Текст книги "Домены. Все, что нужно знать о ключевом элементе Интернета"

Глава 5
Оплот Рунета – домен RU

Союз Советских Социалистических Республик распался в 1991 году. Ранее образовывавшие единое государство республики обрели самостоятельность, в том числе и самостоятельность во всемирной системе адресации Интернета. Правда, как мы только что подробно рассказали, при делении виртуальной географии домен СССР вовсе не исчез. То есть виртуальное отражение политической карты мира после распада СССР приобрело новые домены, сохранив нетронутым исходный, исторический домен SU.

Новые национальные домены в Интернете возникают не просто так, а в соответствии со сложившейся практикой присвоения государствам международных двухбуквенных кодов. Порядок использования этих кодов регулируют международные организации, ответственные за выработку единых стандартов. И вот для России как независимого государства, субъекта международной политики, код RU был введен в стандарты в 1992 году. Между тем, домен первого уровня RU начал функционировать только в апреле 1994 года. Почему же возникла столь длинная задержка?

Дело в том, что в 1992 году у заинтересованных в Интернете российских компаний уже был накоплен некоторый опыт (еще советский) по использованию доменных имен. И, конечно, как только на горизонте замаячил новый домен верхнего уровня, заявки на его получение очень оперативно направили сразу несколько российских организаций.

В начале 1990-х годов распределением адресного пространства Интернета ведала такая организация, как IANA (Internet Assigned Numbers Authority – в несколько вольном переводе: Уполномоченная организация по распределению нумерации в сети Интернет). Сейчас IANA в качестве одного из подразделений входит в корпорацию ICANN. Но и во времена «до ICANN» IANA также оставалась организацией осторожной и сторонящейся всевозможных конфликтов интересов. Поэтому конкурирующим за право администрирования нового домена RU компаниям пришлось прежде повоевать между собой и самим разобраться, кому же достанется новый кусок виртуального пространства.

Основными участниками схватки за домен RU тогда были крупнейшие интернет-провайдеры: Demos Plus, SovAm Teleport, GlasNet, Techno, EUnet/Relcom, X-Atom, FREEnet. Сейчас эти названия ничего не говорят рядовому пользователю Рунета – так уж распорядилась история. В итоге споров, пересудов и разбирательств, длившихся почти два года, администрирование домена RU было решено доверить более или менее нейтральной организации, устраивавшей все ключевые стороны «доменной войны». Такой организацией оказался РосНИИРОС, как раз управлявший и доменом SU, который, как ожидалось, должен был стать основным «донором» новых доменных имен в RU. Ведь домен SU тогда собирались ликвидировать, и сразу после появления домена RU регистрацию имен второго уровня в SU РосНИИРОС приостановил.

Итак, домен новой России RU, запись о котором в реестр национальных доменов внесена 7 апреля 1994 года, достался в управление РосНИИРОС. А правила администрирования зоны .ru, которых должен был придерживаться РосНИИРОС, выработали с участием ключевых игроков рынка Интернета того времени. РосНИИРОС до 2000 года осуществлял функции по регистрации имен в домене RU, обрабатывая заявки от интернет-провайдеров или юридических лиц. Также за институтом закреплялись функции по техническому сопровождению функционирования национального домена.

Интернет тем временем развивался, активно превращаясь из академической среды общения в среду ведения бизнеса. Изменение рыночной ситуации требовало коррекции правил регистрации доменных имен. Тем не менее домен RU длительное время демонстрировал чудеса консерватизма.

С ростом бизнес-значения доменных имен возросла и активность домейнеров (или, как этих предприимчивых господ поголовно называли в те времена, киберсквоттеров). Домейнеры регистрировали «вкусные имена» по цене регистрации, инвестируя свои средства, и, позже, предлагали заинтересованным лицам и компаниям выкупить у них права на управление «вкусным именем» за сумму, значительно превышающую стоимость регистрации. А так как двух одинаковых имен зарегистрировать нельзя, то бизнесмены, успевшие застолбить домен ранее других, получали преимущество. Активность на рынке подобных перепродаж росла особенно интенсивно в конце 1990-х годов.

