Dns emercoin: EmerDNS – альтернатива DNSSEC / Хабр

EmerDNS – альтернатива DNSSEC / Хабр

Классический DNS, который специфицирован в rfc1034 не пинает только ленивый. При весьма высокой эффективности работы, он действительно никак не защищён, что позволяет злоумышленникам переводить трафик на подставные сайты, путём подмены DNS-ответов для промежуточных кеширующий серверов (отравление кэша). Как-то с этой напастью борется https с его SSL-сертфикатами, которые позволяют обнаружить подмену сайта. Но пользователи обычно ничего не понимают в SSL, и на предупреждения о несоответствии сертификата автоматически кликают «продолжить», вследствие чего время от времени страдают материально.

Чтобы хоть как-то прекратить безобразие с отравлением DNS-кэшей и перехватом трафика, был придуман DNSSEC , который является надстройкой безопасности на классический DNS и в настоящее время внедряется в интернет, контролируемый ICANN. Процесс внедрения, честно признаемся, идёт ни шатко ни валко: Подавляющее большинство коммерческих компаний и прочих организаций откровенно игнорируют вызовы нового времени, даже такие гранды IT как Google и Яндекс не имеют цифровых подписей своих доменных зон.

Да и наши компетентные товарищи, которым дело до всего, тоже не торопятся себя обезопасить с этой стороны. И только у компетентных господ, которым действительно до всего есть дело, тут всё в порядке. Ну и ещё у организаций, которые собственно и занимаются внедрением DNSSEC, например, verteiltesysteme.net. Да что говорить о каких-то организациях, если до сих пор ~10% доменов верхнего уровня (TLDs) не имеют подписей DNSSEC!

Почему же случилась ситуация, которую впору назвать массовым саботажем? Ведь технологии DNSSEC бесплатны и массово доступны уже много лет! На то мы видим ряд причин:

1. Security is strong. Тема сложна для среднего сисадмина, и он предпочитает с этим просто не связываться. Ведь доменную зону DNSSEC надо не только создать, но и регулярно поддерживать – обновлять ключи, и тп.
2. Человеческий оптимизм: Уж с нами-то ничего не случится, и всё будет хорошо. Беды происходят не с нами. А значит, ничего предпринимать не надо. Не верите? Тогда вопрос на засыпку: А у Вас дома есть огнетушитель?
3. Весьма неплохую альтернативную защиту обеспечивает https/ssl, которые хорошо диагностируют перевод пользователя на фальшивый сайт. Другое дело, пользователь обычно игнорирует соответствующие предупреждения.
4. DNSSEC защищает только от отравления кэша «посторонним». Он никак не защищает от компрометации злоумышленником сервера провайдера, где содержится кэш, сервера доменной зоны, или же доменного регистратора. Кстати, именно последнее привело к захвату домена blockchain.info.
5. Использование DNSSEC снижает производительность подсистемы DNS примерно впятеро, и требует больших сетевых и вычислительных ресурсов, чем классический DNS.

Таким образом мы видим, что хотя DNSSEC будет побезопаснее классического DNS, он тем не менее является паллиативом, и проблему достоверности данных полностью не решает – даже если все админы вдруг воспылают трудолюбием и сделают всё как положено. Причём паллиативом дорогим – снижение впятеро производительности основной подсистемы, от которой зависит реальная скорость работы Интеренета – это не шутки.

Ещё обратим внимание на тот факт, что поиск домена в распределённом классическом DNS и его наследнике DNSSEC происходит в момент запроса пользователя. То есть как раз тогда, когда пользователю максимально нужен вычислительный и сетевой ресурс для передачи данных, а не для выяснения кто есть ху, и проверки соответствующих подписей. Соответственно, обновления кэшей и прочая DNS-работа как раз производится в самое «дорогое» время, когда пользователю нужна его страничка, а не внутренняя работа «под капотом». Ну и понятно, что для успешной работы сети необходимо, чтобы все причастные DNS-сервера были «в полном здравии» и работали как надо. При выходе из строя какого-то промежуточного сервера – «отваливается» целый сегмент сети, что мы время от времени и наблюдаем.

Рассматриваемой здесь альтернативой как классическому DNS, так и DNSSEC является EmerDNS, который построен на технологии блокчейн. В отличие от иерархических DNS/DNSSEC, EmerDNS является одноранговой «плоской» сетью, из которой исключены доменные регистраторы, держатели доменных зон и промежуточное кэши. А раз их нет – то и компрометировать нечего и некого. В этой системе каждый узел EmerDNS держит полный блокчейн, то есть всю базу имён и прочих транзакций.

