Relatório da Trend Micro descobre que criminosos dificilmente abusarão do Namecoin

O sistema de nomes de domínio da Namecoin é um ambiente atraente para usuários mal-intencionados, mas provavelmente não será amplamente utilizado entre criminosos, de acordo com um relatório de pesquisa da empresa de segurança digital Trend Micro.

O relatório, publicado em setembro passado e escrito pelos membros da equipe de pesquisa de ameaças prospectivas da Trend Micro, David Sancho e Robert McArdle, descreve as propriedades do sistema de domínio de nível superior do namecoin que o deixam aberto ao abuso por usuários mal-intencionados.

Isso inclui a criação de nomes de domínio baratos e anônimos e um sistema que coloca nomes de domínio fora do alcance de autoridades centrais que buscam fechar ou tomar posse de um site malicioso.

"Você tem anonimato, Política de Privacidade e robustez, então não pode derrubar [esses sites]", disse Sancho.

A grande maioria dos domínios de nível superior, como .com ou .org, são governados pela Internet Corporation for Assigned Names and Numbers (ICANN). Os domínios de nível superior fora do sistema ICANN são conhecidos como raízes DNS alternativas ou ADRs. Isso inclui os sufixos .geek e .micro, observou o artigo da Trend Micro.

Moeda de nome

permite que seus usuários criem um tipo de domínio que está além do escopo da ICANN. As transações Namecoin incluem dados DNS, permitindo que os usuários criem um novo nome de domínio com cada transação. Esses nomes de domínio são denotados pelo sufixo . BIT e as transações são registradas em uma cadeia de blocos pública.

Vestígios de uma botnet polonesa apreendida

Os autores também investigaram uma instância de uma botnet que explorava domínios . BIT . Os autores analisaram malware que fez conexões repetidas com quatro domínios . BIT , incluindo megashara. BIT e opusattheend. BIT. O malware faz parte de um grupo de software malicioso conhecido como Família NECURS. Esse malware geralmente entra nos sistemas do usuário anexando-se a um e-mail de spam malicioso. Ele então desabilita os serviços de segurança do sistema para evitar que outros softwares maliciosos sejam detectados.

De acordo com Sancho, o malware que ele investigou tem fortes similaridades com uma botnet anterior que era operada da Polônia e que havia sido fechada pelas autoridades polonesas em janeiro passado. Essa botnet foi usada para uma forma "muito comum" de fraude financeira, disse Sancho.

"Achamos que este é o sucessor do botnet polonês. Ele LOOKS muito, embora não tenhamos validado 100% essa afirmação. LOOKS a versão dois deste botnet polonês."

Quando as autoridades polacasdesligar o botnet em janeiro passado, eles não conseguiram apreender seu operador. Mas eles conseguiram 'afundar' os domínios ofensivos, redirecionando o tráfego para um site controlado pela agência polonesa de segurança cibernética, a NASK. Mas se a teoria de Sancho estiver correta, então o novo botnet executado em domínios . BIT é agora ainda mais robusto, porque está fora do alcance das agências estatais.

"Não há como nenhum governo ou autoridade derrubar um . BIT", disse Sancho. "Eles T poderão fazer nada, e essa é a coisa inteligente sobre isso."

Paradoxo da rastreabilidade do blockchain

Mesmo que os domínios namecoin forneçam um alto grau de anonimato aos seus proprietários, eles também dependem do blockchain namecoin, que torna todas as transações públicas. Esse recurso permite aos pesquisadores de segurança acesso sem precedentes ao histórico de um nome de domínio. O artigo da Trend Micro observa que essa alta transparência torna possível reunir informações sobre sites maliciosos que não seriam possíveis com um domínio de nível superior administrado pela ICANN. Os pesquisadores conseguem ver quando um nome de domínio é criado e os endereços IP para os quais ele aponta.

"Essa é uma informação que você normalmente T tem com um nome de domínio normal. Eu T obtenho o histórico de cada IP [associado a um domínio], esse histórico T existe", disse Sancho.

No caso do botnet . BIT que os pesquisadores da Trend Micro investigaram, a cadeia de blocos namecoin produziu um gráfico de análise de rede de quatro nomes de domínio afetados, mostrando que eles estavam vinculados no passado por vários endereços IP. Esses endereços IP também estavam associados a domínios administrados centralmente no passado. Como resultado, os pesquisadores dizem que os domínios maliciosos . BIT podem ser vinculados ao indivíduo ou grupo que registrou esses domínios administrados centralmente. O artigo afirma:

"Verificar os detalhes do Whois nos domínios não-. BIT revelaria o criminoso por trás deles. Esse é exatamente o tipo de erro causado pela simples natureza Human que pode frequentemente ser a ruína de uma gangue de cibercriminosos cuidadosa."

Vários outros fatores impedem que domínios namecoin sejam facilmente explorados para usos nefastos. Como domínios . BIT só podem ser acessados ​​com configurações de rede reconfiguradas, usuários infectados por malware devem ser capazes de detectar irregularidades de tráfego facilmente. Servidores Namecoin também são relativamente poucos e são mantidos voluntariamente por entusiastas. Como resultado, eles são menos confiáveis ​​e podem às vezes ficar offline. A Trend Micro diz que existem cerca de 106.000 domínios . BIT , e o tráfego para esses domínios permanece relativamente baixo.

Como resultado, Sancho e McArdle concluem que os domínios . BIT dificilmente se tornarão populares entre agentes maliciosos, embora possuam algumas características atraentes.

Domínios anticensura

Embora o artigo da Trend Micro se concentre no uso do anonimato de domínio namecoin por criminosos, ele reconhece que um sistema de nome de domínio descentralizado também pode ter usos legítimos. Este é um ponto queEli Dourado, pesquisador da Universidade George MasonCentro Mercatus, sublinha.

"Raízes de DNS alternativas são importantes porque fornecem uma verificação à ICANN, que de outra forma teria o monopólio da Política de DNS", disse ele.

Um exemplo de um sistema de domínio de nível superior alternativo usado para expressão política é o sufixo .ti, que é usado para denotar um site tibetano. Um grupo chamado New Nations administra esses domínios de nível superior, junto com um punhado de outros, como .te, .uu e .ke, para tâmeis, uigures e curdos, respectivamente. A justificativa da New Nation é que ela quer desafiar o "estrutura de poder"governando a Internet disponibilizando esses domínios de nível superior.

Outro grupo, chamado OpenNIC, busca fazer algo semelhante, oferecendo domínios de nível superior como .fur, .free e .indy. Sua missão, de acordo com suaCarta, é fornecer novas hierarquias de domínio fora do sistema ICANN para promover "liberdade de acesso" à Internet. Qualquer um pode se juntar ao OpenNIC e as decisões são tomadas quando as propostas WIN uma maioria simples de votos emitidos por e-mail.

Dourado disse que nomes de domínio descentralizados e anônimos são particularmente necessários em situações em que os usuários têm que contornar a censura de uma agência estatal, ou se um estado possui poderes abrangentes para bloquear certos sites, como no caso doproposta de legislação SOPAnos Estados Unidos.

"É importante lembrar que atividades que são consideradas criminosas em alguns países são consideradas protegidas por direitos Human em outros países. Embora a resistência à censura possa dificultar a aplicação de boas leis criminais, bem como das ruins, no balanço, é um benefício líquido para a humanidade."

Segurançaimagem via Shutterstock