Das Domain-Name-System von Namecoin ist eine attraktive Umgebung für böswillige Benutzer, wird aber laut Kriminalbericht der digitalen Sicherheitsfirma Trend Micro wahrscheinlich keinen breiten Einsatz bei Kriminellen finden.

Der Bericht, der im vergangenen September veröffentlicht wurde und von Mitgliedern des Forward-Looking Threat Research-Teams von Trend Micro, David Sancho und Robert McArdle, verfasst wurde, beschreibt die Eigenschaften des Top-Level-Domain-Systems von namecoin, das Missbrauch durch böswillige Benutzer offen lässt.

Dazu gehören billige und anonyme Domainnamen-Kreationen und ein System, das Domain-Namen außerhalb der Reichweite von zentralen Behörden platziert, die eine bösartige Site herunterfahren oder diese zerstören möchten.

"Sie haben Anonymität, Privatsphäre und Robustheit, so dass Sie [diese Seiten] nicht herunter nehmen können", sagte Sancho.

Die überwiegende Mehrheit der Top-Level-Domains, wie z. com oder. org, werden von der Internet Corporation für zugewiesene Namen und Nummern (ICANN) geregelt. Top-Level-Domains außerhalb des ICANN-Systems sind als alternative DNS-Roots oder ADRs bekannt. Diese beinhalten. Aussenseiter und. Mikro-Suffixe, bemerkte das Trend Micro-Papier.

Namecoin erlaubt seinen Benutzern, eine Art von Domäne zu erstellen, die außerhalb der Zuständigkeit von ICANN liegt. Zu den Transaktionen von Namecoin gehören DNS-Daten, mit denen Benutzer bei jeder Transaktion einen neuen Domänennamen erstellen können. Diese Domain-Namen sind mit dem gekennzeichnet. Bit Suffix und Transaktionen werden in einer öffentlichen Blockkette aufgezeichnet.

Spuren eines beschlagnahmten polnischen Botnets

Die Autoren untersuchten auch eine Instanz eines Botnets, das ausgenutzt wurde. Bit-Domänen. Die Autoren analysierten Malware, die wiederholt mit vieren verbunden war. Bit-Domänen, einschließlich Megashara. bisschen und opusattheend. Bit. Die Malware ist Teil einer Gruppierung bösartiger Software, die als NECURS-Familie bekannt ist. Diese Malware tritt normalerweise in Benutzersysteme ein, indem sie an bösartige Spam-E-Mails angehängt wird. Es deaktiviert dann die Sicherheitsdienste eines Systems, um zu verhindern, dass andere Teile von bösartiger Software erkannt werden.

Laut Sancho weist die Malware, die er untersucht hat, starke Ähnlichkeiten mit einem früheren Botnet auf, das von Polen aus betrieben wurde und das im vergangenen Januar von den polnischen Behörden geschlossen worden war. Dieses Botnet wurde für einen "sehr Fußgänger" -Form des Finanzbetrugs verwendet, sagte Sancho.

"Wir glauben, dass dies der Nachfolger des polnischen Botnetzes ist. Es sieht sehr ähnlich aus, obwohl wir diese Behauptung nicht zu 100% bestätigt haben. Es sieht wie die zweite Version dieses polnischen Botnetzes aus."

Als die polnischen Behörden abschalten Das botnet im letzten Januar, sie waren nicht in der Lage, ihren Betreiber zu ergreifen. Aber sie "sanken" die beleidigenden Domains und leiteten den Traffic auf eine Seite um, die von der polnischen Cybersicherheitsbehörde NASK kontrolliert wird. Aber wenn Sanchos Theorie stimmt, dann läuft das neue Botnetz weiter. Bit-Domains ist jetzt noch robuster, weil es für staatliche Stellen unerreichbar ist.

"Es gibt keine Möglichkeit, dass eine Regierung oder irgendeine Behörde ein Bit verlieren kann", sagte Sancho. "Sie werden nichts tun können, und das ist die schlaue Sache."

Blockchain Traceability Paradox

Auch wenn namecoin-Domains ihren Besitzern einen hohen Grad an Anonymität bieten, verlassen sie sich auf die namecoin blockchain, die alle Transaktionen öffentlich macht. Diese Funktion ermöglicht Sicherheitsforschern einen beispiellosen Zugriff auf den Verlauf eines Domain-Namens. Das Trend Micro Paper stellt fest, dass diese hohe Transparenz es ermöglicht, Informationen über bösartige Websites zu sammeln, die mit einer von ICANN verwalteten Top-Level-Domain nicht möglich gewesen wären. Forscher können sehen, wann ein Domänenname erstellt wird und auf welche IP-Adressen er verweist.