Между тем, правила регистрации доменов в зоне. ru прямо запрещали подобную деятельность по «возмездной передаче» прав администрирования домена. Подобный запрет был вызван желанием помешать массовому захвату доменных имен сквоттерами. Сторонники запрета полагали, что имена, которые удерживали сквоттеры-домейнеры, изымались из числа доступных ресурсов, однако при этом сквоттеры не использовали эти имена «по прямому назначению» (не размещали под доменами «живые» сайты), что в итоге могло пагубно сказываться на удобстве пользования Интернетом.

Впрочем, на практике никаких серьезных рычагов воздействия на формировавшееся сообщество домейнеров у РосНИИРОС не было. Домены интенсивно «столбили» желающие позже перепродать имя по выгодной цене. В итоге попытка предотвратить возникновение вторичного рынка доменов привела к тому лишь, что рынок все равно возник, но длительное время существовал в «серой зоне».

Домен в зоне .ru становился все более важным активом, рост числа регистраций подстегивало планомерное снижение стоимости регистрации (со 100 долларов в год стоимость снизилась сперва до 50 долларов, а к 2001 году до 24 долларов).

Вернемся к становлению домена RU. К началу XXI века некоторые коммерческие фирмы находились в такой зависимости от своих сайтов, размещенных под узнаваемыми доменными именами, что ликвидация домена неминуемо привела бы к автоматической ликвидации и всего бизнеса компании. Причем речь шла не только об интернет-компаниях вроде известных поисковых систем, но и о некоторых торговых, производственных фирмах.

Важно заметить, что в домене RU в те времена было выделено довольно значительное число доменов второго уровня, регистрация в которых осуществляется бесплатно. Это так называемые «домены общего пользования», к которым относили, например, «отраслевые домены», «географические домены», «домены для государственных нужд». Так, домен com.ru предназначался для коммерческих организаций, и регистрация имен в этом домене (например, test.com.ru) осуществлялась бесплатно. В свою очередь, домен net.ru предназначался для проектов, так или иначе связанных с жизнью и развитием Интернета. Например, по адресу www.provider.net.ru располагался один из старейших узкоспециальных информационных ресурсов Рунета – «Независимый обзор провайдеров». Примерами географических доменов служат msk.ru и spb.ru. Специальные типы доменов RU были отменены в 2010 году. Сами эти доменные зоны передали компании RU-CENTER, а регистрация имен стала платной. Это, конечно, не способствовало росту зон «третьего уровня», но внесло несколько больше порядка в данный доменный сегмент, попутно вызвав массу скандалов.

Столь серьезные изменения рынка коснулись и базовых принципов управления доменом RU. Все возраставшее число конфликтов и просто спорных ситуаций вокруг доменов в зоне .ru, и особенно вокруг процедур их регистрации, привело к введению в 2000 году так называемой распределенной системы регистрации. Функции регистрации доменов от РосНИИРОС начали передавать конкурирующим между собой независимым регистраторам, которые предварительно получали аккредитацию.

Со своей стороны РосНИИРОС учредил в 2000 году регистратора RU-CENTER, ставшего крупнейшим игроком на российском доменном рынке.

Дальнейшее бурное развитие привело к учреждению в 2001 году «Координационного центра национального домена RU» (далее в этой главе просто – Координационный центр, КЦ), который должен был определить устраивающие игроков рынка правила игры, а точнее – правила регистрации доменов в зоне .ru. При этом Рос-НИИРОС, вошедший в состав учредителей Координационного центра, сохранил за собой функции технического центра, обеспечивающего функционирование домена RU. Функции же по регистрации фактически полностью перешли к компаниям-регистраторам.

Одновременно с этими процессами под давлением реальности в 2001 году оформился легальный вторичный рынок доменов. Из Правил зоны .ru наконец-то изъяли запрет на «продажу» доменов. Более того, весной 2004 года дошло до того, что, реагируя на изменения ситуации, ведущий регистратор доменов RU – компания RU-CENTER – запустил «официальный» аукцион доменов. Появление аукциона, где гарантом сделки выступал крупнейший аккредитованный регистратор доменов, наконец-то вывело вторичный рынок из «серой зоны», дав продавцам и покупателям вполне «белый» механизм для совершения сделок по передаче права администрирования.