А достоверность данных (то, что они у всех одинаковы) обеспечивает сама технология блокчейна и публичный консенсус майнеров POS+POW. Последнее обеспечивает отсутствие «режима бога» у кого бы то ни было, включая разработчиков системы. Ни мы, ни кто-либо другой не может волюнтаристски отменить или изменить какие-то произвольные записи. Записи могу быть обновлены только их владельцами, и никем другим. В каком-то смысле, EmerDNS подобен файлу hosts, где присутствуют записи обо всех известных сайтах. Но в отличие от hosts:

• Каждую строчку в EmerDNS может модифицировать только её владелец, и никто иной.
• Невозможность «вмешательства бога (супер-админа)» обеспечивается консенсусом майнеров.
• Этот файл у всех одинаков, что обеспечивается механизмом репликации блокчейна.
• К файлу приложен быстрый поисковик.

Обновления этой базы происходят асинхронно к запросам пользователя, в момент появления новых блоков, по push-технологии. То есть в тот момент, когда пользователю вздумалось пойти на какой-то сайт, все актуальные и проверенные DNS-записи уже лежат локально в заранее проиндексированной базе данных, и трансляция доменных имён в адреса делается локально, без запросов (особенно рекурсивных) к каким-либо внешним ресурсам. Этот подход делает скорость работы EmerDNS исключительно высокой. Кроме того, понятно, в момент разрешения доменного имени совершенно не требуется, чтобы какие-то DNS-сервера где-то в интернете были «в полном здравии».

Такой архитектурный подход делает EmerDNS системой исключительно быстрой, безопасной и отказоустойчивой. Недостаток этой архитектуры – необходимость держать копию блокчейна на каждом узле. А там не только информация о доменах, но и транзакции, и вообще всё, что в эту базу внесли все другие. Но при текущей цене и ёмкости дисковых накопителей, когда даже сотни гигабайт не выглядят чем-то дорогим для рядовых пользователей – это вполне разумная цена за скорость и безопасность.

Тем более, что блокчейн Emer весит не многим более 300 мб.

Ещё одним недостатком такой системы является необходимость платить системе какое-то количество Эмеркоинов за каждое обновление информации о доменных записях. Но при текущих ценах (порядка $0.1 за создание записи и $0.01 за обновление) это всё равно во много раз дешевле, чем держать имена у доменных регистраторов (примерно $10 в год). Действительно, за те же $10 можно покупать по три обновления в день в течение года по текущим расценкам.

Отличия различных систем DNS сведены в таблицу:

Система EmerDNS существует и стабильно работает с 2014 года. Подробная инструкция по работе с ней приведена на wiki проекта Emercoin.

Высокие параметры отказоустойчивости и безопасности системы привели к тому, что в доменные зоны EmerDNS владельцами были перенесены сайты, заблокированные РосКомНадзором. Подробнее об этом – в статье.

Русскоязычные инструкции для клиентов, как подключиться к системе через OpenNIC, предоставляют сайты Maxima и Pornolab.

Также доступ для клиентов обеспечивают браузерные плагины от Peername и Fri-Gate.

Понятно, что при использовании OpenNIC или других внешних серверов запросы пользователей всё-таки могу быть перехвачены и подменены. Также, теоретически, могут возникнуть и проблемы при компрометации самих DNS-шлюзов OpenNIC. Поэтому наиболее безопасным является вариант, когда шлюз в EmerDNS разворачивается в доверенной сети (локальной, домовой, корпоративной), и он только и держит блокчейн, а все пользователи обращаются к нему обычным образом, легковесными DNS-запросами. При такой архитектуре пользователи получаю высокую надёжность и безопасность, и отсутствие необходимости держать блокчейн на каждом компьютере. В вики-статье приведены примеры, как настроить такой сервер с самыми популярными проксирующими DNS-серверами – BIND и DNSMASQ.

Дополнительную информацию об EmerDNS можно прочесть в этой статье.

А узнать больше об Emercoin можно в нашем блоге, или на Крипторе.

Под капотом Emercoin.

Часть 2. Децентрализованная нецензурируемая система доменных имён

За основу NVS был взят код из Namecoin, в котором существует подобное хранилище для поддержки распределённой доменной зоны *.bit. Но если хранилище от Namecoin предназначено только для обслуживания единственной доменной зоны, а для загрузки других типов данных надо предпринимать дополнительные шаги, то NVS было сразу сделано как хранилище данных общего назначения, используя которое можно создавать различные распределённые сервисы.

