區(qū)塊鏈技術(shù)或成網(wǎng)絡(luò)犯罪分子的利器！

最近幾天的新聞，不管滴滴、華住，都敵不過京東的猛。危機(jī)問題，總是用一個(gè)新聞蓋過一個(gè)新聞來解決。相比前面爆炸性新聞，作為次一級(jí)的大新聞，則是十天前，區(qū)塊鏈微信公眾號(hào)眾多大咖集體被封事件，官方回應(yīng)稱，他們是因涉嫌ICO虛擬貨幣炒作，違反有關(guān)規(guī)定而被封停。區(qū)塊鏈究竟何錯(cuò)之有呢？區(qū)塊鏈本身是一種技術(shù)，無所謂好與壞，可是有的人卻將他帶偏帶變形。

E安全9月4日文 2017年，執(zhí)法部門對(duì)AlphaBay以及Hansa的關(guān)停舉措引發(fā)人們對(duì)于暗網(wǎng)市場前景的大量猜測。事實(shí)上，對(duì)環(huán)境的恐懼和不信任感正促使網(wǎng)絡(luò)犯罪分子采用替代技術(shù)來提高安全性，從而確保自身在開展網(wǎng)絡(luò)違法行為時(shí)能夠躲避執(zhí)法人員的檢測。區(qū)塊鏈技術(shù)，似乎有望幫助其達(dá)成目的。

大多數(shù)人在聽到“區(qū)塊鏈”一詞時(shí)，首先想到的往往是加密貨幣及相關(guān)應(yīng)用方向—其用戶群體中發(fā)生的交易與交互必須以高度信任、透明以及高效的方式來執(zhí)行。然而，如果著眼于網(wǎng)絡(luò)犯罪論壇管理員目前面臨的困境，我們就會(huì)發(fā)現(xiàn)他們也是區(qū)塊鏈技術(shù)的理想受眾群體。為此，一部分網(wǎng)絡(luò)犯罪分子已經(jīng)開始嘗試?yán)脜^(qū)塊鏈域名系統(tǒng)（簡稱DNS）隱藏其惡意活動(dòng)。

區(qū)塊鏈DNS vs. 傳統(tǒng)的DNS

區(qū)塊鏈DNS與傳統(tǒng)DNS有所不同。一般來講，當(dāng)我們將網(wǎng)站地址輸入互聯(lián)網(wǎng)瀏覽器時(shí)，計(jì)算機(jī)將向DNS服務(wù)器查詢對(duì)應(yīng)的IP地址。從本質(zhì)上講，DNS相當(dāng)于互聯(lián)網(wǎng)版本的電話簿，其中包含實(shí)體名稱、“點(diǎn)”、以及名為頂級(jí)域名（TLD）的擴(kuò)展名，其可以是.com、.gov、.edu、.uk以及.de等后綴。TLD由權(quán)威機(jī)構(gòu)控制，例如具有全球影響力的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（簡稱ICANN），或者英國的Nominet以及德國的DENIC等區(qū)域性機(jī)構(gòu)。相比之下，區(qū)塊鏈DNS則是一種去中心化DNS。區(qū)塊鏈TLD——包括.bit、.bazar以及.coin等——并不隸屬于單一的權(quán)威機(jī)構(gòu)。DNS會(huì)查詢由對(duì)等網(wǎng)絡(luò)所共享的IP地址表，同時(shí)使用一種區(qū)別于傳統(tǒng)DNS請(qǐng)求的技術(shù)方法。

去中心化DNS擁有多種優(yōu)勢(shì)，包括抵御執(zhí)法當(dāng)局的審查（例如，政府可能要求國內(nèi)所有互聯(lián)網(wǎng)服務(wù)供應(yīng)商停止將域名重定向至相關(guān)IP地址），或者防止DNS欺詐（攻擊者可以插入偽造的DNS數(shù)據(jù)以確保名稱服務(wù)器返回錯(cuò)誤的IP地址，并將流量重定向至攻擊者指定的計(jì)算機(jī)處）。然而，去中心化DNS也可能遭到惡意攻擊者的濫用。由于區(qū)塊鏈域名不存在中心權(quán)限，因此注冊(cè)只包含唯一的加密哈希值，而非站點(diǎn)名稱與地址。這意味著執(zhí)法部門將更難以對(duì)不法網(wǎng)站進(jìn)行清除。以下是惡意人士利用區(qū)塊鏈技術(shù)的幾個(gè)具體實(shí)例。