С 4 января 2006 года администратором домена RU официально стал Координационный центр, демонстрировавший тогда инертность и консерватизм, напоминающие корпорацию ICANN. Особенно остро инертность Координационного центра ощущалась игроками рынка при возникновении конфликтных ситуаций. А разнообразных масштабных конфликтов вокруг доменов RU возникало много.

Так, в конце 2007 – начале 2008 года в домене RU сложилась довольно напряженная ситуация, связанная с минимальной стоимостью регистрации доменов. Суть проблемы составляло соглашение между регистраторами, зафиксированное в правилах зоны .ru, о том, что на розничном рынке минимальная цена регистрации домена составляет 500 рублей. При этом, согласно тем же правилам, частью себестоимости регистрации домена для регистратора является платеж в пользу технических и административных служб домена RU, ведь поддержание функционирования DNS также требует существенных затрат. Впрочем, сумма этого платежа в несколько раз меньше 500 рублей и составляла в 2008 году 70 рублей.

В 2007–2008 годах, в условиях жесткой конкуренции на рынке доменов, в розничном секторе возникли предложения услуг регистрации доменов в зоне .ru по цене, значительно меньшей 500 рублей. Первые подобные предложения появились на закрытых интернет-форумах и не афишировались. Источником «новых розничных цен» послужили партнеры некоторых регистраторов. Партнеры таким образом пытались развивать собственный бизнес, привлекая клиентов выгодными ценами.

Дело в том, что в соглашениях и правилах регистрации доменов RU нашлась лазейка: официальные Правила и соглашения между регистраторами регламентировали только минимальную цену, по которой услуги регистрации оказываются на розничном рынке, физическим лицам. Для своих партнеров, проводящих «оптовые» регистрации, регистраторы могли предлагать и другую цену, меньше установленного предела. При этом компании-партнеры регистраторов, не являясь участниками регистраторских соглашений, как раз и предлагали на рынке домены «по сниженным ценам».

Довольно длительное время ведущие регистраторы строго следили за деятельностью своих партнеров, пресекая попытки доменного «демпинга», пытаясь сохранить в действии установленные правила. Игроки рынка ждали, что Координационный центр вмешается и «прекратит безобразие», призвав тех регистраторов, которые позволяют своим партнерам нарушать правила игры, к ответу. Однако Координационный центр молчал.

На фоне молчания Координационного центра регистраторы все больше ослабляли контроль над партнерами, а цены партнерских регистраций падали все ниже – до 300, 200 рублей. А в итоге к 2008 году несложно было найти предложения и по 100 рублей за домен.

Низкие фактические цены регистрации доменов. ru на розничном рынке были доступны и многими годами ранее. Более того, довольно часто домены вообще предлагались бесплатно. Однако новизна ситуации 2007–2008 годов заключалась в том, что ранее «дешевые домены» предлагались в качестве «бонуса» к другим «пакетным услугам» крупных интернет-компаний, например при покупке хостинга или услуг доступа к Интернету. В этом случае клиент оплачивал другие услуги (на сумму более 500 рублей) и получал «домен в подарок», что, с чисто формальной точки зрения, могло быть истолковано так: домен за клиента оплачивает компания, фактически предложившая скидку на пакет своих услуг, а не на стоимость регистрации домена. Различие схем с «пакетом» и «простой регистрацией» очевидно: во втором случае клиент без вариантов и юридического крючкотворства получает домен по «демпинговой» цене.

Более того, к 2008 году бизнес регистраций по «демпинговым» ценам, охвативший партнеров всех сколько-нибудь

крупных регистраторов, стал совершенно откровенным. Предложения о регистрации доменов «по 100 рублей» уже встречались не только на специальных закрытых форумах, а во вполне открытой печатной рекламе.

Важный аспект «новых цен» в том, что клиент получает совершенно такие же права по управлению выбранным доменным именем, как и те администраторы, кто регистрировал домены по 600 (500 + НДС) рублей у компаний, придерживавшихся правила минимальной цены.