Что такое emcDNS и зачем он нужен

Естественно, исторически первым нашим сервисом стал сервис доменных имён, подобный таковому от Namecoin, emcDNS. Такой сервис становится всё более востребованным по мере роста атак на классическую доменную систему как со стороны криминала, так и от локальных властей. Подробнее об этом сказано здесь.

Кроме того, данный сервис позволят строить высоконадёжные и устойчивые ведомственные сети с децентрализованным управлением, иммунные к отказу в обслуживании централизованных DNS или атакам подобным DNS Spoofig.

В системе emcDNS доменной записью, также как и любой другой NVS-записью, может управлять только её владелец, точнее – владелец кошелька, в котором находится данная запись. И только он может её изменить или удалить. Следует учесть, что так как запись находится в блокчейне, её копии находятся в каждом Emer-узле. То есть каждый узел содержит информацию обо всех NVS-записях, включая и доменные. Это позволяет делать поиск такой записи локально, не запрашивая внешние сервера, что приводит как к высокой скорости разрешения доменных имён, так и к высокой надёжности и безопасности – Ваш провайдер и не узнает, какие сайты Вы сейчас ищете, особенно если доступ к сайтам будет по https.

Обсуждая архитектуру системы, у нас состоялся даже весьма показательный диалог с разработчиками традиционной направленности, которые нам заявили:
— Поздравляем! Вы изобрели файл hosts!
— Да. В каком-то смысле так и есть. Но только наш файл hosts:

• Одинаков на всех машинах (майнеры гарантируют это).
• В нём каждую строчку может менять только хозяин этой строчки, и никто другой.
• Изменённая строчка быстро реплицируется на другие машины.
• В нём имеется индекс для быстрого поиска.

Прямо как в анекдоте – не десять тысяч, а десятку, не в лотерею, а в преферанс, и не выиграл, а проиграл.

Отличия от Namecoin

При проектировании этого сервиса подход Namecoin был пересмотрен, и был внесён ряд улучшений, которые сделали этот сервис более привлекательным и практичным. Рассмотрим их детально.

1. Несколько доменных зон вместо одной.

Если Namecoin обслуживает только фиксированную доменную зону *.bit, аналогичный сервис Emer позволяет обслуживать несколько таковых одновременно, причём новые зоны вводятся просто записью в config-file. Это открывает возможности создавать на базе emcDNS собственные «ведомственные» доменные зоны, которые будут распознаваться только Emer-узлами, соответственно сконфигурированными. В настоящее время система обслуживает четыре публичные доменные зоны, доступные через сервера OpenNIC:

• *. coin – основной альнетративный домен, в первую очередь связанный с крипто-монетами и прочими деньгами.
• *.emc – домен для сервисов, связанных с EmerCoin.
• *.lib – от слов liberty и library – для политических движений за всё хорошее против всего плохого и для библиотек различного содержимого.
• *.bazar – для всяких торгово-обменных сайтов.

2. Возможность задать срок аренды записи.

В отличие от Namecoin, где срок аренды записи составляет примерно 200 дней, и её надо регулярно продлять, в NVS можно указать срок аренды, и он может составлять столетия. Естественно, более долгий срок аренды и стоит больше, но ненамного. Этот подход позволяет упростить администрирование, и снижает риск потери контроля над записью, который возможен в случае истечения записи и перехвата её другим пользователем сети.

3. Возможность удалить запись.

Кроме возможности резервирования записи на любой срок, в системе Emer существует возможность деактивировать запись до истечения срока аренды. Namecoin подобным функционалом не обладает.

4. Встроенный DNS-server rfc1035.

Система Namecoin поддерживает хранение DNS-записей, и только. Не существует механизма извлечения и передачи этих записей программам-клиентам в стандартном DNS-формате. Насколько нам известно, для использования Namecoin необходимо дампить всю базу имён, и передавать её в пользование классическому DNS-серверу, который уже делает поиск своими механизмами и рассылает ответы в стандартном формате rfc1035, пригодном для использования.

Каждый кошелёк EmerCoin имеет встроенный DNS-сервер, который обрабатывает стандартные запросы интернет-формата rfc1035, и отвечает в том же формате, которым и пользуется весь Интернет. Это позволяет говорить о подлинной децентрализации доменной системы, когда каждый кошелёк является DNS-сервером, а не только выделенные сервера-шлюзы. Эта стандартизация также облегчает интеграцию emcDNS с другими подсистемами.

5. Управление поддоменами.

Этот момент очень важен в «плоской» доменной сети, в которой отсутствует реальная древовидная структура серверов, обслуживающих ту или иную доменную зону. Рассмотрим атаку типа «захват поддомена».

