網(wǎng)絡(luò)罪犯如何利用區(qū)塊鏈技術(shù)
司法機(jī)構(gòu)2017年對AlphaBay和Hansa犯罪論壇的掃蕩,引發(fā)了關(guān)于暗網(wǎng)市場未來的大量猜測。恐懼和不信任的氛圍,令網(wǎng)絡(luò)罪犯們急于找尋替代技術(shù)來提升其從事非法在線“業(yè)務(wù)”的安全性和匿名性。其中一種替代技術(shù)就是區(qū)塊鏈。
大多數(shù)人聽到區(qū)塊鏈的第一反應(yīng),都是加密貨幣之類交易和互動(dòng)需以高信任度、高透明度加以高效執(zhí)行的應(yīng)用。但是,考慮一下在線犯罪論壇近期遇到的麻煩,我們不難想象他們會(huì)探索區(qū)塊鏈的犯罪應(yīng)用。某些網(wǎng)絡(luò)罪犯已經(jīng)在實(shí)驗(yàn)將區(qū)塊鏈域名系統(tǒng)(DNS)作為隱藏其惡意活動(dòng)和防護(hù)其惡意服務(wù)的一種方法了。
區(qū)塊鏈DNS與傳統(tǒng)DNS迥異。傳統(tǒng)上,往互聯(lián)網(wǎng)瀏覽器地址欄輸入網(wǎng)站地址時(shí),計(jì)算機(jī)會(huì)查詢DNS服務(wù)器以將域名轉(zhuǎn)譯成IP地址。DNS類似于互聯(lián)網(wǎng)版本的電話黃頁。網(wǎng)站域名里包含有實(shí)體的名稱和“.”后跟著的頂級域名(TLD),比如.com、.gov、.edu、.uk、.de等等。TLD由互聯(lián)網(wǎng)名稱和數(shù)字地址分配機(jī)構(gòu)(ICANN)之類的全球中心權(quán)威機(jī)構(gòu)控制,英國的Nominet和德國的DENIC之類的地區(qū)性權(quán)威機(jī)構(gòu)也有部分控制權(quán)。
與之相反,區(qū)塊鏈DNS是分布式的DNS。區(qū)塊鏈TLD——包括.bit、.bazar和.coin,并不由單獨(dú)的中央權(quán)威機(jī)構(gòu)掌控。DNS查詢表在點(diǎn)對點(diǎn)網(wǎng)絡(luò)中共享,并且采用與傳統(tǒng)DNS查詢請求不同的技術(shù)。
去中心化的DNS提供諸多好處,比如對抗當(dāng)局審查(例:專制政府命令國內(nèi)所有互聯(lián)網(wǎng)服務(wù)提供商(ISP)停止重定向域名到相關(guān)IP地址),再如防止DNS欺騙(攻擊者注入惡意DNS數(shù)據(jù)令域名服務(wù)器返回錯(cuò)誤的IP地址,將流量重定向到攻擊者的計(jì)算機(jī)上)。然而,去中心化DNS仍有可能被攻擊者濫用。因?yàn)閰^(qū)塊鏈域名沒有中央權(quán)威,注冊信息也只是加密散列值而不是個(gè)人的姓名和住址,司法機(jī)構(gòu)很難執(zhí)行網(wǎng)站關(guān)停操作。
2016年1月,The Money Team 為更好地保護(hù)自身活動(dòng)而首開區(qū)塊鏈DNS先河,創(chuàng)建了.bazar域。2017年7月,被盜支付卡信息自動(dòng)販?zhǔn)?(AVC))網(wǎng)站 Joker’s Stash 開始在其Tor(.onion)域基礎(chǔ)上運(yùn)用區(qū)塊鏈DNS技術(shù)。想要訪問.bazar版網(wǎng)站的用戶需安裝區(qū)塊鏈DNS瀏覽器擴(kuò)展或插件。用于交易被盜賬戶信息的其他AVC站點(diǎn)和論壇也在實(shí)驗(yàn)點(diǎn)對點(diǎn)DNS技術(shù)。
區(qū)塊鏈技術(shù)能讓用戶領(lǐng)略到在線市場的另一種模式。比如名為Tralfamadore的站點(diǎn),就將區(qū)塊鏈作為其存儲必要的數(shù)據(jù)庫和代碼的后端,支持前端用戶交互。交易使用加密貨幣,并在區(qū)塊鏈上以智能合約的形式加以記錄。其目的是為了提升網(wǎng)站用戶之間的互信——因?yàn)樗薪灰锥加谰糜涗浵聛恚摷俟?yīng)商也更容易被發(fā)現(xiàn)。
使用區(qū)塊鏈技術(shù)的另一個(gè)市場是OpenBazaar網(wǎng)站。該項(xiàng)目始于2016年4月,其用戶基礎(chǔ)自此一直在穩(wěn)定增長。2018年上半年,該網(wǎng)站新增用戶約4000名,所售賣商品則從1.8萬件增長到超過2.7萬件。盡管有獲利,OpenBazaar尚未被用于大規(guī)模網(wǎng)絡(luò)犯罪活動(dòng),站點(diǎn)上列出的大多數(shù)商品都不屬于非法。
生活中大多數(shù)東西都是有其向?qū)?yīng)的代價(jià)的。區(qū)塊鏈用于網(wǎng)絡(luò)犯罪活動(dòng)也不例外。影響區(qū)塊鏈平臺廣泛采納的一大因素,是所有互動(dòng)都會(huì)被公開記錄。這就違背很多用戶想要私下交易的強(qiáng)烈訴求了。很多網(wǎng)絡(luò)罪犯想要在遠(yuǎn)離暗網(wǎng)市場和地下論壇的地方開展業(yè)務(wù)。他們在自己的網(wǎng)站上打廣告,然后將用戶導(dǎo)引到Jabber、IRC、Skype、Discord和Telegram上的專用信道談生意。買家可以通過點(diǎn)對點(diǎn)網(wǎng)絡(luò)和私聊頻道聯(lián)系賣家,以加密貨幣或電子支付服務(wù)來執(zhí)行交易。
網(wǎng)絡(luò)安全人員觀測到區(qū)塊鏈用于非法貨物買賣的案例在增加。其他可能用于惡意目的的新興技術(shù)也應(yīng)進(jìn)入安全人員的觀測視野。只要存在網(wǎng)絡(luò)罪犯銷贓的市場,無論是被盜賬戶、被盜支付卡,還是假冒偽劣商品,他們總能找出各種新方法盈利。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
