Un informe de Trend Micro revela que es poco probable que los delincuentes abusen de Namecoin

El sistema de nombres de dominio de Namecoin es un entorno atractivo para usuarios maliciosos, pero no es probable que tenga un uso generalizado entre los delincuentes, según un informe de investigación de la firma de seguridad digital Trend Micro.

El informe, publicado en septiembre pasado y escrito por los miembros del equipo de investigación de amenazas prospectivas de Trend Micro, David Sancho y Robert McArdle, describe las propiedades del sistema de dominio de nivel superior de Namecoin que lo dejan expuesto al abuso por parte de usuarios maliciosos.

Estas incluyen creaciones de nombres de dominio baratos y anónimos y un sistema que coloca los nombres de dominio fuera del alcance de las autoridades centrales que buscan cerrar o controlar un sitio malicioso.

"Tienes anonimato, Privacidad y solidez, por lo que no puedes eliminar [estos sitios]", dijo Sancho.

La gran mayoría de los dominios de nivel superior, como .com o .org, están regulados por la Corporación de Internet para la Asignación de Nombres y Números (ICANN). Los dominios de nivel superior fuera del sistema de la ICANN se conocen como raíces DNS alternativas o ADR. Estos incluyen los sufijos .geek y .micro, según el informe de Trend Micro.

Namecoin

Permite a sus usuarios crear un tipo de dominio que escapa al control de la ICANN. Las transacciones de Namecoin incluyen datos DNS, lo que permite a los usuarios crear un nuevo nombre de dominio con cada transacción. Estos nombres de dominio se identifican con el sufijo BIT y las transacciones se registran en una cadena de bloques pública.

Rastros de una botnet polaca incautada

Los autores también investigaron un caso de una botnet que explotaba dominios BIT . Analizaron malware que establecía conexiones repetidas a cuatro dominios BIT , incluyendo BIT y BIT. El malware forma parte de un grupo de software malicioso conocido como Familia NECURSEste malware suele ingresar a los sistemas de los usuarios adjuntándose a correos electrónicos no deseados maliciosos. Posteriormente, desactiva los servicios de seguridad del sistema para evitar que se detecten otros programas maliciosos.

Según Sancho, el malware que investigó presenta fuertes similitudes con una botnet anterior operada desde Polonia, que fue desmantelada por las autoridades polacas en enero pasado. Dicha botnet se utilizaba para un tipo de fraude financiero muy común, afirmó Sancho.

Creemos que este es el sucesor de la botnet polaca. LOOKS mucho, aunque no hemos confirmado esta afirmación al 100 %. LOOKS la segunda versión de esta botnet polaca.

Cuando las autoridades polacascerrar Tras la botnet del pasado enero, no lograron detener a su operador. Sin embargo, lograron infiltrar los dominios infractores, redirigiendo el tráfico a un sitio web controlado por la agencia polaca de ciberseguridad, NASK. Si la teoría de Sancho es correcta, la nueva botnet, que opera en dominios BIT , es ahora aún más robusta, ya que está fuera del alcance de las agencias estatales.

"No hay manera de que ningún gobierno ni ninguna autoridad pueda derribar BIT", dijo Sancho. "No podrán hacer nada, y eso es lo inteligente."

La paradoja de la trazabilidad de la cadena de bloques

Si bien los dominios namecoin brindan un alto grado de anonimato a sus propietarios, también dependen de la cadena de bloques namecoin, que hace públicas todas las transacciones. Esta característica permite a los investigadores de seguridad un acceso sin precedentes al historial de un nombre de dominio. El informe de Trend Micro señala que esta alta transparencia permite recopilar información sobre sitios web maliciosos, algo que no habría sido posible con un dominio de nivel superior administrado por la ICANN. Los investigadores pueden ver cuándo se crea un nombre de dominio y las direcciones IP a las que apunta.

"Esa es información que normalmente no tienes con un nombre de dominio normal. No obtengo el historial de cada IP [asociada a un dominio], ese historial no existe", dijo Sancho.

En el caso de la botnet . BIT que analizaron los investigadores de Trend Micro, la cadena de bloques de Namecoin generó un gráfico de análisis de red de cuatro nombres de dominio afectados, que muestra que estuvieron vinculados anteriormente mediante varias direcciones IP. Estas direcciones IP también estuvieron asociadas con dominios administrados centralmente. Como resultado, según los investigadores, los dominios . BIT maliciosos pueden vincularse con la persona o el grupo que registró dichos dominios. El artículo afirma:

Revisar los datos Whois de los dominios que no son .bit destaparía al delincuente que está detrás. Este es precisamente el tipo de error causado por la simple naturaleza Human que a menudo puede ser la ruina de una banda de ciberdelincuentes que, por lo demás, sería cautelosa.

Varios otros factores impiden que los dominios Namecoin sean fácilmente explotados con fines maliciosos. Dado que solo se puede acceder a los dominios . BIT con la configuración de red reconfigurada, los usuarios infectados con malware deberían poder detectar fácilmente las irregularidades en el tráfico. Los servidores Namecoin también son relativamente escasos y su mantenimiento es voluntario por parte de entusiastas. Por ello, son menos fiables y, en ocasiones, pueden estar fuera de línea. Trend Micro afirma que existen unos 106.000 dominios . BIT , y el tráfico hacia ellos sigue siendo relativamente bajo.

Como resultado, Sancho y McArdle concluyen que es poco probable que los dominios . BIT se vuelvan populares entre los actores maliciosos, aunque poseen algunas características atractivas.

Dominios anticensura

Si bien el informe de Trend Micro se centra en el uso del anonimato del dominio Namecoin por parte de delincuentes, reconoce que un sistema de nombres de dominio descentralizado también puede tener usos legítimos. Este es un punto que...Eli Dourado, investigador de la Universidad George MasonCentro Mercatus, subraya.

"Las raíces DNS alternativas son importantes porque proporcionan un control sobre la ICANN, que de otro modo tendría el monopolio de la Regulación de DNS", dijo.

Un ejemplo de un sistema alternativo de dominio de nivel superior utilizado para la expresión política es el sufijo .ti, que se utiliza para identificar un sitio web tibetano. Un grupo llamado New Nation administra estos dominios de nivel superior, junto con otros como .te, .uu y .ke, para tamiles, uigures y kurdos, respectivamente. La razón de ser de New Nation es que quiere desafiar el sistema existente.estructura de poder"gobernar Internet poniendo a disposición estos dominios de nivel superior.

Otro grupo, llamado OpenNIC, busca hacer algo similar, al ofrecer dominios de nivel superior como .fur, .free y .indy. Su misión, según sucartaEl objetivo es proporcionar nuevas jerarquías de dominios fuera del sistema de la ICANN para promover la libertad de acceso a Internet. Cualquiera puede unirse a OpenNIC y las decisiones se toman cuando las propuestas WIN una mayoría simple de votos emitidos por correo electrónico.

Dourado dijo que los nombres de dominio descentralizados y anónimos son particularmente necesarios en situaciones en las que los usuarios tienen que eludir la censura de una agencia estatal, o si un estado posee amplios poderes para bloquear ciertos sitios web, como en el caso depropuesta de legislación SOPAen los Estados Unidos.

Es importante recordar que las actividades que se consideran delictivas en algunos países se consideran protegidas por los derechos Human en otros. Si bien la resistencia a la censura puede dificultar la aplicación de leyes penales tanto buenas como malas, en general representa un beneficio neto para la humanidad.

Seguridadimagen vía Shutterstock