Domeny a działalność cyberprzestępcza
Same domeny internetowe wydają się nieskomplikowanym technologicznie produktem w porównaniu z innymi zaawansowanymi usługami. Są zaledwie pasem transmisyjnym niezbędnym do komunikacji w sieci. Zaledwie i aż. Przedsiębiorcy tworzą witryny, klienci odwiedzają strony, pobierają w komórkach aplikacje, wszyscy otrzymujemy i wysyłamy maile.
Sieci botów, integralny składnik Internetu, także działają z użyciem domen. Cały ruch oparty jest zatem na domenach, a te mogą być wykorzystywane do działań cyberprzestępczych, ponieważ stanowią swego rodzaju punkty dostępowe łączące klienta (a więc potencjalną ofiarę) z oszustem.
Dystrybucja złośliwego oprogramowania na komputery i urządzenia przenośne, przekierowania na fałszywe strony wyłudzające pieniądze, wrażliwe dane i hasła, rozsyłanie spamu, podszywanie się pod operatora telefonii komórkowej lub bank, rekrutacja do armii botów, blokada komputera czy systemu sieciowego firmy celem wymuszenia okupu, tworzenie przestępczych stron w celu dystrybucji nielegalnych towarów bądź sprzedaży legalnych po korzystnej cenie, ale bez doręczenia – wszystko to nie byłoby możliwe bez domen.
Jeśli domena może być nośnikiem ataku cyberprzestępczego, to czy istnieją sposoby na ograniczanie liczby abuzywnych domen w sieci?
Operator domen europejskich EURid oraz odpowiedzialni rejestratorzy są żywo zainteresowani podejmowaniem działań na rzecz zwiększania bezpieczeństwa w środowisku internetowym. EURid, jako jeden z pierwszych rejestrów na świecie, wprowadził w 2010 roku protokół DNSSEC, który znacząco zmniejsza możliwość przekierowania użytkownika, który podał poprawny adres strony .eu w wyszukiwarce, na strony podszywające się pod oryginalne.
Protokół DNSSEC wprowadziła również nazwa.pl, wszystkie domeny obsługiwane przez spółkę w zakresie rejestracji objęte są tą ochroną. Zabezpieczenie aktywowane jest automatycznie i stanowi filar bezpieczeństwa będący wyróżnikiem oferty nazwa.pl.
Czy można rozpoznać domenę rejestrowaną w celach przestępczych?
Oczywiście ani rejestr EURid ani żaden rejestrator domen nie ma wiedzy ani wpływu na intencje, jakie towarzyszą osobie rejestrującej domenę. Nie możemy z góry przewidzieć, do jakich celów domena zostanie użyta i czy abonent domeny nie jest przypadkiem cyberprzestępcą. Bez posiadania takiej wiedzy niestety bardzo trudno jest udaremnić bądź skutecznie ograniczyć abuzywne rejestracje domen. Jeśli jednak nie ograniczymy liczbę domen rejestrowanych do celów cyberprzestępczych, to z trudnością będziemy mogli ograniczyć liczbę przestępstw w sieci, a walka z cyberprzestępczością będzie ograniczać się do działań obronnych oraz niwelowania negatywnych skutków ataków.
Dlatego EURid postawił sobie następujące pytanie: czy system rejestrujący domenę mógłby jednak rozpoznać, że została ona zarejestrowana w celach cyberprzestępczych, wykryć ją jeszcze przed popełnieniem przestępstwa? Czy możemy z wyprzedzeniem rozpoznać czyjeś intencje, jest pytaniem retorycznym z serii: czy możemy odebrać telefon, zanim jeszcze usłyszymy, że dzwoni?
APEWS (System Wczesnego Ostrzegania i Zapobiegania Nadużyciom)
W odpowiedzi na tak postawiony problem EURid w 2014 podjął współpracę z uniwersytetem w Lowanium z zamiarem stworzenia systemu wczesnego wykrywania złośliwych rejestracji. Chodziło o wytrenowanie systemu w taki sposób, by posiadał umiejętność rozpoznania potencjalnie złośliwej domeny już w momencie jej rejestracji w celu oddelegowania jej do dalszej weryfikacji, a następnie zawieszenia jej działania.
W 2018 została wprowadzona 14-miesięczna faza testowa, która działała w tle systemu produkcyjnego. System w fazie testowej pracował ze wszystkimi nowo rejestrowanymi domenami (830 tys.) i bazował na algorytmach uczenia maszynowego. Zostały zastosowane zaawansowane algorytmy wychwytu potencjalnie złośliwych rejestracji (przed wszystkim w oparciu o metodę agregacji klastrów według podobieństwa), które typują i jednocześnie modyfikują swój model decyzyjny w ramach bieżącego uczenia maszynowego. W analizie predykcyjnej zostało także zastosowane wykrywanie tzw. DGAs (algorytmicznie generowanych nazw domen) potrzebnych przestępcom do budowania sieci botów. Zastosowany model predykcyjny jest czuły i rozpoznaje cechy charakterystyczne dla takiego typu rejestracji.
Dodatkowo EURid wprowadził szacunek i ocenę „indywidualną”, tj. prowadzoną przez wyszkolonych pracowników operatora wobec potencjalnie abuzywnych rejestracji wytypowanych przez system. Wyniki pracy zespołowej zasilają z powrotem model predykcyjny i są uwzględniane w codziennym szkoleniu maszyny decyzyjnej.
Od grudnia 2019 EURid wprowadził metodę APEWS do systemu produkcyjnego – a konkretnie jego ograniczoną wersję, którą dalej rozwijają, dodając kolejne moduły.
„Mamy nadzieję, że w ten sposób, ograniczymy liczbę abuzywnych rejestracji domen .eu w Internecie, a każdym razie utrudnimy działalność cyberprzestępcom, którzy do tej pory nie musieli się specjalnie “krępować” podczas rejestracji domen. Wydaje się, że w tej sprawie potrzebne będą dalsze regulacje na szczeblu międzynarodowym, które pozwolą na zastosowanie skutecznej weryfikacji i aktualizacji tożsamości abonentów, co w efekcie umożliwi większą wykrywalność i odpowiedzialność prawną za popełnione czyny” – tłumaczy przedstawiciel EURid.