胡立

2017年，執(zhí)法部門對AlphaBay以及Hansa的關(guān)停舉措引發(fā)人們對于暗網(wǎng)市場前景的大量猜測。事實上，對環(huán)境的恐懼和不信任感正促使網(wǎng)絡(luò)犯罪分子采用替代技術(shù)來提高安全性，從而確保自身在開展網(wǎng)絡(luò)違法行為時能夠躲避執(zhí)法人員的檢測。區(qū)塊鏈技術(shù)，似乎有望幫助其達成目的。

大多數(shù)人在聽到“區(qū)塊鏈”一詞時，首先想到的往往是加密貨幣及相關(guān)應用，其用戶群體中發(fā)生的交易與交互必須以高度信任、透明以及高效的方式來執(zhí)行。然而，如果著眼于網(wǎng)絡(luò)犯罪論壇管理員目前面臨的困境，我們就會發(fā)現(xiàn)他們也是區(qū)塊鏈技術(shù)的理想受眾群體。為此，一部分網(wǎng)絡(luò)犯罪分子已經(jīng)開始嘗試利用區(qū)塊鏈域名系統(tǒng)（簡稱DNS）隱藏其惡意活動。

區(qū)塊鏈DNS vs.傳統(tǒng)的DNS

區(qū)塊鏈DNS與傳統(tǒng)DNS有所不同。一般來講，當我們將網(wǎng)站地址輸入互聯(lián)網(wǎng)瀏覽器時，計算機將向DNS服務器查詢對應的IP地址。從本質(zhì)上講DNS相當于互聯(lián)網(wǎng)版本的電話簿，其中包含實體名稱、“點”、以及名為頂級域名（TLD）的擴展名，其可以是.com、.gov、.edu、.uk以及.de等后綴。TLD由權(quán)威機構(gòu)控制，例如具有全球影響力的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)（簡稱ICANN），或者英國的Nominet以及德國的DENIC等區(qū)域性機構(gòu)。相比之下，區(qū)塊鏈DNS則是一種去中心化DNS。區(qū)塊鏈TLD包括.bit、.bazar以及.coin等，并不隸屬于單一的權(quán)威機構(gòu)。DNS會查詢對等網(wǎng)絡(luò)所共享的IP地址表，同時使用一種區(qū)別于傳統(tǒng)DNS請求的技術(shù)方法。

去中心化DNS擁有多種優(yōu)勢，包括抵御執(zhí)法當局的審查（例如，政府可能要求國內(nèi)所有互聯(lián)網(wǎng)服務供應商停止將域名重定向至相關(guān)IP地址），或者防止DNS欺詐（攻擊者可以插入偽造的DNS數(shù)據(jù)以確保名稱服務器返回錯誤的IP地址，并將流量重定向至攻擊者指定的計算機處）。然而去中心化DNS也可能遭到惡意攻擊者的濫用，由于區(qū)塊鏈域名不存在中心權(quán)限，因此注冊只包含唯一的加密哈希值，而非站點名稱與地址，這意味著執(zhí)法部門將更難以對不法網(wǎng)站進行清除。以下是惡意人士利用區(qū)塊鏈技術(shù)的幾個具體實例。

惡意利用區(qū)塊鏈DNS的實例

早在2016年1月，就出現(xiàn)了The Money Team等首批利用區(qū)塊鏈DNS創(chuàng)建.bazar域名以保護自身犯罪行為的組織。2017年7月，Jokers Stash這一流行自動販售車（簡稱AVC）網(wǎng)站開始利用區(qū)塊鏈DNS以及原有Tor（.onion）域名保護其銷售被盜支付卡信息的行為。要訪問.bazar版本的網(wǎng)站，用戶需要安裝區(qū)塊鏈DNS瀏覽器擴展或者插件。與此同時，其它不少AVC網(wǎng)站及論壇也在嘗試利用對等DNS技術(shù)交易被盜賬戶信息。

區(qū)塊鏈技術(shù)還允許用戶為在線市場構(gòu)建替代模型。例如，名為Tralfamadore的站點就利用區(qū)塊鏈作為后端來存儲必要的數(shù)據(jù)庫和代碼，以支持前端用戶界面。交易活動通過加密貨幣進行，并被記錄為區(qū)塊鏈上的智能合約。此舉是為了提高網(wǎng)站用戶間的信任度，所有交易信息都將被永久記錄，這意味著買家更易識別欺詐分子。

OpenBazaar網(wǎng)站是另一個使用區(qū)塊鏈技術(shù)的市場。該項目于2016年4月正式上線，此后用戶群體就在穩(wěn)步增長。到2018年上半年，該網(wǎng)站的新用戶增加了約4 000名，而在售商品數(shù)量則由18 000增加至超過27 000多個。盡管取得了快速發(fā)展，但OpenBazaar的主體并不屬于網(wǎng)絡(luò)犯罪平臺，其在售的大多數(shù)商品并不違法。

網(wǎng)絡(luò)犯罪花樣翻新快，網(wǎng)絡(luò)人員應持續(xù)關(guān)注

盡管出現(xiàn)上述實例，但需要強調(diào)的是，任何事情都需要加以權(quán)衡，區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)犯罪活動中的運用亦是如此。目前，區(qū)塊鏈難以得到更廣泛普及的原因在于，利用基于區(qū)塊鏈的平臺會導致所有交互皆以公開方式進行記錄，這違背了不少用戶保護自我隱私的強烈意愿。因此，相當一部分網(wǎng)絡(luò)犯罪分子選擇將其業(yè)務從暗網(wǎng)市場與地下論壇中分離出來，利用自己的站點來宣傳服務，而后將用戶引導至Jabber、Internet Relay Chat（簡稱IRC）、Skype、Discord以及Telegram等頻道中進一步開展業(yè)務交流。買家能夠直接通過對等網(wǎng)絡(luò)及個人聊天頻道與賣家取得聯(lián)系，并使用加密貨幣或者電子支付服務完成交易。

網(wǎng)絡(luò)安全專業(yè)人士應當繼續(xù)關(guān)注利用區(qū)塊鏈技術(shù)買賣非法商品的情況。在此期間，網(wǎng)安從業(yè)人員還應不斷評估可用于惡意目的的其它新興技術(shù)。因為只要存在可供網(wǎng)絡(luò)犯罪分子利用的銷售市場，包括出售被盜賬戶、支付卡信息乃至假冒商品等市場，他們就一定會找到新的、具有創(chuàng)造性的牟利方式。