Domēnu vārdi “slikto zēnu” rokās (3. daļa)

Sliktie-zeni-003

Cilvēkiem ar labu izdomu datortīkli dod negaidītas iespējas gūt peļņu. Un domēna vārdi nav nekāds izņēmums – tos var izmantot dažādām peļņu nesošām manipulācijām. Jau pašā domēna vārdu reģistrācijas sākumā bija attapīgi cilvēki, kas sev rezervēja tos domēna vārdus, kuri tiem likās ļoti perspektīvi, ar cerību tos vēlāk pārdot citiem. Tāda darbošanās nav nelikumīga, un laika gaitā šādu domēna vārdu sagrābēju jeb tupētāju (domain squatters) savairojās diezgan daudz. Viņi ir rezervējuši sev daudzus interesantus domēna vārdus, un reģistri pret šādu darbošanos neiebilst, jo daudziem no viņiem (jo īpaši jaunajiem TLD) tā nodrošina labu daļu no ienākumiem. Rezultātā ir izveidojusies domēna vārdu industrija, kur pērk un pārdod labus domēna vārdus. Bet dažiem, kam nav, ko pārdot, var ienākt prātā ideja “nozagt” perspektīvu domēna vārdu.

Publicējam nu jau trešo daļu rakstam Domēnu vārdi “slikto zēnu” rokās” (kura pirmo daļu var lasīt te, bet otro var lasīt te).

Mēstuļotāji ārdās

Lūk, kāda pieredze bija vienam Nelaimīgam Interneta Lietotājam (turpmāk NILs). Viņam pēkšņi sāka nākt pārmērīgi daudz mēstuļu. Varbūt interneta pakalpojumu sniedzējs nebija pienācīgi ieviesis mēstuļu apkarošanu, vai, visticamāk, NILa adrese divdesmit gadu lietošanas laikā bija noklīdusi un pārdota kādam jaunam aktīvam mēstuļu izsūtīšanas biznesmenim.

NILs šo to prata no mēstuļu apkarošanas. Paskatījās, no kādas adreses nāk šīs mēstules. Izrādījās, ka tās ir reģistrētas jaunajā augstākā līmeņa domēnā (TLD) .stream. Tas nu nav no populārākajiem domēniem, tur ir tikai 43 000 reģistrāciju. NILs savai pasta programmai lika visas vēstules no domēna .stream iesūtīt atsevišķā direktorijā, kur varētu visas uzreiz nodzēst un nebūtu tās jāatlasa no derīgajām. Nekas neiznāca! Nākamajā dienā pastkastītē atkal bija bars ar citām mēstulēm, bet tagad no domēna .bid. Arī jauns domēns, bet arī to var vienkārši nobloķēt, kas atkal tika izdarīts. Nākamajā dienā tas pats. Mēstules tagad atnāca no domēna .top. Bloķēšanas darbi turpinājās vēl arī ar .space.date. Pēc tam tika nobloķēts arī domēns .us, kurš gan ir no vecajiem domēniem. Un tad mēstules sāka nākt tikai no TLD .com, un lielie bloķēšanas darbi varēja beigties. Domēnu .com bloķēt nebija lielas vēlēšanās, jo no šim adresēm nāca arī pilnīgi derīgi ziņojumi no dažādiem pakalpojumiem.

locky_Fotor-740x470

Mēstuļu piedāvājums bija tradicionāls – dažādi veselības uzlabošanas brīnumlīdzekļi, skaistumkopšanas preparāti, tievēšanas programmas un līdzekļi utt. Bija gan iemaldījies arī viens nopietns piedāvājums tiem, kas pārvalda savus domēnus, ar priekšlikumu pieslēgties domēnu kontroles centram. Šis centrs bija izvietots domēnā gelecekdiyarbakersigorta.com, kurš ir zināms kā izspiedējvīrusa Locky izplatītājs. Šajā domēna vārdā viens burts ir izmainīts, lai lasītājs tam nejauši nepieslēgtos, bet saņēmis pastu no šī domēna, tomēr to varētu atpazīt un, cik ātri vien var, izdzēst. Beidzās šī NILa epopeja laimīgi pati no sevis – jaunajā gadā šāda veida mēstules pārstāja nākt.

Otrā līmeņa domēnu vārdi, tieši tie, pie kuriem mēstules saņēmējam tika piedāvāts pieslēgties, bija izvēlēti diezgan neparasti un grūti iegaumējami, piemēram, 3sptahdit.space vai b3jns7ik.date, dažreiz gan ar nelielu humoru, kā pasta adrese brothel@b9i7mwuy.date, uz kuru bija jāsūta pieprasījums, ja noticēja brīnišķīgajam piedāvājumam atbrīvoties no brillēm (brothel nozīmē ‘bordelis’ angļu valodā, ja kas).

