаусли (Russ Housely), председатель Комиссии по технологиям Интернета, присоединился к конференции по видеосвязи, наряду с Марком Мак-Лауглином (Mark McLaughlin), генеральным директором VeriSign, и Дэном Камински. Расс представил отличные подробные пояснения в ответ на многочисленные вопросы, и эта пресс-конференция существенно выиграла от его участия. Появились десятки статей о DNSSEC, включая статью агентства Франс-Пресс, которая была распространена информационными агентствами по всему миру, и сообщения в National Journal, MSNBC, CBS News и ABC News. Чтобы понять масштабы освещения этого события, воспользуйтесь следующей ссылкой: http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

Заседание Black Hat по вопросам внедрения DNSSEC для просмотра ресурсов, электронной почты и веб-сайтов, проведенное Камински

Свыше 1 000 человек собрались в аудитории, чтобы выслушать проведенную Дэном презентацию набора средств, позволяющих быстро и без труда создать криптографическую подпись для любого веб-сайта. Хотя Дэн вначале скептически относился к DNSSEC, он публично признал свою ошибку и заявил, что теперь является убежденным сторонником этой концепции. Он призвал всех участников отрасли к внедрению этой важной технологии. Дэн продемонстрировал неофициальную версию браузера Google Chrome, полностью совместимую с DNSSEC, а также созданные им средства добавления технологии DNSSEC в браузеры Internet Explorer и Mozilla Firefox. В конце выступления он продемонстрировал электронную почту, совместимую с DNSSEC, и объявил о своих планах опубликовать код, позволяющий отправлять и получать защищенную DNSSEC электронную почту через Microsoft Outlook. Присутствующие пришли в восторг.

Семинар Defcon по вопросам уязвимости DNS

В этом семинаре, на котором присутствовало около 800 человек, приняли участие представители ICANN Рик Лэмб (Rick Lamb) и Мехмет Аксин (Mehmet Akcin), представитель Nominum Сэнди Уилборн (Sandy Wilbourn) и представители VeriSign Кен Силва (Ken Silva) и Дэн Камински. По словам Мехмета, это был конструктивный семинар, основанный на диалоге, в работу которого внесла значительный вклад аудитория.

Успехи и извлеченные уроки

Высокий уровень интереса участников к DNSSEC и ICANN демонстрирует, что эти два мероприятия способствовали сильному первому рывку в направлении долгосрочного и всеобщего признания DNSSEC.

Семинары и презентации оказали существенное влияние на продвижение технологии DNSSEC. Наиболее важным уроком, который ICANN извлекла из участия в Black Hat и Defcon, остается одна из наших основополагающих концепций: совместная работа дает плоды. Мы ясно дали понять, что каждый играет свою роль в повышении безопасности всемирного Интернета, и мы пригласили всех принять участие в решении этой задачи. Многие участники заявили о намерении способствовать использованию своими нДВУ, компаниями и организациями, занимающимися разработкой ПО, возможностей DNSSEC, чтобы повысить качество предлагаемой продукции. Участники конференций смогли четко понять, что эта первая действительно централизованная точка доверия является основой дальнейшего повышения глобальной безопасности.

Первое официальное участие ICANN в работе Black Hat и Defcon, наряду с участием многих высокопоставленных должностных лиц национальных сообществ США и правительств других стран, занимающихся решением вопросов безопасности, также помогло позиционировать ICANN как важного игрока в области глобальной безопасности Интернета. Я считаю, что самым главным нашим достижением было приобретение хорошей репутации в глазах мирового сообщества, занимающегося решением вопросов безопасности, и правительств, с которыми оно сотрудничает.

И я хочу вновь выразить особую благодарность всем в Комиссии по технологиям Интернета за поддержку, оказываемую технологии DNSSEC с самого начала. Без этой твердой приверженности внедрение данной технологии было бы невозможным.

"Black Hat" es una de las conferencias principales de seguridad; atrae a unos 5.000 participantes en persona y a muchos más en línea. "Defcon" es un evento acerca de piratas informáticos, también visitado por personal del gobierno y de seguridad y con alrededor de 10.000 personas registradas para la conferencia de este año. Estas son comunidades importantes para ICANN.

Jeff Moss, el director de "Black Hat", se dirigió a miles de participantes en la sesión inaugural e hizo una pregunta desafiante.  Se ha discutido y debatido la seguridad a lo largo de los 13 años de historia del "Black Hat", sin embargo ¿cuánto es lo que hemos avanzado? ¿Qué triunfo verdadero podemos festejar?  El crecimiento del tráfico maligno en la web es mayor que el crecimiento de tráfico legítimo. La comunidad de seguridad de Internet, dijo, no ha obtenido ningún logro substancial como para demostrar sus esfuerzos, hasta ahora.  Hoy estamos lanzando la DNSSEC, y hace apenas unos días la raíz de Internet fue firmada criptográficamente. Esta es la primera gran mejora en la seguridad de Internet desde el comienzo de "Black Hat" y le agradecemos a ICANN por este logro.