Конечно, компании, предлагавшие регистрацию по низкой цене (или вообще бесплатно), получали существенное конкурентное преимущество перед теми регистраторами, что придерживались буквы соглашения.

Формально у Координационного центра в руках находился рычаг воздействия на регистраторов, который не посвященному в скрытые механизмы доменного рынка наблюдателю может показаться эффективным. По крайней мере более эффективным, чем «общественное» порицание способствующих снижению цен регистраторов на заседаниях Совета Координационного центра и в кулуарах «доменных встреч» и мероприятий. Этот рычаг – лишение аккредитации.

Действительно, согласно Правилам зоны .ru, для осуществления «регистраторского доступа» к реестру доменов компания, желающая стать регистратором, должна получить аккредитацию у Координационного центра. По тем же Правилам Координационный центр (в рамках неких процедур, которые, впрочем, были тогда не до конца формализованы) вправе лишить регистратора аккредитации. Однако в реальности лишение аккредитации к регистраторам не применялось: Координационный центр по внутренним причинам не смог решиться на столь радикальную меру. Разумно предположить, что

Координационный центр действовал подобным образом, опасаясь последствий и ответных судебных исков регистраторов, которые в результате лишения аккредитации понесут убытки. Так что эффективность единственного рычага давления в те времена была мнимой.

Позднее, в 2010-х годах, Координационный центр стал гораздо активнее использовать свои «функции регулятора», в том числе даже дошел до приостановления аккредитации регистратора, нарушившего правила работы с реестром.

В 2008 году юридическая коллизия состояла в том, что соглашения и правила, по которым управляется зона. ru, являются не более чем «джентльменскими соглашениями», а точнее, договорами, заключенными между юридическими лицами. С точки зрения, например, судебной системы Российской Федерации, соглашения и правила домена RU не обладают какой-то «силой закона», как можно было бы подумать. А Координационный центр не имеет юридического статуса «регулятора рынка», да и вообще какого бы то ни было особого статуса среди прочих юридических лиц.

Поэтому нарушение, например, пункта правил о минимальной цене регистрации домена, да еще и совершенное не регистратором, а его партнерами, может в худшем случае трактоваться лишь как невыполнение взятых в рамках «джентльменского соглашения» обязательств. В разрезе судебных разбирательств (если они возникнут) нужно еще учитывать, что такое нарушение не наносит непосредственно убытка другим сторонам «джентльменского соглашения», а тем более КЦ, который получает свою долю от стоимости регистрации домена в любом случае.

А вот лишение аккредитации самым прямым образом повлияет на бизнес компании-регистратора (собственно, этот бизнес остановится) и приведет к значительным прямым и косвенным убыткам у этой компании – очень весомые причины для судебного иска, правда?

Вообще с точки зрения «деловых традиций» отношение правил зоны .ru к минимальной цене розничной регистрации доменных имен еще несколько лет назад представлялось вполне обоснованным и отражающим нормальную рыночную практику.

Например, действующие на рынке промышленных товаров компании-производители отпускают крупные партии продукции своим дилерам по специальной, оптовой цене. Правда, при этом подобные компании-производители обычно не договариваются о минимальной цене на розничном рынке (они там обычно и не присутствуют).

Минимальная рыночная цена регистрации домена определялась регистраторами на основе анализа возможной себестоимости проведения транзакций по «фиксированию» права администрирования и по дальнейшему сопровождению прав администратора на домен, с учетом возможных рисков. Ведь вряд ли регистратор должен работать в убыток. Однако те компании, для которых собственно регистрация доменов не является основным источником прибыли, могут себе позволить сделать эту часть своего бизнеса убыточной (бесплатные домены), зарабатывая больше на других услугах, по отношению к которым регистрация домена является сопутствующей.

Тут уместно привести пример из области страхового бизнеса (где, кстати, тоже случаются соглашения о минимальной цене полиса по тем или иным видам страхования). Крупные страховые компании могут себе позволить страховать некоторые риски клиентов в убыток. Расчет здесь делается на то, что клиент, застраховавший по минимальной цене один риск, захочет приобрести некоторое другое, «пакетное» предложение, которое, напротив, приносит страховой компании высокую прибыль.

