2017年,執法部門對AlphaBay以及Hansa的關停舉措引發人們對于暗網市場前景的大量猜測。事實上,對環境的恐懼和不信任感正促使網絡犯罪分子采用替代技術來提高安全性,從而確保自身在開展網絡違法行為時能夠躲避執法人員的檢測。區塊鏈技術,似乎有望幫助其達成目的。
大多數人在聽到“區塊鏈”一詞時,首先想到的往往是加密貨幣及相關應用方向—其用戶群體中發生的交易與交互必須以高度信任、透明以及高效的方式來執行。然而,如果著眼于網絡犯罪論壇管理員目前面臨的困境,我們就會發現他們也是區塊鏈技術的理想受眾群體。為此,一部分網絡犯罪分子已經開始嘗試利用區塊鏈域名系統(簡稱DNS)隱藏其惡意活動。
區塊鏈DNS vs. 傳統的DNS
區塊鏈DNS與傳統DNS有所不同。一般來講,當我們將網站地址輸入互聯網瀏覽器時,計算機將向DNS服務器查詢對應的IP地址。從本質上講,DNS相當于互聯網版本的電話簿,其中包含實體名稱、“點”、以及名為頂級域名(TLD)的擴展名,其可以是.com、.gov、.edu、.uk以及.de等后綴。TLD由權威機構控制,例如具有全球影響力的互聯網名稱與數字地址分配機構(簡稱ICANN),或者英國的Nominet以及德國的DENIC等區域性機構。相比之下,區塊鏈DNS則是一種去中心化DNS。區塊鏈TLD——包括.bit、.bazar以及.coin等——并不隸屬于單一的權威機構。DNS會查詢由對等網絡所共享的IP地址表,同時使用一種區別于傳統DNS請求的技術方法。
去中心化DNS擁有多種優勢,包括抵御執法當局的審查(例如,政府可能要求國內所有互聯網服務供應商停止將域名重定向至相關IP地址),或者防止DNS欺詐(攻擊者可以插入偽造的DNS數據以確保名稱服務器返回錯誤的IP地址,并將流量重定向至攻擊者指定的計算機處)。然而,去中心化DNS也可能遭到惡意攻擊者的濫用。由于區塊鏈域名不存在中心權限,因此注冊只包含唯一的加密哈希值,而非站點名稱與地址。這意味著執法部門將更難以對不法網站進行清除。以下是惡意人士利用區塊鏈技術的幾個具體實例。
惡意利用區塊鏈DNS的實例
早在2016年1月,就出現了The Money Team等首批利用區塊鏈DNS創建.bazar域名以保護自身犯罪行為的組織。2017年7月,Joker’s Stash這一流行自動販售車(簡稱AVC)網站開始利用區塊鏈DNS以及原有Tor(.onion)域名保護其銷售被盜支付卡信息的行為。要訪問.bazar版本的網站,用戶需要安裝區塊鏈DNS瀏覽器擴展或者插件。與此同時,其它不少AVC網站及論壇也在嘗試利用對等DNS技術交易被盜賬戶信息。
區塊鏈技術還允許用戶為在線市場構建替代模型。例如,名為Tralfamadore的站點就利用區塊鏈作為后端來存儲必要的數據庫和代碼,以支持前端用戶界面。交易活動通過加密貨幣進行,并被記錄為區塊鏈上的智能合約。此舉是為了提高網站用戶間的信任度,所有交易信息都將被永久記錄,這意味著買家更易識別欺詐分子。
OpenBazaar網站是另一個使用區塊鏈技術的市場。該項目于2016年4月正式上線,此后用戶群體就在穩步增長。到2018年上半年,該網站的新用戶增加了約4000名,而在售商品數量則由18000增加至超過27000多個。盡管取得了快速發展,但OpenBazaar的主體并不屬于網絡犯罪平臺,其在售的大多數商品并不違法。
網絡犯罪花樣翻新快,網絡人員應持續關注
盡管出現上述實例,但需要強調的是,任何事情都需要加以權衡,區塊鏈技術在網絡犯罪活動中的運用亦是如此。目前,區塊鏈難以得到更廣泛普及的原因在于,利用基于區塊鏈的平臺會導致所有交互皆以公開方式進行記錄,這違背了不少用戶保護自我隱私的強烈意愿。因此,相當一部分網絡犯罪分子選擇將其業務從暗網市場與地下論壇中分離出來,利用自己的站點來宣傳服務,而后將用戶引導至Jabber、Internet Relay Chat(簡稱IRC)、Skype、Discord以及Telegram等頻道中進一步開展業務交流。買家能夠直接通過對等網絡及個人聊天頻道與賣家取得聯系,并使用加密貨幣或者電子支付服務完成交易。
網絡安全專業人士應當繼續關注利用區塊鏈技術買賣非法商品的情況。在此期間,網安從業人員還應不斷評估可用于惡意目的的其它新興技術。因為只要存在可供網絡犯罪分子利用的銷售市場,包括出售被盜賬戶、支付卡信息乃至假冒商品等市場,他們就一定會找到新的、具有創造性的牟利方式。