Un rapport de Trend Micro révèle que les criminels sont peu susceptibles d'abuser de Namecoin

Le système de noms de domaine de Namecoin est un environnement attrayant pour les utilisateurs malveillants, mais il est peu probable qu'il soit largement utilisé par les criminels, selon un rapport de recherche de la société de sécurité numérique Trend Micro.

Le rapport, publié en septembre dernier et rédigé par les membres de l'équipe de recherche sur les menaces prospectives de Trend Micro, David Sancho et Robert McArdle, décrit les propriétés du système de domaine de premier niveau Namecoin qui le rendent vulnérable aux abus des utilisateurs malveillants.

Il s’agit notamment de créations de noms de domaine bon marché et anonymes et d’un système qui place les noms de domaine hors de portée des autorités centrales cherchant à fermer ou à réquisitionner un site malveillant.

« Vous bénéficiez d'anonymat, de Politique de confidentialité et de robustesse, vous ne pouvez donc pas supprimer [ces sites] », a déclaré Sancho.

La grande majorité des domaines de premier niveau, tels que .com ou .org, sont régis par l'Internet Corporation for Assigned Names and Numbers (ICANN). Les domaines de premier niveau en dehors du système ICANN sont connus sous le nom de racines DNS alternatives ou ADR. Il s'agit notamment des suffixes .geek et .micro, note le document de Trend Micro.

Namecoin

Permet à ses utilisateurs de créer un type de domaine échappant au contrôle de l'ICANN. Les transactions Namecoin incluent des données DNS, permettant aux utilisateurs de créer un nouveau nom de domaine à chaque transaction. Ces noms de domaine sont désignés par le suffixe . BIT et les transactions sont enregistrées dans une blockchain publique.

Traces d'un botnet polonais saisi

Les auteurs ont également étudié un cas de botnet exploitant des domaines . BIT . Ils ont analysé des logiciels malveillants se connectant de manière répétée à quatre domaines . BIT , dont megashara. BIT et opusattheend. BIT. Ce logiciel malveillant fait partie d'un groupe de logiciels malveillants appelés Famille NECURSCe logiciel malveillant pénètre généralement dans les systèmes des utilisateurs en étant joint à un courrier indésirable malveillant. Il désactive ensuite les services de sécurité du système pour empêcher la détection d'autres logiciels malveillants.

Selon Sancho, le logiciel malveillant sur lequel il a enquêté présente de fortes similitudes avec un précédent botnet exploité depuis la Pologne et démantelé par les autorités polonaises en janvier dernier. Ce botnet était utilisé pour une forme de fraude financière « très banale », a précisé Sancho.

Nous pensons qu'il s'agit du successeur du botnet polonais. Il lui LOOKS beaucoup, même si nous n'avons pas encore validé cette affirmation à 100 %. Il LOOKS à la deuxième version de ce botnet polonais.

Lorsque les autorités polonaisesfermer En janvier dernier, ils n'ont pas réussi à appréhender l'opérateur du botnet. Ils ont néanmoins réussi à « sinkholer » les domaines incriminés, redirigeant le trafic vers un site contrôlé par l'agence polonaise de cybersécurité, la NASK. Si la théorie de Sancho est correcte, le nouveau botnet, exploité sur les domaines . BIT , est désormais encore plus robuste, car hors de portée des agences gouvernementales.

« Aucun gouvernement ni aucune autorité ne pourra jamais détruire un BIT», a déclaré Sancho. « Ils T pourront rien faire, et c'est là toute l'intelligence de la chose. »

Paradoxe de la traçabilité de la blockchain

Même si les domaines namecoin offrent un haut degré d'anonymat à leurs propriétaires, ils s'appuient également sur la blockchain namecoin, qui rend toutes les transactions publiques. Cette fonctionnalité permet aux chercheurs en sécurité un accès sans précédent à l'historique d'un nom de domaine. L'article de Trend Micro note que cette grande transparence permet de rassembler des informations sur les sites Web malveillants, ce qui n'aurait pas été possible avec un domaine de premier niveau administré par l'ICANN. Les chercheurs sont en mesure de voir quand un nom de domaine est créé et les adresses IP vers lesquelles il pointe.

