Il rapporto di Trend Micro rileva che è improbabile che i criminali abusino di Namecoin

Secondo un rapporto di ricerca della società di sicurezza digitale Trend Micro, il sistema di nomi di dominio Namecoin è un ambiente attraente per gli utenti malintenzionati, ma è improbabile che venga ampiamente utilizzato tra i criminali.

IL rapporto, pubblicato lo scorso settembre e scritto dai membri del Forward-Looking Threat Research Team di Trend Micro, David Sancho e Robert McArdle, delinea le proprietà del sistema di dominio di primo livello Namecoin che lo espongono ad abusi da parte di utenti malintenzionati.

Tra queste rientrano la creazione di nomi di dominio economici e anonimi e un sistema che mette i nomi di dominio fuori dalla portata delle autorità centrali che cercano di chiudere o prendere il controllo di un sito dannoso.

"Hai l'anonimato, la Privacy e la solidità, quindi non puoi chiudere [questi siti]", ha detto Sancho.

La stragrande maggioranza dei domini di primo livello, come .com o .org, sono governati dall'Internet Corporation for Assigned Names and Numbers (ICANN). I domini di primo livello al di fuori del sistema ICANN sono noti come radici DNS alternative o ADR. Tra questi rientrano i suffissi .geek e .micro, come ha osservato il documento di Trend Micro.

NomeCoin

consente ai suoi utenti di creare un tipo di dominio che va oltre la competenza dell'ICANN. Le transazioni Namecoin includono dati DNS, consentendo agli utenti di creare un nuovo nome di dominio con ogni transazione. Questi nomi di dominio sono indicati dal suffisso . BIT e le transazioni sono registrate in una blockchain pubblica.

Tracce di una botnet polacca sequestrata

Gli autori hanno anche esaminato un'istanza di una botnet che sfruttava i domini . BIT . Gli autori hanno analizzato malware che effettuavano ripetute connessioni a quattro domini . BIT , tra cui megashara. BIT e opusattheend. BIT. Il malware fa parte di un raggruppamento di software dannosi noto come Famiglia NECURS. Questo malware in genere entra nei sistemi degli utenti allegandolo a email di spam dannose. Quindi disabilita i servizi di sicurezza di un sistema per impedire che altri pezzi di software dannoso vengano rilevati.

Secondo Sancho, il malware che ha esaminato presenta forti somiglianze con una precedente botnet che era gestita dalla Polonia e che era stata chiusa dalle autorità polacche lo scorso gennaio. Quella botnet era utilizzata per una forma "molto pedestre" di frode finanziaria, ha detto Sancho.

"Pensiamo che questo sia il successore della botnet polacca. LOOKS molto simile, anche se non abbiamo convalidato al 100% questa affermazione. LOOKS la versione due di questa botnet polacca."

Quando le autorità polacchefermare la botnet lo scorso gennaio, non sono riusciti a catturare il suo operatore. Ma sono riusciti a "inabissare" con successo i domini incriminati, reindirizzando il traffico a un sito controllato dall'agenzia polacca per la sicurezza informatica, la NASK. Ma se la teoria di Sancho è corretta, allora la nuova botnet che gira sui domini . BIT è ora ancora più solida, perché è fuori dalla portata delle agenzie statali.

"Non c'è modo che un governo o un'autorità possa abbattere un . BIT", ha detto Sancho. "T saranno in grado di fare nulla, e questa è la cosa intelligente."

Il paradosso della tracciabilità blockchain

Anche se i domini namecoin forniscono un alto grado di anonimato ai loro proprietari, si basano anche sulla blockchain namecoin, che rende pubbliche tutte le transazioni. Questa caratteristica consente ai ricercatori della sicurezza un accesso senza precedenti alla cronologia di un nome di dominio. Il documento di Trend Micro sottolinea che questa elevata trasparenza consente di raccogliere informazioni su siti Web dannosi che non sarebbero stati possibili con un dominio di primo livello amministrato dall'ICANN. I ricercatori sono in grado di vedere quando viene creato un nome di dominio e gli indirizzi IP a cui punta.

