Отчет Trend Micro показывает, что преступники вряд ли будут злоупотреблять Namecoin

Согласно отчету об исследовании компании Trend Micro, занимающейся цифровой безопасностью, система доменных имен Namecoin является привлекательной средой для злоумышленников, но вряд ли получит широкое распространение среди преступников.

Theотчет, опубликованная в сентябре прошлого года и написанная членами группы по исследованию перспективных угроз компании Trend Micro Дэвидом Санчо и Робертом МакАрдлом, описывает свойства системы доменов верхнего уровня Namecoin, которые делают ее уязвимой для злоупотреблений со стороны злоумышленников.

К ним относятся создание дешевых и анонимных доменных имен, а также система, которая делает доменные имена недоступными для центральных органов власти, стремящихся закрыть или захватить вредоносный сайт.

«У вас есть анонимность, Политика конфиденциальности и надежность, поэтому вы не сможете закрыть [эти сайты]», — сказал Санчо.

Подавляющее большинство доменов верхнего уровня, таких как .com или .org, регулируются Корпорацией по управлению доменными именами и IP-адресами в Интернете (ICANN). Домены верхнего уровня за пределами системы ICANN известны как альтернативные корневые DNS-домены или ADR. К ним относятся суффиксы .geek и .micro, отмечается в документе Trend Micro.

Неймкойн

позволяет своим пользователям создавать тип домена, который находится за пределами компетенции ICANN. Транзакции Namecoin включают данные DNS, что позволяет пользователям создавать новое доменное имя с каждой транзакцией. Эти доменные имена обозначаются суффиксом . BIT , а транзакции записываются в публичную цепочку блоков.

Следы захваченного польского ботнета

Авторы также исследовали случай ботнета, который эксплуатировал домены . BIT . Авторы проанализировали вредоносное ПО, которое создавало повторяющиеся соединения с четырьмя доменами . BIT , включая megashara. BIT и opusattheend. BIT. Вредоносное ПО является частью группы вредоносного программного обеспечения, известной как Семья NECURS. Это вредоносное ПО обычно проникает в пользовательские системы, прикрепляясь к вредоносным спам-сообщениям. Затем оно отключает службы безопасности системы, чтобы предотвратить обнаружение других вредоносных программ.

По словам Санчо, вредоносное ПО, которое он исследовал, имеет сильное сходство с более ранним ботнетом, который управлялся из Польши и был закрыт польскими властями в январе прошлого года. Этот ботнет использовался для «очень прозаичной» формы финансового мошенничества, сказал Санчо.

«Мы считаем, что это преемник польского ботнета. Он очень LOOKS , хотя мы не подтвердили это утверждение на 100%. Он LOOKS как вторая версия этого польского ботнета».

Когда польские властинеисправность ботнет в январе прошлого года, они не смогли задержать его оператора. Но они успешно «закопали» домены-нарушители, перенаправив трафик на сайт, контролируемый польским агентством кибербезопасности NASK. Но если теория Санчо верна, то новый ботнет, работающий на доменах . BIT , теперь еще более надежен, поскольку он находится вне досягаемости государственных органов.

«Нет способа, которым какое-либо правительство или орган власти может убрать . BIT», — сказал Санчо. «Они ничего T смогут сделать, и в этом-то и есть умный смысл».

Парадокс прослеживаемости блокчейна

Даже если домены namecoin обеспечивают высокую степень анонимности для своих владельцев, они также полагаются на блокчейн namecoin, который делает все транзакции публичными. Эта функция предоставляет исследователям безопасности беспрецедентный доступ к истории доменного имени. В статье Trend Micro отмечается, что эта высокая прозрачность позволяет собирать информацию о вредоносных веб-сайтах, что было бы невозможно с доменом верхнего уровня, администрируемым ICANN. Исследователи могут видеть, когда было создано доменное имя и IP-адреса, на которые оно указывает.

«Это информация, которой обычно T у обычного доменного имени. Я T получаю историю каждого IP-адреса [связанного с доменом], такой истории T существует», — сказал Санчо.

В случае ботнета . BIT , который исследовали исследователи Trend Micro, цепочка блоков namecoin дала график сетевого анализа четырех затронутых доменных имен, показывающий, что они были связаны в прошлом рядом IP-адресов. Эти IP-адреса также были связаны с централизованно управляемыми доменами в прошлом. В результате, говорят исследователи, вредоносные домены . BIT могут быть связаны с лицом или группой, которые зарегистрировали эти централизованно управляемые домены. В статье говорится:

«Проверка данных Whois на доменах, не являющихся . BIT , раскроет преступника, стоящего за ними. Это именно та ошибка, которая вызвана простой Human природой и которая часто может погубить в противном случае осторожную банду киберпреступников».

Несколько других факторов не позволяют доменам namecoin легко эксплуатироваться в неблаговидных целях. Поскольку доступ к доменам . BIT возможен только с измененными сетевыми настройками, пользователи, зараженные вредоносным ПО, должны иметь возможность легко обнаруживать нарушения трафика. Серверов Namecoin также относительно немного, и они поддерживаются энтузиастами на добровольной основе. В результате они менее надежны и иногда могут быть отключены. Trend Micro сообщает о существовании около 106 000 доменов . BIT , и трафик к этим доменам остается относительно низким.

В результате Санчо и МакАрдл приходят к выводу, что домены . BIT вряд ли станут популярными среди злоумышленников, хотя они и обладают некоторыми привлекательными особенностями.

Антицензурные домены

Хотя в статье Trend Micro основное внимание уделяется использованию анонимности домена namecoin преступниками, в ней признается, что децентрализованная система доменных имен может также иметь законное применение. Это момент, которыйЭли Доурадо, научный сотрудник Университета Джорджа МейсонаМеркатус Центр, подчеркивает.

«Альтернативные корневые DNS важны, поскольку они обеспечивают контроль над ICANN, которая в противном случае имела бы монополию на Политика DNS», — сказал он.

ONE из примеров альтернативной системы доменов верхнего уровня, используемой для политического выражения, является суффикс .ti, который используется для обозначения тибетского веб-сайта. Группа под названием New Nations администрирует эти домены верхнего уровня, а также ряд других, таких как .te, .uu и .ke, для тамилов, уйгуров и курдов соответственно. Обоснование New Nation заключается в том, что она хочет бросить вызов существующему "структура власти«управление Интернетом путем предоставления доступа к этим доменам верхнего уровня.

Другая группа, называемая OpenNIC, стремится сделать что-то подобное, предлагая домены верхнего уровня, такие как .fur, .free и .indy. Ее миссия, согласно ееустав, заключается в предоставлении новых иерархий доменов за пределами системы ICANN для продвижения "свободы доступа" к Интернету. К OpenNIC может присоединиться любой желающий, а решения принимаются, когда предложения WIN простое большинство голосов, поданных по электронной почте.

Доурадо сказал, что децентрализованные, анонимные доменные имена особенно необходимы в ситуациях, когда пользователям приходится обходить цензуру государственного органа или если государство обладает широкими полномочиями по блокировке определенных веб-сайтов, как в случае спредлагаемое законодательство SOPAв Соединенных Штатах.

«Важно помнить, что действия, которые считаются преступными в одних странах, в других странах считаются защищенными правами Human . Хотя сопротивление цензуре может затруднить применение как хороших, так и плохих уголовных законов, в целом это чистая выгода для человечества».

Безопасностьизображение через Shutterstock