Звіт Trend Micro показує, що злочинці навряд чи зловживатимуть Namecoin

Система доменних імен Namecoin є привабливим середовищем для зловмисників, але навряд чи отримає широке поширення серед злочинців, відповідно до звіту про дослідження компанії з цифрової безпеки Trend Micro.

The звіт, опублікований у вересні минулого року, написаний членами групи перспективних досліджень загроз Trend Micro Девідом Санчо та Робертом МакАрдлом, описує властивості системи домену верхнього рівня namecoin, які залишають її відкритою для зловживань з боку зловмисних користувачів.

До них належать дешеві та анонімні створення доменних імен і система, яка розміщує доменні імена поза досяжністю центральних органів влади, які прагнуть закрити або заволодіти шкідливим сайтом.

«У вас є анонімність, Політика конфіденційності і міцність, тому ви не можете знищити [ці сайти]», — сказав Санчо.

Переважна більшість доменів верхнього рівня, таких як .com або .org, керуються Інтернет-корпорацією з присвоєння імен і номерів (ICANN). Домени верхнього рівня за межами системи ICANN відомі як альтернативні корені DNS або ADR. До них відносяться суфікси .geek і .micro, зазначається в документі Trend Micro.

Namecoin

дозволяє своїм користувачам створювати тип домену, який знаходиться поза межами компетенції ICANN. Транзакції Namecoin містять дані DNS, що дозволяє користувачам створювати нове доменне ім’я з кожною транзакцією. Ці доменні імена позначаються символом . BIT суфікс і транзакції записуються в загальнодоступний ланцюг блоків.

Сліди захопленого польського ботнету

Автори також дослідили випадок ботнету, який використовував . BIT домени. Автори проаналізували зловмисне програмне забезпечення, яке неодноразово підключалося до чотирьох. BIT домени, включаючи мегашару. BIT і opusattheend. BIT. Зловмисне програмне забезпечення є частиною групи шкідливих програм, відомої як Сім'я НЕКУРС. Це зловмисне програмне забезпечення зазвичай проникає в системи користувачів, прикріплюючись до зловмисного спаму. Потім він вимикає служби безпеки системи, щоб запобігти виявленню інших частин шкідливого програмного забезпечення.

За словами Санчо, зловмисне програмне забезпечення, яке він досліджував, дуже схоже на попередній ботнет, який керувався з Польщі та який польська влада закрила в січні минулого року. За словами Санчо, цей ботнет використовувався для «дуже пішохідної» форми фінансового шахрайства.

«Ми вважаємо, що це наступник польського ботнету. Він дуже LOOKS , хоча ми не підтвердили це твердження на 100%. Це LOOKS як друга версія цього польського ботнету».

Коли польська влада вимкнути ботнету в січні минулого року вони не змогли затримати його оператора. Але вони успішно «потопили» домени-порушники, перенаправляючи трафік на сайт, контрольований польським агентством з кібербезпеки NASK. Але якщо теорія Санчо правильна, то новий ботнет працює на . BIT доменів тепер ще надійніший, оскільки він недоступний для державних органів.

«Немає жодного способу, щоб будь-який уряд чи будь-яка влада могли BIT знищити», — сказав Санчо. «Вони нічого T зможуть зробити, і це найрозумніше».

Парадокс відстежуваності блокчейна

Незважаючи на те, що домени namecoin забезпечують високий ступінь анонімності для своїх власників, вони також покладаються на блокчейн namecoin, який робить усі транзакції публічними. Ця функція надає дослідникам безпеки безпрецедентний доступ до історії доменного імені. У документі Trend Micro зазначається, що така висока прозорість дає змогу збирати інформацію про шкідливі веб-сайти, що було б неможливо з доменом верхнього рівня, яким керує ICANN. Дослідники можуть бачити, коли було створено доменне ім’я та IP-адреси, на які воно вказує.

«Цьої інформації зазвичай T зі звичайним доменним іменем. Я T отримую історію кожного окремого IP [пов’язаного з доменом], такої історії T існує», — сказав Санчо.

У випадку з . BIT ботнет, який дослідники Trend Micro досліджували, ланцюжок блоків неймкойнів дав мережевий аналіз чотирьох імен постраждалих доменів, показуючи, що вони були пов’язані в минулому кількома IP-адресами. Раніше ці IP-адреси також були пов’язані з централізовано керованими доменами. У результаті, кажуть дослідники, зловмисники . BIT домени можна прив’язати до особи чи групи, які зареєстрували ці централізовано адміністровані домени. У документі зазначено:

«Перевірка даних Whois у доменах, BIT не є .розрядними, виявить злочинця, який стоїть за ними. Це саме та помилка, спричинена простою Human природою, яка часто може призвести до знищення будь-якої обережної банди кіберзлочинців».

Декілька інших факторів запобігають легкому використанню доменів неймкойнів для нечесних цілей. Тому що . доступ до BIT доменів можливий лише за допомогою змінених налаштувань мережі, заражені зловмисним програмним забезпеченням користувачі повинні мати змогу легко виявляти порушення трафіку. Серверів Namecoin також порівняно небагато, і вони підтримуються на добровільній основі ентузіастами. Як наслідок, вони менш надійні та іноді можуть бути офлайн. Trend Micro каже про 106 000. BIT домени існують, і трафік до цих доменів залишається відносно низьким.

У результаті Санчо і МакАрдл роблять висновок, що . BIT домени навряд чи стануть популярними серед зловмисників, хоча вони мають деякі привабливі особливості.

Антицензурні домени

Хоча документ Trend Micro зосереджується на використанні злочинцями анонімності домену namecoin, він визнає, що децентралізована система доменних імен також може мати законне використання. Це момент, який Елі Дурадо, науковий співробітник Університету Джорджа Мейсона Центр Меркатус, підкреслює.

«Альтернативні корені DNS важливі, оскільки вони забезпечують перевірку ICANN, яка інакше мала б монополію на Політика DNS», — сказав він.

ONE із прикладів альтернативної системи доменів верхнього рівня, яка використовується для політичного вираження, є суфікс .ti, який використовується для позначення тибетського веб-сайту. Група під назвою New Nations адмініструє ці домени верхнього рівня, а також низку інших, таких як .te, .uu та .ke, для тамілів, уйгурів і курдів відповідно. Обґрунтування New Nation полягає в тому, що вона хоче кинути виклик існуючому "структура влади", що керує Інтернетом, зробивши ці домени верхнього рівня доступними.

Інша група під назвою OpenNIC прагне зробити щось подібне, пропонуючи домени верхнього рівня, такі як .fur, .free та .indy. Його місія, відповідно до його статут, має надати нові ієрархії доменів за межами системи ICANN для сприяння «свободі доступу» до Інтернету. Будь-хто може приєднатися до OpenNIC, і рішення приймаються, коли пропозиції WIN просту більшість голосів, поданих електронною поштою.

Дурадо сказав, що децентралізовані анонімні доменні імена особливо потрібні у ситуаціях, коли користувачі мають обійти цензуру з боку державного органу, або якщо штати мають широкі повноваження блокувати певні веб-сайти, як у випадку з запропоноване законодавство SOPA в США.

«Важливо пам’ятати, що дії, які в одних країнах вважаються злочинними, в інших країнах вважаються захищеними правами Human . Хоча опір цензурі може ускладнити дотримання хорошого кримінального законодавства, а також поганого, в цілому це чиста користь для людства».

Безпека зображення через Shutterstock