ICANN pondera i modi per fermare i siti Web di truffa

Il sorvegliante del sistema di indirizzamento di Internet sta sollecitando le idee su come risolvere un problema che consente agli spammer e ai siti Web fraudolenti di prosperare.

L'Internet Corporation per i nomi e i numeri assegnati (ICANN) ha pubblicato un rapporto iniziale su flusso veloce, una tecnica che consente di risolvere il nome di dominio di un sito Web su più indirizzi IP (Internet Protocol).

Il flusso rapido consente a un amministratore di puntare rapidamente un nome di dominio a un nuovo indirizzo IP, ad esempio se il server il primo indirizzo fallisce o arriva sotto un attacco denial-of-service. È utilizzato legittimamente dalle reti di distribuzione dei contenuti come Akamai per bilanciare i carichi, migliorare le prestazioni e ridurre i costi di trasmissione dei dati.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Ma la tecnica è stata adottata anche da hacker e cybercriminali, che lo usano per rendere più difficile agli ISP (fornitori di servizi Internet) e alle forze dell'ordine di chiudere i siti di phishing e altri siti che vendono illegalmente prodotti come i farmaci.

"Chi è impegnato in queste attività può frustrare gli sforzi degli investigatori per individuare e chiudere le loro operazioni utilizzando le reti di servizi di flusso rapido per modificare rapidamente e continuamente la topologia della rete su cui è ospitato il loro contenuto ", secondo il rapporto.

L'obiettivo principale dei criminali informatici è mantenere i propri siti Web fraudolenti attivi e in esecuzione più a lungo. Fast Flux "non è un attacco in sé - è un modo per un aggressore di evitare il rilevamento e frustrare la risposta all'attacco", afferma il rapporto.

Ciò viene in parte modificato modificando il nome dei server nella cache di Internet l'indirizzo IP corrispondente al nome di dominio. Quando una persona visita un sito Web, un name server locale memorizza nella cache l'indirizzo IP del nome di dominio. Per quanto tempo il server dei nomi locale fa riferimento al record memorizzato nella cache per un sito Web è controllato dall'impostazione "time-to-live" nel record DNS (Domain Name System) ufficiale per un sito, impostato dall'operatore del sito Web.

Mentre "time-to-live" è in genere impostato su ore o giorni, l'indirizzo IP di un sito Web può essere modificato ogni pochi minuti, reindirizzandolo a innumerevoli server appartenenti a ISP diversi, che dovrebbero essere tutti rimossi. In combinazione con l'uso di server proxy e comandi di reindirizzamento, gli sforzi antiphishing possono trasformarsi in un infinito gioco di inseguimenti.

I consumatori possono essere truffati, poiché i criminali informatici tentano di hackerare gli account di hosting Web per configurare nuovi nodi sul loro fast-

La comunità della sicurezza deve affrontare la sfida di cercare di mitigare l'uso criminale del flusso veloce, ma anche di non limitare inavvertitamente i suoi usi legittimi.

Una soluzione è l'identificazione più rapida e la chiusura dei nomi di dominio identificato con attività abusiva. I nomi di dominio potrebbero essere revocati da un registrar, che nella maggior parte dei casi impedirebbe il funzionamento del sito. Un'altra soluzione sarebbe quella di limitare la capacità di un dichiarante di cambiare ripetutamente i server dei nomi o di eliminare automaticamente il server name hopping, dice il rapporto.

Il report di 121 pagine, scritto dall'organizzazione di supporto dei nomi generici di ICANN (GNSO), espone un serie di altri metodi che potrebbero essere utilizzati per mitigare il problema. GNSO accetterà i commenti per 20 giorni e quindi eseguirà una bozza finale del report.