ICANN biedt manieren om scammy-websites te stoppen

De opzichter van het adresseringssysteem van het internet roept ideeën op voor het oplossen van een probleem waardoor spammers en frauduleuze websites kunnen floreren. De Internet Corporation for Assigned Names and Numbers (ICANN) heeft een eerste rapport uitgegeven op snelle flux, een techniek waarmee de domeinnaam van een website kan worden omgezet naar meerdere IP-adressen (internetprotocol).

Snelle flux zorgt ervoor dat een beheerder snel een domeinnaam kan verwijzen naar een nieuw IP-adres, bijvoorbeeld als de server het eerste adres mislukt of valt onder een denial-of-service-aanval. Het wordt op legitieme wijze gebruikt door inhoudsdistributienetwerken zoals Akamai om belastingen te balanceren, de prestaties te verbeteren en de kosten voor gegevensoverdracht te verlagen.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Maar de techniek is ook omarmd door hackers en cybercriminelen, die het gebruiken om het moeilijker te maken voor ISP's (internetserviceproviders) en wetshandhavingsambtenaren om phishing-websites en andere sites die illegaal artikelen zoals farmaceutische producten gebruiken, te sluiten.

"Degenen die betrokken zijn bij deze activiteiten kunnen de inspanningen van onderzoekers om hun operaties te lokaliseren en te stoppen door gebruik te maken van fast-flux servicenetwerken om de topologie van het netwerk waarop hun inhoud wordt gehost snel en continu te veranderen, "aldus het rapport.

Het belangrijkste doel van cybercriminelen is om hun frauduleuze websites langer up-and-running houden. Snelle stroom "is geen aanval zelf - het is een manier voor een aanvaller om detectie te voorkomen en de reactie op de aanval te frustreren", zei het rapport.

Dat is gedeeltelijk gedaan door te wijzigen hoe lang nameservers rond de internetcache werken het IP-adres dat overeenkomt met de domeinnaam. Wanneer een persoon een website bezoekt, cached een lokale naamserver het IP-adres van de domeinnaam. Hoelang de lokale naamserver verwijst naar zijn record in de cache voor een website, wordt bestuurd door de "time-to-live" -instelling in het officiële DNS-record (Domain Name System) voor een site, ingesteld door de exploitant van de website.

Hoewel "time-to-live" doorgaans is ingesteld op uren of zelfs dagen, kan het IP-adres van een website zo vaak als om de paar minuten worden gewijzigd en worden omgeleid naar talloze servers van verschillende ISP's, die allemaal moeten worden verwijderd. In combinatie met het gebruik van proxyservers en omleidingsopdrachten kunnen antiphishing-inspanningen uitmonden in eindeloos achtervolging. Consumenten kunnen worden bedrogen, omdat cybercriminelen proberen webhostingaccounts te hacken om nieuwe knooppunten in hun fluxnetwerken, aldus het rapport.

De veiligheidsgemeenschap staat voor de uitdaging om het criminele gebruik van snelle flux te beperken, maar ook om niet per ongeluk het legitieme gebruik ervan te beperken. Een oplossing is een snellere identificatie en afsluiting van domeinnamen. geïdentificeerd met misbruik. Domeinnamen kunnen door een registrar worden ingetrokken, waardoor de site in de meeste gevallen zou stoppen met werken. Een andere oplossing zou zijn om het vermogen van een registrant te beperken om herhaaldelijk van naam te veranderen of geautomatiseerde nameserver-hopping te elimineren, aldus het rapport.

Het 121 pagina's tellende rapport, geschreven door de Generic Names Supporting Organisation (GNSO) van ICANN, legt een reeks andere methoden die kunnen worden gebruikt om het probleem op te lossen. GNSO zal gedurende 20 dagen commentaren accepteren en vervolgens een laatste redraft van het rapport maken.