Esto marca las pautas para el triunfo, incluyendo:

Comentario principal de Whit Diffie en la sesión ejecutiva de "Black Hat"

Ochenta de los mayores líderes de gobiernos y empresas participaron en un programa exclusivo de un día el día anterior al comienzo oficial de "Black Hat".  Whit Diffie, el Nuevo vicepresidente de seguridad de la información y criptografía de ICANN, fue el orador principal e impresionó enormemente a la audiencia, muchos de los cuales conocía su reputación global como un criptógrafo de vanguardia.

Panel de vulnerabilidad de DNS de "Black Hat"

El evento tuvo buena asistencia y se concentró completamente en cómo implementar la DNSSEC exitosamente en todos los niveles. La animada discusión incluyó a Whit Diffie; Sandy Wilbourn, director de tecnología de Nominum; Ken Silva, director de tecnología de VeriSign; Mark Weatherford, ex director de seguridad de la información del estado de California, quien implementó DNSSEC; Dan Kaminsky, jefe de ciencias de Recursion Ventures y activista de DNS y a mí. 

Conferencia de prensa del lanzamiento de la DNSSEC, con una conexión en directo a la reunión de la IETF en Maastricht

La conferencia de prensa fue bien atendida por la prensa mundial, técnica y en general. Russ Housely, director del grupo de trabajo en ingeniería de Internet se sumó mediante un enlace de video junto a Mark McLaughlin, director general ejecutivo de VeriSign y a Dan Kaminsky.  Russ brindó explicaciones detalladas excelentes a muchas de las preguntas y la conferencia de prensa mejorada en general gracias a su participación.  Han aparecido decenas de artículos acerca de la DNSSEC, incluyendo un artículo de la Agence France Presse que ha sido escogido por los medios de todo el mundo y artículos en el National Journal, MSNBC, CBS News y ABC News. Para darse una idea de la cobertura, visite: http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec

Sesión Kaminsky de "Black Hat" acerca de cómo implementar la DNSSEC para navegar, correo electrónico y sitios web

Más de 1.000 personas se reunieron para oír a Dan presentando un juego de herramientas que pueden firmar criptográficamente cualquier sitio web de forma rápida y sencilla. Inicialmente no muy convencido acerca de la DNSSEC, Dan declaró que estuvo equivocado y ahora es un ferviente seguidor. Les pidió a todos los miembros de la industria que implementen esta importante tecnología. Mostró una versión privada del navegador Google Chrome que es completamente compatible con DNSSEC, junto con las herramientas que ha creado para agregarle DNSSEC a los navegadores Internet Explorer y Mozilla Firefox. Coronó todo esto con una demostración de correo electrónico compatible con DNSSEC y anunció que publicará el código para que los correos electrónicos protegidos con DNSSEC se puedan enviar y recibir usando Microsoft Outlook.  La audiencia quedó impresionada. 

Panel de vulnerabilidad de DNS de "Defcon"

Este panel incluyó a Rick Lamb y Mehmet Akcin de ICANN, Sandy Wilbourn de Nominum, Ken Silva y Dan Kaminsky de VeriSign y fue atendido por más de 800 personas. Mehmet reporta que fue una sesión interactiva y constructiva con mucha participación de la audiencia.

Éxitos y lecciones aprendidas

El alto nivel de compromiso de los participantes con DNSSEC y el interés en ICANN demuestra que esos dos eventos ayudaron a iniciar el lanzamiento a largo plazo para la adopción universal de la DNSSEC.  

Los paneles y presentaciones tuvieron un impacto importante en promover la DNSSEC.  La lección más importante de la experiencia de ICANN en "Black Hat" y "Defcon" sigue siendo una de nuestras filosofías básicas: la colaboración funciona. Hemos puesto en claro que todos tienen un papel en la mejora de la seguridad del Internet global y hemos invitado a todos para que sean parte de la solución. Muchos participantes dijeron que impulsarán sus ccTLDS, sus propias empresas y las de software para que mejoren sus productos para impulsar la DNSSEC. Los participantes claramente entendieron que este punto verdaderamente centralizado de confianza es la base para las futuras mejoras globales en seguridad. 

La primera participación formal de ICANN en "Black Hat" y Defcon" con la asistencia de muchos funcionarios superiores de comités de seguridad nacional de los Estados Unidos y otros gobiernos, también ayudó a colocar a ICANN como un participante importante en la seguridad global de Internet.   Yo creo que nuestro mayor logro fue la buena voluntad que hemos creado con la comunidad de seguridad global y de los gobiernos con los que trabajan. 

Y un agradecimiento especial nuevamente para el grupo de trabajo de ingeniería de Internet por dirigir la DNSSEC desde el principio.  No lo hubiéramos logrado sin su incuestionable compromiso.