"Quelle sono informazioni che normalmente T hai con un normale nome di dominio. T ho la cronologia di ogni singolo IP [associato a un dominio], quella cronologia T esiste", ha detto Sancho.

Nel caso della botnet . BIT esaminata dai ricercatori di Trend Micro, la blockchain namecoin ha prodotto un grafico di analisi di rete di quattro nomi di dominio interessati, che mostra come fossero collegati in passato da un certo numero di indirizzi IP. Questi indirizzi IP erano anche associati a domini amministrati centralmente in passato. Di conseguenza, affermano i ricercatori, i domini . BIT dannosi possono essere collegati all'individuo o al gruppo che ha registrato quei domini amministrati centralmente. Il documento afferma:

"Controllare i dettagli Whois sui domini non-. BIT scoprirebbe il criminale dietro di essi. Questo è esattamente il tipo di errore causato dalla semplice natura Human che può spesso essere la rovina di una banda di criminali informatici altrimenti attenta."

Diversi altri fattori impediscono che i domini namecoin vengano facilmente sfruttati per usi nefandi. Poiché i domini . BIT sono accessibili solo con impostazioni di rete riconfigurate, gli utenti infettati da malware dovrebbero essere in grado di rilevare facilmente irregolarità del traffico. Anche i server Namecoin sono relativamente pochi e sono gestiti su base volontaria da appassionati. Di conseguenza, sono meno affidabili e a volte potrebbero essere offline. Trend Micro afferma che esistono circa 106.000 domini . BIT e il traffico verso questi domini rimane relativamente basso.

Di conseguenza, Sancho e McArdle concludono che è improbabile che i domini . BIT diventino popolari tra gli autori di attacchi, nonostante presentino alcune caratteristiche interessanti.

Domini anti-censura

Mentre il documento di Trend Micro si concentra sull'uso dell'anonimato del dominio namecoin da parte dei criminali, riconosce che un sistema di nomi di dominio decentralizzato può anche avere usi legittimi. Questo è un punto cheElio Dorato, ricercatore presso la George Mason UniversityCentro Mercatus, sottolineature.

"Le radici DNS alternative sono importanti perché forniscono un controllo sull'ICANN, che altrimenti avrebbe il monopolio sulla Politiche DNS", ha affermato.

ONE esempio di un sistema di dominio di primo livello alternativo utilizzato per l'espressione politica è il suffisso .ti, che viene utilizzato per indicare un sito web tibetano. Un gruppo chiamato New Nations amministra questi domini di primo livello, insieme a un gruppo di altri, come .te, .uu e .ke, rispettivamente per Tamil, Uiguri e Curdi. La motivazione di New Nation è che vuole sfidare l'attuale "struttura di potere"governare Internet rendendo disponibili questi domini di primo livello.

Un altro gruppo, chiamato OpenNIC, cerca di fare qualcosa di simile, offrendo domini di primo livello come .fur, .free e .indy. La sua missione, secondo il suocarta, è quello di fornire nuove gerarchie di dominio al di fuori del sistema ICANN per promuovere la "libertà di accesso" a Internet. Chiunque può unirsi a OpenNIC e le decisioni vengono prese quando le proposte WIN una maggioranza semplice dei voti espressi via e-mail.

Dourado ha affermato che i nomi di dominio decentralizzati e anonimi sono particolarmente necessari in situazioni in cui gli utenti devono aggirare la censura di un'agenzia statale o se uno stato possiede ampi poteri per bloccare determinati siti Web, come nel caso diproposta di legge SOPAnegli Stati Uniti.

"È importante ricordare che le attività considerate criminali in alcuni paesi sono considerate protette dai diritti Human in altri paesi. Mentre la resistenza alla censura può rendere più difficile far rispettare le buone leggi penali così come quelle cattive, nel complesso è un beneficio netto per l'umanità."

Sicurezzaimmagine tramite Shutterstock