« Ce sont des informations que l'on ne possède généralement T avec un nom de domaine classique. Je ne connais T l'historique de chaque adresse IP [associée à un domaine], cet historique n'existe T », a déclaré Sancho.

Dans le cas du botnet . BIT étudié par les chercheurs de Trend Micro, la blockchain Namecoin a généré un graphique d'analyse réseau de quatre noms de domaine affectés, montrant qu'ils étaient liés par le passé par plusieurs adresses IP. Ces adresses IP étaient également associées à des domaines administrés de manière centralisée. Par conséquent, selon les chercheurs, les domaines . BIT malveillants peuvent être liés à la personne ou au groupe ayant enregistré ces domaines administrés de manière centralisée. L'article précise :

Vérifier les informations Whois des domaines BIT .bit permettrait de découvrir le criminel qui se cache derrière. C'est exactement le genre d'erreur causée par la simple nature Human qui peut souvent causer la perte d'un réseau de cybercriminels pourtant prudent.

Plusieurs autres facteurs empêchent l'exploitation malveillante des domaines Namecoin. L'accès aux domaines . BIT nécessitant une configuration réseau reconfigurée, les utilisateurs infectés par des logiciels malveillants devraient pouvoir détecter facilement les irrégularités de trafic. Les serveurs Namecoin sont également relativement peu nombreux et sont gérés bénévolement par des passionnés. De ce fait, ils sont moins fiables et peuvent parfois être hors ligne. Trend Micro indique qu'il existe environ 106 000 domaines . BIT , et le trafic vers ces domaines reste relativement faible.

En conséquence, Sancho et McArdle concluent que les domaines . BIT ont peu de chances de devenir populaires parmi les acteurs malveillants, même s'ils possèdent certaines caractéristiques attrayantes.

Domaines anti-censure

Bien que l'étude de Trend Micro se concentre sur l'utilisation de l'anonymat des noms de domaine Namecoin par les criminels, elle reconnaît qu'un système de noms de domaine décentralisé peut également avoir des utilisations légitimes. C'est un point quiÉli Dourado, chercheur à l'Université George MasonCentre Mercatus, souligne.

« Les racines DNS alternatives sont importantes car elles permettent de contrôler l'ICANN, qui aurait autrement le monopole de la Juridique DNS », a-t-il déclaré.

Un exemple de système alternatif de domaines de premier niveau utilisé à des fins d'expression politique est le suffixe .ti, utilisé pour désigner un site web tibétain. Un groupe appelé New Nations administre ces domaines de premier niveau, ainsi que plusieurs autres, tels que .te, .uu et .ke, pour les Tamouls, les Ouïghours et les Kurdes respectivement. La raison d'être de New Nation est de remettre en question le système existant.structure du pouvoir« gouverner l'Internet en rendant ces domaines de premier niveau disponibles.

Un autre groupe, appelé OpenNIC, cherche à faire quelque chose de similaire, en proposant des domaines de premier niveau comme .fur, .free et .indy. Sa mission, selon soncharte, vise à fournir de nouvelles hiérarchies de domaines en dehors du système ICANN afin de promouvoir la « liberté d'accès » à Internet. N'importe qui peut adhérer à OpenNIC et les décisions sont prises lorsque les propositions WIN la majorité simple des votes exprimés par courriel.

Dourado a déclaré que les noms de domaine décentralisés et anonymes sont particulièrement nécessaires dans les situations où les utilisateurs doivent contourner la censure d'une agence d'État, ou si un État possède des pouvoirs étendus pour bloquer certains sites Web, comme dans le cas duprojet de loi SOPAaux États-Unis.

Il est important de rappeler que des activités considérées comme criminelles dans certains pays sont considérées comme protégées par les droits de Human dans d'autres. Si la résistance à la censure peut rendre plus difficile l'application des bonnes comme des mauvaises lois pénales, elle constitue globalement un bienfait pour l'humanité.

Sécuritéimage via Shutterstock