Так что неверным будет считать «договорное» ограничение минимальной цены для розничной услуги исключительно «сговором», направленным на получение сверхприбыли за счет «доверчивых клиентов». Наоборот, такое соглашение могло бы послужить созданию стабильного рынка, противодействуя «демпингу» и монопольному захвату рынка со стороны крупных компаний с большими деньгами. Впрочем, на доменном рынке RU, в отсутствие реальных рычагов регулирования и при бездействии Координационного центра, вышло иначе: в 2009 году возникли ожидания, что отсутствие регулирующего механизма может привести к тому, что такой механизм предоставит государство.

Логика тогда была такова: в случае, если стоимость регистрации доменов упадет практически до нуля, все сколько-нибудь привлекательные доменные имена рискуют оказаться в руках тех игроков, кто профессионально занимается «доменным бизнесом». Эти игроки имеют большой опыт и серьезные технические инструменты, позволяющие им быстрее реагировать на появление новых имен, чем рядовым розничным покупателям прав администрирования. Снижение стоимости розничной регистрации приведет к тому, что крупнейшие профессионалы смогут еще больше расширить поле своей игры, вытеснив мелких «домейнеров».

В ситуации, когда рыночные механизмы не позволили разумным образом отрегулировать распределение общедоступного ограниченного ресурса – доменного адресного пространства – и рядовые потребители оказались в заведомо проигрышном положении (а им в лучшем случае придется выкупать домены на вторичном рынке по немалой спекулятивной цене), логичным является введение государственного регулирования.

В какой форме возможно такое регулирование? Хорошим примером служит распределение радиочастот в эфире. Радиоэфир – общее пространство. Для нормального обмена информацией требуется закреплять радиочастоты за тем или иным «вещателем» (передатчиком). При этом, очевидно, сама по себе радиочастота ничего не стоит, и технически вещание на данной частоте требует лишь наличия передатчика. Регулирование порядка в эфире проводится через выделение частот заинтересованным лицам особым государственным органом (комиссией при министерстве, например) при помощи последующего контроля использования частот (проводимого, опять же, государством). Сходным образом можно распределять и домены, если рыночный путь оказался неподходящим.

Время показало, что интерес российского государства к регулированию доменного рынка достаточно велик. Так, в 2009 году в состав Совета Координационного центра (а это высший административный орган в КЦ) в рамках соглашения с Министерством связи и массовых коммуникаций РФ вошел представитель министерства. Впрочем, непосредственно на ценовую политику в домене RU КЦ повлиял другим способом: спорный пункт о минимальной розничной цене в 500 рублей переформулировали, цена стала «рекомендованной». Это, конечно, снизило градус конфликта. В итоге типичная стоимость регистрации домена RU упала где-то до 300–400 рублей, но многие рядовые пользователи по прежнему продолжают регистрировать такие домены за «стандартные» 500–600 рублей.

В 2009 году директором Координационного центра стал Андрей Колесников, сменивший на этом посту Андрея

Романова. В период 2009–2010 годов произошли некоторые важные изменения, касающиеся управления доменом RU.

Из самых заметных – так называемая паспортизация домена. Речь идет о попытке Координационного центра бороться с (потенциальной) анонимностью администраторов доменов. Дело в том, что в течение многих лет домен RU можно было зарегистрировать, используя только Интернет, без необходимости являться лично в тот или иной офис регистратора. Соответственно, часть администраторов доменов указывала при заключении договора неверные данные (например, вымышленные имя и фамилию, номер паспорта и так далее).

В 2009 году возросла популярность темы борьбы с противоправным контентом в Интернете. Потребовались публичные, узнаваемые в СМИ, меры по контролю, в том числе и за доменным пространством. Эффективность этих мер стояла на втором плане. Очевидно, что доменное имя – важный ресурс для распространителей того или иного контента, нарушающего законы: именно по имени домена такой контент находят. Хостинг при этом может изменяться, переезжать из страны в страну. Анонимность регистрации доменов в зоне. ru, конечно, не способствует поиску администраторов «противоправных» доменов. Но, с другой стороны, никак не мешает такие домены отключать – это важный момент.

