2017年，執(zhí)法部門(mén)對(duì)AlphaBay以及Hansa的關(guān)停舉措引發(fā)人們對(duì)于暗網(wǎng)市場(chǎng)前景的大量猜測(cè)。事實(shí)上，對(duì)環(huán)境的恐懼和不信任感正促使網(wǎng)絡(luò)犯罪分子采用替代技術(shù)來(lái)提高安全性，從而確保自身在開(kāi)展網(wǎng)絡(luò)違法行為時(shí)能夠躲避執(zhí)法人員的檢測(cè)。區(qū)塊鏈技術(shù)，似乎有望幫助其達(dá)成目的。

大多數(shù)人在聽(tīng)到“區(qū)塊鏈”一詞時(shí)，首先想到的往往是加密貨幣及相關(guān)應(yīng)用方向—其用戶群體中發(fā)生的交易與交互必須以高度信任、透明以及高效的方式來(lái)執(zhí)行。然而，如果著眼于網(wǎng)絡(luò)犯罪論壇管理員目前面臨的困境，我們就會(huì)發(fā)現(xiàn)他們也是區(qū)塊鏈技術(shù)的理想受眾群體。為此，一部分網(wǎng)絡(luò)犯罪分子已經(jīng)開(kāi)始嘗試?yán)脜^(qū)塊鏈域名系統(tǒng)(簡(jiǎn)稱(chēng)DNS)隱藏其惡意活動(dòng)。

區(qū)塊鏈DNS vs. 傳統(tǒng)的DNS

區(qū)塊鏈DNS與傳統(tǒng)DNS有所不同。一般來(lái)講，當(dāng)我們將網(wǎng)站地址輸入互聯(lián)網(wǎng)瀏覽器時(shí)，計(jì)算機(jī)將向DNS服務(wù)器查詢對(duì)應(yīng)的IP地址。從本質(zhì)上講，DNS相當(dāng)于互聯(lián)網(wǎng)版本的電話簿，其中包含實(shí)體名稱(chēng)、“點(diǎn)”、以及名為頂級(jí)域名(TLD)的擴(kuò)展名，其可以是.com、.gov、.edu、.uk以及.de等后綴。TLD由權(quán)威機(jī)構(gòu)控制，例如具有全球影響力的互聯(lián)網(wǎng)名稱(chēng)與數(shù)字地址分配機(jī)構(gòu)(簡(jiǎn)稱(chēng)ICANN)，或者英國(guó)的Nominet以及德國(guó)的DENIC等區(qū)域性機(jī)構(gòu)。相比之下，區(qū)塊鏈DNS則是一種去中心化DNS。區(qū)塊鏈TLD——包括.bit、.bazar以及.coin等——并不隸屬于單一的權(quán)威機(jī)構(gòu)。DNS會(huì)查詢由對(duì)等網(wǎng)絡(luò)所共享的IP地址表，同時(shí)使用一種區(qū)別于傳統(tǒng)DNS請(qǐng)求的技術(shù)方法。

去中心化DNS擁有多種優(yōu)勢(shì)，包括抵御執(zhí)法當(dāng)局的審查(例如，政府可能要求國(guó)內(nèi)所有互聯(lián)網(wǎng)服務(wù)供應(yīng)商停止將域名重定向至相關(guān)IP地址)，或者防止DNS欺詐(攻擊者可以插入偽造的DNS數(shù)據(jù)以確保名稱(chēng)服務(wù)器返回錯(cuò)誤的IP地址，并將流量重定向至攻擊者指定的計(jì)算機(jī)處)。然而，去中心化DNS也可能遭到惡意攻擊者的濫用。由于區(qū)塊鏈域名不存在中心權(quán)限，因此注冊(cè)只包含唯一的加密哈希值，而非站點(diǎn)名稱(chēng)與地址。這意味著執(zhí)法部門(mén)將更難以對(duì)不法網(wǎng)站進(jìn)行清除。以下是惡意人士利用區(qū)塊鏈技術(shù)的幾個(gè)具體實(shí)例。