"Das sind Informationen, die Sie normalerweise nicht mit einem normalen Domain-Namen haben. Ich bekomme nicht die Geschichte von jeder einzelnen IP [die mit einer Domain verbunden ist], diese Geschichte existiert nicht", sagte Sancho.

Im Falle der. Bit-Botnet, das von den Trend Micro-Forschern untersucht wurde, ergab die Namcoin-Block-Kette ein Netzwerkanalyse-Diagramm von vier betroffenen Domain-Namen, das zeigte, dass sie in der Vergangenheit durch eine Reihe von IP-Adressen verknüpft waren. Diese IP-Adressen wurden in der Vergangenheit auch mit zentral verwalteten Domänen verknüpft. Als Folge sagen die Forscher, die bösartigen. Bit-Domänen können an die Person oder Gruppe gebunden sein, die diese zentral verwalteten Domänen registriert hat. In dem Papier heißt es:

"Wenn man die Whois-Details auf den Nicht-Bit-Domains überprüft, entdeckt man den Kriminellen dahinter. Genau diese Art von Fehler, die durch die einfache menschliche Natur verursacht wird, kann oft eine ansonsten sorgfältige kriminelle Bande auflösen .

Mehrere andere Faktoren verhindern, dass Domain-Domains für schändliche Zwecke leicht ausgenutzt werden können. Weil. Auf Bit-Domänen kann nur mit neu konfigurierten Netzwerkeinstellungen zugegriffen werden. Malware-infizierte Benutzer sollten Verkehrsunregelmäßigkeiten leicht erkennen können. Namecoin Server sind ebenfalls relativ wenige und werden von Enthusiasten auf freiwilliger Basis gepflegt. Daher sind sie weniger zuverlässig und manchmal offline. Laut Trend Micro gibt es etwa 106.000 Bit-Domains, und der Traffic zu diesen Domains bleibt relativ niedrig.

Daraus folgern Sancho und McArdle. Bit-Domains werden unter böswilligen Akteuren wahrscheinlich nicht populär, obwohl sie einige attraktive Merkmale besitzen.

Anti-Zensur-Domains

Das Trend Micro-Papier konzentriert sich auf die Verwendung der Anonymität von Domain-Domains durch Kriminelle, erkennt jedoch an, dass ein dezentrales Domain-Namen-System auch legitimen Nutzen haben kann. Dies ist ein Punkt, den Eli Dourado, ein Forschungsstipendiat am Mercatus Center der George Mason University, unterstreicht.

"Alternative DNS-Wurzeln sind wichtig, weil sie eine Kontrolle über ICANN bieten, die ansonsten ein Monopol auf die DNS-Politik haben würde", sagte er.

Ein Beispiel für ein alternatives Top-Level-Domain-System für politische Äußerungen ist die. ti suffix, mit dem eine tibetische Website bezeichnet wird.Eine Gruppe namens New Nations verwaltet diese Top-Level-Domains, zusammen mit einer Reihe von anderen, wie. te,. uu und. ke, für Tamilen, Uiguren und Kurden. New Nation geht davon aus, dass es die bestehende "Machtstruktur", die das Internet beherrscht, in Frage stellen will, indem es diese Top-Level-Domains zur Verfügung stellt.

Eine andere Gruppe namens OpenNIC versucht etwas Ähnliches, indem sie Top-Level-Domains wie. Pelz, . frei und. Indy. Gemäß seiner Satzung besteht die Mission darin, neue Domänenhierarchien außerhalb des ICANN-Systems bereitzustellen, um die "Freiheit des Zugangs" zum Internet zu fördern. Jeder kann OpenNIC beitreten und Entscheidungen werden getroffen, wenn Vorschläge die einfache Mehrheit der abgegebenen Stimmen per E-Mail erhalten.

Dourado sagte, dass dezentrale, anonyme Domainnamen besonders in Situationen benötigt werden, in denen Benutzer die Zensur durch eine staatliche Behörde umgehen müssen oder wenn Staaten umfassende Befugnisse haben, bestimmte Websites zu blockieren, wie im Falle der vorgeschlagenen SOPA-Gesetzgebung in den Vereinigten Staaten Zustände.

"Es ist wichtig, sich daran zu erinnern, dass Aktivitäten, die in einigen Ländern als kriminell gelten, in anderen Ländern als menschenrechtlich geschützt gelten. Während Zensurwiderstände es erschweren können, sowohl gute als auch schlechte Strafgesetze durchzusetzen, ist alles in allem ausgeglichen ein Nettonutzen für die Menschheit. "

Sicherheitsabbild über Shutterstock