Что было сделано? КЦ силами новых правил, утвержденных Советом, предложил обязать всех администраторов доменов RU дополнительно идентифицировать себя перед регистраторами. Сама по себе идея, может, и неплохая (хотя и не способствующая росту доменной зоны). Но вот предложенная в итоге регистраторами реализация выглядела, с точки зрения специалиста по безопасности, весьма странно.

Администраторам доменов предлагалось прислать регистраторам простые копии своих гражданских паспортов (точнее, копии некоторых страниц). При этом наравне с другими вариантами без ограничений принимались электронные копии (на техническом жаргоне «сканы»), присланные по e-mail. Что это означало?

При регистрации домена в зоне .ru требуется указывать паспортные данные администратора домена, но так как договоры заключаются в форме публичной оферты (грубо говоря, через веб-форму в Интернете), то, как я уже упоминал, администраторы доменов могут указать фиктивные персональные данные. И иногда указывают: «Иванов Иван Иванович, номер паспорта 1234 567890, тел. 0000000», и т. п., и т. д. При заключении договора корректность данных никак не проверяется, у регистратора просто нет возможности проверить, кто там сидит за клиентским компьютером и что это за данные он вводит. В тех случаях, когда попадается недобросовестный администратор, домен может быть оформлен на кого угодно.

Часто путают идентификацию и аутентификацию. Отличие этих двух понятий из области технологий обеспечения безопасности можно объяснить на простом занимательном примере. Идентификация – это когда мужской голос в телефоне в ответ на ваш вопрос «А хто ето?» представляется Петром Ивановичем Булкиным, старшим сантехником по подъезду; аутентификация – это когда уже назвавшийся Булкиным мужской голос может еще и правильно назвать девичью фамилию консьержки, а также другие пароли, известные только настоящему Петру Ивановичу, в результате вы более или менее уверены, что разговариваете действительно с сантехником Булкиным. Ну просто голос у него претерпел аберрацию.

Идея «паспортизации», по логике ее возникновения, по выдвигавшимся аргументам – направлена на избавление от подобных «левых» регистраций. Строго говоря, изначально речь должна была вестись не о самом паспорте, а о построении системы аутентификации администраторов доменов. Тем не менее, как только тема обрела нужную популярность в СМИ, многие услышали про «домены по паспорту» и тут же кинулись рассуждать о каких-то «сканах» паспортов, присылаемых «по e-mail, по факсу». Хотя специалисту было понятно, что такой вариант – неверный, наихудший.

С точки зрения построения системы аутентификации администраторов ситуация с пересылкой «сканов» ничем не отличается от сложившейся до введения новых требований. Просто, вместо того чтобы вводить фиктивные данные в веб-форму, требуется эти же данные вывести в файл изображения (например, в формате JPEG), сгенерировав полный «скан» паспорта. То есть изменяется только способ «кодирования» данных, а система проверки данных остается той же самой.

При этом добропорядочные клиенты и так указывают в веб-форме договора настоящие данные. А злоумышленники смогут легко сгенерировать нужный «скан» с помощью графического редактора или специальной программы. Обрабатывающие документы сотрудники регистратора не являются экспертами по анализу цифровых изображений и вряд ли смогут выявить подделку. Тем более что накладки случаются и в случае с бумажными подделками, которые всегда встречались в доменном документообороте. В общем, новую схему аутентификации нельзя построить лишь на пересылке каких-то там «сканов» – в таком случае изменяется только механизм, а схема остается старая, действующая, без аутентификации.

Добротная реализация могла бы быть такой: в цепочке обработки персональных данных администраторов вводится новое обязательное звено, которое проверяет соответствие персональных данных предъявившему их лицу. Собственно, это и есть аутентификация. Звено появляется в самом начале цепочки, ближе к клиенту.