Liekas, ka šīs mēstules tika izsūtījusi liela mēstuļošanas servisa kompānija, kādu pašlaik ir savairojies jau krietni daudz. Šīs kompānijas piedāvā saviem klientiem izsūtīt mēstules uz miljoniem adrešu. Šai nodarbei tās ir izveidojušas robotu tīklus – botnetus ar miljoniem inficētu datoru, kuri izdara melno darbu – izsūtīšanu.

Tiem godīgākajiem mēstuļu servisa klientiem, kuri tiešām cenšas pārdot savu reālo produktu, ir savas mājaslapas ar piedāvājumu, kurš diemžēl nav ieguvis pietiekami rentablu popularitāti. Viņi cer, ka starp miljoniem viņu mēstules saņēmēju būs pietiekami daudz arī reālu pircēju. Tādas cerības tiešām ir, jo diemžēl ne visi ignorē mēstules. Bet ir arī tādi, kas mēstuļotājus ne tikai nīst, bet var arī sameklēt viņu mājaslapu, lai to bloķētu vai iznīcinātu. Tāpēc mēstuļotājiem ir vēlme kaut kā nodrošināties pret šādu iznākumu. Tiem, kas izsūta šādas vēstules, lai izvilktu naudu par kādu vajadzīgu preci, to nemaz neplānojot piegādāt, vēlēšanās noslēpties ir vēl daudz lielāka. Vēl lielāka ir tiem, kas izsūta ļaunatūru, piemēram, izspiedējvīrusus (ransomware).

Lai nedaudz apgrūtinātu mēstuļotāju atrašanu, mēstuļošanas servisa kompānija piedāvā izveidot īslaicīgu vietni, kurā būtu piedāvāto produktu apraksts un iespēja samaksāt par tiem. Tādas vietnes zaudēšana nav sāpīga, jo to jau tik un tā ir paredzēts pamest pēc neilga laika. Šādu vietņu var būt daudz un tās var regulāri mainīt.

Mēstuļošanas serviss var visu šo darbošanos automatizēt, ieskaitot arī domēna vārdu reģistrāciju. Tā kā servisa nodrošināšanai ir nepieciešami vairāki simti vai tūkstoši domēna vārdu, rodas nepieciešamība arī pašus šos vārdus ģenerēt automātiski, jo tik daudz izdomāt ir apnicīgi. Acīmredzot šādas ģenerēšanas rezultātā arī rodas tādi domēna vārdi, kā jau pieminētais b9i7mwuy.date un citi.

Šo konkrēto domēna vārdu un tam līdzīgus no NILa krājuma reģistrēja reģistratūra NameCheap, Inc. no Kalifornijas, bet, kam tika šis domēna vārds, tas paliek apslēpts. Šī kopmānija ir reģistrējusi ap 7 miljoniem domēna vārdu, bet ir arī kļuvusi pazīstama kā mēstuļotāju paradīze, ko pat Wikipedia atzīst. Turklāt pastāv aizdomas, ka arī pati kompānija piepelnās ar mēstuļošanu. NameCheap vadītāji gan noraida šādus apvainojumus, bet savu reputāciju kompānija tik un tā ir zaudējusi.

Šo mēstuļotāju aktivitāti netieši atbalsta daudzi jaunie augstākā līmeņa domēni (TLD), kuri labprāt apmierina visus reģistrācijas pieprasījumus, jo TLD reģistra turētājam gribas ātrāk atpelnīt ieguldīto naudu.

Lielākais mēstuļotāju apkarotājs Spamhaus apgalvo, ka domēnā .stream no reģistrētajiem domēna vārdiem apmēram 77% ir slikti – tiek izmantoti ne pārāk godīgiem mērķiem. .stream gan ieņem tikai otro vietu, jo domēnā .science ap 94% domēnu vārdu ir atzīti par sliktiem. Tālāk seko .top.us un .click. Tas zināmā mērā bojā iespaidu par jaunajiem TLD vispār. Jāpiebilst, ka Spamhaus kompāniju NameCheap nav iekļāvusi lielāko mēstuļotāju sarakstā starp reģistrācijām, jo ir vēl sliktāki reģistrētāji.

