Il sistema dei nomi di dominio (DNS) è uno dei componenti base di Internet, ma è poco conosciuto dai non addetti ai lavori. Il suo compito è però fondamentale: tutte le comunicazioni su Internet richiedono la risoluzione dei domini in indirizzi IP. Non sorprende il fatto che i criminali informatici abbiamo puntando proprio al DNS per le loro azioni. EURid, il registro per i domini .EU, ha sviluppato un sistema di preallarme basato sull’intelligenza artificiale, al fine di prevedere se un dominio possa essere utilizzato in modo fraudolento. Scopriamo perché è stato creato e come funziona APEWS, sistema di allarme basato sull’IA implementato da EURid.
Come proteggere i domini da un uso improprio?
Il DNS inventato da Paul Mockapetris è uno dei principali sistemi di funzionamento di Internet oggi: assegna i nomi di dominio agli indirizzi IP. Tuttavia, il DNS è sfruttato anche per attività fraudolente. Le azioni dei criminali informatici, come e-mail di spam, attacchi di phishing e la diffusione di malware, hanno molto spesso come base l’uso improprio dei nomi di dominio. Una prevenzione efficace si rivela molto importante. Delle indagini hanno rivelato che i domini vengono commercializzati anche nel darknet. Nel forum AlphaBay, un market del darknet chiuso nell’estate del 2017, è stato offerto il servizio “Domain and Email Registration as a Service”. La quantità di domini registrati in modo pericoloso e il fatto che il processo di registrazione sia automatizzato e monetizzato dai criminali ha reso chiara la necessità di un sistema efficace per gestire gli abusi di dominio. Questo aspetto è molto rilevante anche per il lavoro di ICANN, che in occasione della pandemia di coronavirus vuole rafforzare le difese del DNS per proteggerlo da usi impropri, come raccontiamo in questo articolo:
ICANN mantiene sicuro il DNS e supporta i registrant nell’epidemia coronavirus
Blacklist: le misure di protezione finora adottate
In passato una contromisura nella lotta contro i domini registrati a scopi illeciti è stata la creazione di blacklist. I cosiddetti Reputation Provider si occupano dei nomi di dominio associati ad attacchi online. Le comunicazioni in entrata e in uscita con i rispettivi domini vengono bloccate. Col passare del tempo queste liste sono diventate più agili. I domini vengono bloccati non appena viene diagnosticato un comportamento paragonabile a un attacco fraudolento. Purtroppo è possibile categorizzare un’azione come fraudolenta solo se si è verificata un’azione impropria in passato. In risposta alle blacklist, i criminali informatici hanno impiegato strategie hit-and-run: hanno registrato in massa domini cancellabili così da continuare le loro attività criminali. I domini utilizzati in modo improprio sono attivi spesso per un breve periodo, nel 60% dei casi solo per un giorno. L’efficacia delle blacklist oggi è naturalmente limitato. In risposta alla necessità di scoprire registrazioni di domini malevole prima ancora che sia possibile commettere atti criminali, EURid ha sviluppato il sistema APEWS.
APEWS: sistema di allarme rapido basato sull’IA
Il registro EURid del dominio .EU ha sviluppato un sistema di allarme rapido chiamato APEWS (Abuse Prediction and Early Warning System). Il sistema, sviluppato in collaborazione con i ricercatori di intelligenza artificiale di Lovanio in Belgio, è stato lanciato a dicembre 2019. APEWS ha lo scopo di prevenire l’uso improprio dei nomi di dominio. Il sistema di prevenzione degli abusi e di allarme rapido rileva le registrazioni di domini potenzialmente fraudolente prima che i rispettivi domini vengono resi pubblici. Ciò lo distingue fondamentalmente dal sistema dalle blacklist, il quale offre una protezione solo se si sono già verificati danni. Valutando le registrazioni di domini per un arco temporale di 11 mesi, è stato possibile creare schemi che suggeriscono registrazioni fraudolente. Il risultato delle ricerche sono 22 schemi identificativi (scaricabile qui) disponibili già al momento della registrazione. Sono derivate da un classificatore CPM (Convex Polytope Machine) e riconosciute automaticamente dal sistema sviluppato.
Il successo di APEWS nella lotta contro i domini falsi
I domini registrati in modo abusivo presi sotto esame hanno dimostrato di avere una durata relativamente breve. Tuttavia, oltre l’80% dei domini dovrebbero essere stati assegnati a 20 campagne a lungo termine di diversa durata e intensità. In questo caso, le campagne facevano riferimento alle registrazioni di un’intera serie di domini che vengono eseguiti automaticamente dai criminali informatici (puoi leggere di più sui risultati della ricerca qui). L’uso operativo di tale sistema di rilevamento è soggetto a rapidi e drastici cambiamenti in un ambiente reale e vivo, poiché i criminali informatici adattano attivamente le loro strategie. Ecco perché il sistema APEWS deve essere continuamente sviluppato
Un fatto divertente emerso dalle indagini: anche i criminali informatici hanno fissato un orario di lavoro e vanno in vacanza. È stato inoltre riscontrato che durante la scelta e la registrazione dei domini hanno commesso errori di digitazione.
In che modo EURid gestisce i potenziali abusi di dominio?
Se un dominio viene classificato come possibile azione fraudolenta da APEWS, la delega del dominio nella zona .EU subisce un ritardo. Su WHOIS viene visualizzato lo stato “Server Hold”. Sebbene il dominio risulti “occupato”, i servizi a esso connessi, quali il sito web o la posta elettronica, risultano bloccati finché non viene completato un processo di verifica manuale. Il registro EURid cerca il proprietario del dominio riconosciuto da APEWS per ottenere la conferma dei dati di registrazione e fornire prova della sua identità. I criminali informatici in genere usano informazioni di registrazione falsi o cambiano identità, registro e rivenditori per non essere scoperti. Se il dichiarante dimostra la propria identità, viene delegato il dominio per la zona .EU. Se il dominio risulta registrato con possibili intenzioni criminali, verrà sospeso e ritirato. Dopo un breve periodo di tempo, sarà possibile registrarlo nuovamente. La combinazione delle classificazioni precedenti create grazie al machine learning e le previsioni basate su clustering per la creazione di somiglianze dei domini ha lo scopo di far avanzare la ricerca.
APEWS è un sistema innovativo e pluripremiato
Grazie al nuovo sistema, il registro del dominio .EU è stato in grado di rilevare 58.966 (dicembre 2019) registrazioni improprie. Supportata da un processo di identificazione automatica, APEWS può essere utilizzato per rintracciare campagne fraudolente basate sui nomi di dominio ed espandere le blacklist dei domini impropri non ancora rintracciati. Alla conferenza annuale per le applicazioni di sicurezza informatica ACSAC 2019 (Annual Computer Security Applications Conference), la ricerca è stata premiata per offrire una sicurezza aggiuntiva al DNS con risultati nel breve termine.
Sei alla ricerca di un dominio per la tua azienda Srl? Registra un nome di dominio con .SRL a un prezzo promozionale fino a fine 2020! Verifica la disponibilità su register.srl.