惡意利用區(qū)塊鏈DNS的實(shí)例

早在2016年1月，就出現(xiàn)了The Money Team等首批利用區(qū)塊鏈DNS創(chuàng)建.bazar域名以保護(hù)自身犯罪行為的組織。2017年7月，Joker’s Stash這一流行自動(dòng)販?zhǔn)圮?chē)(簡(jiǎn)稱(chēng)AVC)網(wǎng)站開(kāi)始利用區(qū)塊鏈DNS以及原有Tor(.onion)域名保護(hù)其銷(xiāo)售被盜支付卡信息的行為。要訪問(wèn).bazar版本的網(wǎng)站，用戶需要安裝區(qū)塊鏈DNS瀏覽器擴(kuò)展或者插件。與此同時(shí)，其它不少AVC網(wǎng)站及論壇也在嘗試?yán)脤?duì)等DNS技術(shù)交易被盜賬戶信息。

區(qū)塊鏈技術(shù)還允許用戶為在線市場(chǎng)構(gòu)建替代模型。例如，名為T(mén)ralfamadore的站點(diǎn)就利用區(qū)塊鏈作為后端來(lái)存儲(chǔ)必要的數(shù)據(jù)庫(kù)和代碼，以支持前端用戶界面。交易活動(dòng)通過(guò)加密貨幣進(jìn)行，并被記錄為區(qū)塊鏈上的智能合約。此舉是為了提高網(wǎng)站用戶間的信任度，所有交易信息都將被永久記錄，這意味著買(mǎi)家更易識(shí)別欺詐分子。

OpenBazaar網(wǎng)站是另一個(gè)使用區(qū)塊鏈技術(shù)的市場(chǎng)。該項(xiàng)目于2016年4月正式上線，此后用戶群體就在穩(wěn)步增長(zhǎng)。到2018年上半年，該網(wǎng)站的新用戶增加了約4000名，而在售商品數(shù)量則由18000增加至超過(guò)27000多個(gè)。盡管取得了快速發(fā)展，但OpenBazaar的主體并不屬于網(wǎng)絡(luò)犯罪平臺(tái)，其在售的大多數(shù)商品并不違法。

網(wǎng)絡(luò)犯罪花樣翻新快，網(wǎng)絡(luò)人員應(yīng)持續(xù)關(guān)注

盡管出現(xiàn)上述實(shí)例，但需要強(qiáng)調(diào)的是，任何事情都需要加以權(quán)衡，區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)犯罪活動(dòng)中的運(yùn)用亦是如此。目前，區(qū)塊鏈難以得到更廣泛普及的原因在于，利用基于區(qū)塊鏈的平臺(tái)會(huì)導(dǎo)致所有交互皆以公開(kāi)方式進(jìn)行記錄，這違背了不少用戶保護(hù)自我隱私的強(qiáng)烈意愿。因此，相當(dāng)一部分網(wǎng)絡(luò)犯罪分子選擇將其業(yè)務(wù)從暗網(wǎng)市場(chǎng)與地下論壇中分離出來(lái)，利用自己的站點(diǎn)來(lái)宣傳服務(wù)，而后將用戶引導(dǎo)至Jabber、Internet Relay Chat(簡(jiǎn)稱(chēng)IRC)、Skype、Discord以及Telegram等頻道中進(jìn)一步開(kāi)展業(yè)務(wù)交流。買(mǎi)家能夠直接通過(guò)對(duì)等網(wǎng)絡(luò)及個(gè)人聊天頻道與賣(mài)家取得聯(lián)系，并使用加密貨幣或者電子支付服務(wù)完成交易。

網(wǎng)絡(luò)安全專(zhuān)業(yè)人士應(yīng)當(dāng)繼續(xù)關(guān)注利用區(qū)塊鏈技術(shù)買(mǎi)賣(mài)非法商品的情況。在此期間，網(wǎng)安從業(yè)人員還應(yīng)不斷評(píng)估可用于惡意目的的其它新興技術(shù)。因?yàn)橹灰嬖诳晒┚W(wǎng)絡(luò)犯罪分子利用的銷(xiāo)售市場(chǎng)，包括出售被盜賬戶、支付卡信息乃至假冒商品等市場(chǎng)，他們就一定會(huì)找到新的、具有創(chuàng)造性的牟利方式。