Līdzīga darbība ir lēkāšana pa domēnu vārdiem (domain name hopping), kad oficiāli slēgtā vietne ātri pāriet uz citu domēnu. Šādu taktiku pielieto vietnes ar pirātisku saturu. Autortiesību aizstāvji tās slēdz ar tiesas lēmumu, bet tās tūlīt parādās citā domēnā un parasti pavisam citā valstī, kur visa tiesāšanās jāsāk no jauna un jau pēc tās valsts likumiem. Ziņo, ka dažiem no šiem pirātiem ir vairāki simti domēna vārdu šim nolūkam. 2016. gadā ASV sāka veidot normatīvo bāzi, lai cīnītos pret šādiem lēkātājiem, bet viegla šī cīņa nebūs.

botnet-100034898-orig

Robotu tīklu vadības centri

Robotu tīklu (botnetu) uzturētājiem ir darba pilnas rokas, lai nodrošinātu visas nelietības, kas šim tīklam jāveic. Ar ļaunatūru inficētajam datoram, lai darbotos botnetā, ir regulāri jāpieslēdzas vadības centram un jāsaņem instrukcijas par turpmāko rīcību – kādas mēstules uz kādām adresēm izsūtīt, ja botnets nodarbojas ar mēstuļošanu, kuram datoram uzbrukt, ja tiek veikts izkliedētais pakalpojumu atteikuma uzbrukums (distributed denial-of-service attack) utt.

Šis botneta vadības centrs (command & control), ko īpašnieks izvieto uz sava servera, ir ļoti vārīga vieta visā botnetā – ja to atklāj un drošības speciālisti ierodas pie šī centra īpašnieka ar beisbola nūjām vai citādu programmatūru, tad… viss bizness jāsāk no jauna. Un atrast šo centru nav pārāk grūti, jo ļaunatūrai katrā inficētā datorā ir jāsatur šī centra adrese. Rūpīga izpēte to atklās.

Nākamais solis ir pēc servera domēna vārda noteikt vadības centra IP adresi. Tāpēc ir jāslēpjas. Viena no agrākajām slēpšanās metodēm bija ātrās plūsmas (fast-flux) metode, kad pilnīgi normālam domēnam, kurā atrodas vadības centrs, tika piekārtotas daudzas – vairāki simti vai tūkstoši IP adreses, kuras ik pēc dažām minūtēm cikliski mainījās. Botneta datori pievienoties var, bet apkarotājam noteikt servera IP adresi jau ir grūtāk. Visefektīvākais apkarošanas līdzeklis ir šo servera domēnu likvidēt – atņemt lietotājam, kaut gan domēna vārdu reģistratūras un reģistru uzturētāji to vienkārši tāpat nedrīkst darīt.

Tāpēc radās ideja slēpt arī servera domēna vārdu. To dara ar domēnu ģenerēšanas metodi (domain generation). Pielietojot šo metodi, botneta datora programmatūrai netiek norādīts konkrēts domēns, pie kura slēgties, lai saņemtu informāciju, bet gan ir ieprogrammēts algoritms, kas ģenerē domēna vārdus un botneta dators mēģina pie tiem slēgties. Tādi vārdi tiek ģenerēti tūkstošiem dienā, un tikai daži no tiem ir īsti un pieslēdz vajadzīgajam serverim. Iznāk, ka botneta apkarotajam, lai atrastu īstos pieslēgumus, jāpārbauda visi šie tūkstoši domēna vārdu.

Domēna vārdu ģenerēšana nav pārāk grūta. Piemēram, var uzrakstīt domēna vārdu b9i7mwuy.date un tālāk veidot jaunus domēnu vārdus, pēc kārtas mainot ciparus – 9, 8, 7… un tā tālāk. Mainot divus ciparus šajā vārdā visās iespējamās kombinācijās, radīsies jau simts vārdu. Praksē, protams, tiek lietoti grūtāk atpazīstami algoritmi. Svarīgi tikai, lai starp saģenerētajiem vārdiem trāpītos arī īstie.

Daudzi uzskata, ka nupat jau privātā informācija kļūst vispārīgi pieejama. Tā tiešām ir patiesība, bet ne visa patiesība – modernās tehnoloģijas dod arī jaunas iespējas informāciju noslēpt. To izmanto botnetu veidotāji, un pašlaik jaunie botneti tiek taisīti, izmantojot vienādranga (peer-to-peer) pieeju, sekojot tiem pašiem principiem, ko izmanto digitālā nauda vai blokķēdes.

Komandu servera, ko varētu nobloķēt, šādā tīklā nemaz nav, jo visi datori sazinās tikai savā starpā un izplata komandas, ko kāds no viņiem ir saņēmis. Jaunie, tikko inficētie datori, sāk savu darbību, mēģinot pieslēgties pie visiem pieejamiem datoriem, lai noskaidrotu, kuri no viņiem jau ir šajā botnetā, līdz izveidojas sakari ar kādiem pāris simtiem, ar ko pietiek. Skaidrs, ka šī botneta funkcionēšanā domēna vārdu sistēmai ir pakārtota loma, kaut arī bez domēnu vārdiem iztikt nevar.

*** (Šī bija trešā, noslēdzošā daļa rakstam Domēnu vārdi “slikto zēnu” rokās”, kura pirmo daļu var lasīt te, bet otro var lasīt te.)