На сайте проекта «Нетоскоп» опубликованы результаты научно-исследовательских работ, проведенных в 2017 году в рамках научно-технического сотрудничества. Всего было проведено три НИР, в двух из которых исследовались протоколы, используемые для установки TLS-соединений, а в третьем – влияние DNS на системы обмена мгновенными сообщениями.
Авторы исследования «Расширения TLS-сертификатов в группе стандартов X.509» собрали и проанализировали статистику по ключевым для протокола TLS X.509 расширениям и значениям параметров этих расширений. По результатам исследования массовых аномалий выявлено не было. Это свидетельствует о стабильном и предсказуемом развитии технологий TLS для HTTPS в Рунете.
Показатели использования протокола Диффи-Хеллмана в Рунете отражают общее проникновение технологий защиты информации, поэтому исследование «Параметры протокола Диффи-Хеллмана, используемые TLS-серверами HTTPS Рунета» наглядно продемонстрировало как общее состояние, так и тенденции в этой области, характерные для России. Исследователи констатировали, что распространение «эллиптического» варианта протокола (ECDH) растет. Это связано с тем, что данный вариант имеет статус рекомендуемого практически во всех современных инструкциях по настройке TLS для системных администраторов, и, кроме того, ECDH используется массовыми хостингами. Использование протокола Диффи-Хеллмана в TLS для HTTPS-узлов в Рунете соответствует глобальным мировым тенденциям.
Интересные результаты показаны в НИР «Использование системы DNS современными системами обмена мгновенными сообщениями», где рассматриваются сценарии использования системы доменных имен (DNS) мобильными приложениями наиболее распространенных у российских пользователей мессенджеров – Telegram, Facebook Messenger (Facebook – ресурс Meta Platforms Inc. — организации, деятельность которых запрещена на территории РФ), WhatsApp, Viber. Исследованные приложения продемонстрировали разные подходы к использованию DNS. Так, приложение Telegram стоит особняком и вообще не использует DNS напрямую – типовых запросов обнаружить не удалось. При этом в Telegram, помимо шифрования, также используются дополнительные методы маскировки трафика. Другие проанализированные приложения используют DNS штатным образом – как для обнаружения действующих настроек адресации центральных серверов обмена сообщениями, так и для доступа к внешним ресурсам.
«Научно-исследовательская работа – это одно из главных направлений деятельности проекта «Нетоскоп». Объем данных, который участники проекта уже аккумулировали на площадке «Нетоскопа», позволяет нам проводить высококачественные и релевантные исследования, которые, уверен, будут полезны всем российским интернет-пользователям», – рассказал директор Координационного центра доменов .RU/.РФ Андрей Воробьев.
Напомним, что Координационный центр доменов .RU/.РФ создал исследовательскую платформу для агрегации информации о вредоносных ресурсах в национальных доменах верхнего уровня в 2012 году. Через год в интернете появился информационно-аналитический ресурс «Нетоскоп», на котором публикуются самые свежие данные о распространении киберугроз в сети и о ходе борьбы с вредоносными ресурсами. На сегодняшний день в проекте «Нетоскоп» участвуют 13 компаний – ООО «БИЗон», Group-IB, «Лаборатория Касперского», Mail.ru, Роскомнадзор, Ростелеком, RU-CERT, Технический центр Интернет, Яндекс, SURFnet, iThreat Cyber Group Inc., SkyDNS, Ассоциация участников МастерКард.