Сотрудник компании-регистратора или, например, нотариус непосредственно удостоверяют личность администратора, попросив его предъявить паспорт. Не «скан отправить электронной почтой», а вот лично предъявить паспорт в офисе (сверяется фото в паспорте с присутствующим тут же клиентом). Схема известная.

Именно так работала система регистрации RU до того, как перешли к онлайн-схеме. И это действительно разумный способ ввести «домены по паспорту». И, видимо, единственный реальный способ (так как технологии ЭЦП пока еще недостаточно распространены).

Тем не менее изменения в правилах регистрации доменов RU вылились все же в вариант с отправкой электронных «сканов паспортов» регистраторам. То есть декларировалось проведение как бы «аутентификации» администратора домена, но в реальности использовалось просто другое представление данных. Раньше вводили вымышленные паспортные данные в веб-форму. Теперь нужно было нарисовать «скан». В Сети на специализированных форумах достаточно давно имелись предложения вида «нарисую сканы паспортов» и «программа для генерации сканов паспортов». Потому что, к сожалению, поддельные копии документов, удостоверяющих личность, используются в различных мошеннических схемах. С ужесточением правил регистрации доменов количество подобных предложений тут же возросло. Тем более что изготовление цифрового изображения паспорта анонимным «художником» не только сложно отследить, но и не так просто юридически классифицировать как подделку документа.

Интересно, что настоящие злоумышленники не используют совсем банальных, явно вымышленных персональных данных, даже если заполняют веб-форму. Напротив, берут или какие-то реальные данные, или данные, очень похожие на реальные, но сгенерированные по специальной базе. При генерации используются реальные фамилии, названия улиц, городов, номера домов и т. п. Такой подход очень давно известен и много лет назад был принят на вооружение кардерами (теми, кто специализируется на краже и подделке банковских карт). Понятно же, что вездесущие васи пупкины вызывают подозрение не только у сотрудников регистратора, просматривающих договоры.

Кстати, если договор заключается с иностранным подданным, то «детектировать реальность» паспорта какого-нибудь африканского государства – та еще задачка.

Когда паспорт предъявляют лично, то можно сверить фото с «личностью» предъявителя (понятно, что паспорт может быть поддельным, но в случае с «физическим документом» это уже совсем иная история). Собственно, паспорт, как документ, именно для такого «физического» подтверждения личности по фото (по биометрическим данным) и придуман. Использование «сканов» для «якобы аутентификации», когда физически аутентифицируемый пользователь не присутствует рядом – старая, хорошо известная дыра в системах безопасности.

Конечно, злоумышленник, планирующий нарушать закон с использованием домена, имеет и технические навыки, и готовность прислать какой-нибудь там «скан». При этом удачно «приславший скан» администратор домена получает в системе новый статус: «идентифицированный администратор». А такой статус, конечно, добавляет некоторой «надежности» персональным данным, полученным с подтверждением «сканом». На самом же деле надежность эта чисто мнимая: процедура аутентификации никак не изменилась: как присылал кто-то неизвестно откуда какие-то данные по Интернету, так и присылает кто-то что-то, но в новом формате файлов. А вот статус изменился, и администраторы в интерфейсах управления клиентской информацией вдруг «раскрасились в разный цвет». Для системы безопасности это очень плохо, потому что добавляет ложной уверенности тем, кто с данными работает.

В истории российского доменного бизнеса известны случаи, когда домен «угоняли» при помощи реального поддельного паспорта и личного визита мошенников в офис регистратора. Однако поставить такие рискованные мероприятия на поток – весьма сложно, а единичные случаи мошенничества, совершенные к тому же в офлайне, расследуются более эффективно, чем массовые онлайн-события с минимумом следов.

При этом многие и многие добросовестные пользователи и так указывали верные данные, потому что пользователи опасаются проблем с потерей домена в случае возникновения спорной ситуации. В отличие от злоумышленника, добросовестному пользователю домен реально нужен в долговременное пользование для легального проекта, ну, раз он этот домен регистрирует. И вот эти добросовестные пользователи, администраторы доменов, по новым правилам должны направо и налево рассылать «сканы» своих паспортов, часто по