惡意利用區(qū)塊鏈DNS的實(shí)例

早在2016年1月，就出現(xiàn)了The Money Team等首批利用區(qū)塊鏈DNS創(chuàng)建.bazar域名以保護(hù)自身犯罪行為的組織。2017年7月，Joker’s Stash這一流行自動(dòng)販?zhǔn)圮嚕ê喎QAVC）網(wǎng)站開始利用區(qū)塊鏈DNS以及原有Tor（.onion）域名保護(hù)其銷售被盜支付卡信息的行為。要訪問.bazar版本的網(wǎng)站，用戶需要安裝區(qū)塊鏈DNS瀏覽器擴(kuò)展或者插件。與此同時(shí)，其它不少AVC網(wǎng)站及論壇也在嘗試?yán)脤?duì)等DNS技術(shù)交易被盜賬戶信息。

區(qū)塊鏈技術(shù)還允許用戶為在線市場構(gòu)建替代模型。例如，名為Tralfamadore的站點(diǎn)就利用區(qū)塊鏈作為后端來存儲(chǔ)必要的數(shù)據(jù)庫和代碼，以支持前端用戶界面。交易活動(dòng)通過加密貨幣進(jìn)行，并被記錄為區(qū)塊鏈上的智能合約。此舉是為了提高網(wǎng)站用戶間的信任度，所有交易信息都將被永久記錄，這意味著買家更易識(shí)別欺詐分子。

OpenBazaar網(wǎng)站是另一個(gè)使用區(qū)塊鏈技術(shù)的市場。該項(xiàng)目于2016年4月正式上線，此后用戶群體就在穩(wěn)步增長。到2018年上半年，該網(wǎng)站的新用戶增加了約4000名，而在售商品數(shù)量則由18000增加至超過27000多個(gè)。盡管取得了快速發(fā)展，但OpenBazaar的主體并不屬于網(wǎng)絡(luò)犯罪平臺(tái)，其在售的大多數(shù)商品并不違法。

網(wǎng)絡(luò)犯罪花樣翻新快，網(wǎng)絡(luò)人員應(yīng)持續(xù)關(guān)注

盡管出現(xiàn)上述實(shí)例，但需要強(qiáng)調(diào)的是，任何事情都需要加以權(quán)衡，區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)犯罪活動(dòng)中的運(yùn)用亦是如此。目前，區(qū)塊鏈難以得到更廣泛普及的原因在于，利用基于區(qū)塊鏈的平臺(tái)會(huì)導(dǎo)致所有交互皆以公開方式進(jìn)行記錄，這違背了不少用戶保護(hù)自我隱私的強(qiáng)烈意愿。因此，相當(dāng)一部分網(wǎng)絡(luò)犯罪分子選擇將其業(yè)務(wù)從暗網(wǎng)市場與地下論壇中分離出來，利用自己的站點(diǎn)來宣傳服務(wù)，而后將用戶引導(dǎo)至Jabber、Internet Relay Chat（簡稱IRC）、Skype、Discord以及Telegram等頻道中進(jìn)一步開展業(yè)務(wù)交流。買家能夠直接通過對(duì)等網(wǎng)絡(luò)及個(gè)人聊天頻道與賣家取得聯(lián)系，并使用加密貨幣或者電子支付服務(wù)完成交易。

網(wǎng)絡(luò)安全專業(yè)人士應(yīng)當(dāng)繼續(xù)關(guān)注利用區(qū)塊鏈技術(shù)買賣非法商品的情況。在此期間，網(wǎng)安從業(yè)人員還應(yīng)不斷評(píng)估可用于惡意目的的其它新興技術(shù)。因?yàn)橹灰嬖诳晒┚W(wǎng)絡(luò)犯罪分子利用的銷售市場，包括出售被盜賬戶、支付卡信息乃至假冒商品等市場，他們就一定會(huì)找到新的、具有創(chuàng)造性的牟利方式。