Пусть нет механизма защиты или управление поддоменом, и существует сервер victim.emc. Владелец домена даже сделал ещё одно имя, www.victim.emc, которое назначил на тот же сервер. Однако злоумышленник может создать имя www1.victim.emc, и назначить его на свой вредоносный сервер. Формально, это два разных имени, которые никак не связаны. Однако в соответствии с парадигмой построения интенет-имён и классической сети DNS, пользователь своё доверие к серверу victim.emc перенесёт и на www1.victim.emc, вследствие чего, например, «подарить» злоумышленнику свой пароль.

На момент анализа нами кода Namecoin, там не было механизма управления поддоменами. То есть для создания и управления поддоменами сайт должен держать собственный NS-сервер, который и разрешает эти поддомены. Все записи доменов 3го уровня данной системой просто игнорировались.

В системе emcDNS существуют два правила:

Все запросы на доменное имя любого уровня, кроме «разрешённых исключений», разрешаются как доменные имена второго уровня. То есть, например, если запись victim.emc не содержит исключений, то запросы к любым поддоменам будут в ней разрешаться как к victim.emc. То есть, например, запрос на разрешение имени hey.give.me.victim.emc будет полностью эквивалентен запросу на имя victim.emc.

Если в value имени указан специальный тэг SD, то его значение интерпретируется как список разрешённых исключений, которые обслуживаются системой. Рассмотрим в качестве примера emcDNS-запись библиотеки Флибуста:

«name» : «dns:flibusta.lib»,

»value» : «A=81.17.19.227|SD=static,cn|TXT=Flibusta Library»,

Здесь мы видим тэг SD, содержащий два исключения – static, cn. Соответственно, это разрешает системе emcDNS разрешать имена static.flibusta.lib и cn.flibusta.lib, а не редуцировать их до flibusta.lib. Записи этих имён также могут содержать тэг SD, и таким образом, можно строить доверенные доменные имена любого уровня. Все же недоверенные записи будут редуцированы до имени второго уровня.

Практические применения

В настоящее время, эта система доменных имён используется рядом онлайн-библиотек и торрент-трекеров. Подробнее можно прочесть об этом здесь.

Краткое описание с примером и картинкой, как создать запись. Полное же описание системы находится здесь.

Чтобы стать клиентом системы, можно либо подключиться к любому серверу OpenNIC, либо же на своей локальной машине или в локальной сети развернуть шлюз в emcDNS.

Здесь приведена инструкция, как подключить доменные зоны emcDNS через OpenNIC.

Этот способ не требует от Вас ни установки кошелька EmerCoin, ни каких-либо внешних программ или плагинов. Но недостатком этого способа является использование внешнего DNS-сервера, что частично дискредитирует идею полной децентрализации.

Документ DNS_and_Name-Value_Storage содержит описание других способов подключения к системе, с полным функционалом. Смотрите раздел Integration into a regular DNS tree. Рекомендуемые рецепты заключаются в том, что в локальном компьютере или локальной сети устанавливается кошелёк EmerCoin, и делается точка сопряжения, которая «смешивает» доменные зоны ICANN и emcDNS. Сопряжение производится посредством любой DNS Cache программы. В примерах приведены BIND, DNSMASQ, Acrylic.

Блокчейн как базис для безопасной ИТ-инфраструктуры

Появление и распространение биткойна, электронной децентрализованной платежной системы, привлекло широкое внимание к блокчейну (цепочка блоков, распределенный реестр) – структуре данных, которая является технологической платформой как самого биткойна, так и прочих криптовалют. На сегодняшний день большинство действий вокруг блокчейнов носят популистский характер, далекий от их профессионального использования, но у специалистов систем безопасности есть много поводов обратить внимание на этот развивающийся сегмент цифровой инженерии.

Автор: Олег Ховайко, CTO Emercoin

Уникальные свойства блокчейна, например достоверная копия содержимого на каждом узле сети, подтвержденная консенсусом независимых участников, создающих новые блоки публичной цепочки (майнеров и минтеров), открывают возможность создания на его основе всемирной децентрализованной сети доверия, которая станет базовой инфраструктурной платформой для подсистем, обслуживающих сетевую инфраструктуру. Такие подсистемы не имеют единой точки отказа (SPOF), а также обладают высочайшей скоростью обработки запросов, надежностью и анонимностью, ибо каждый узел пиринговой сети имеет локальную достоверную копию всей информации, когда-либо внесенной в блокчейн, и все поисковые запросы обрабатываются в локальной базе данных, не покидая локальный компьютер, или в некоторых случаях – доверенную локальную сеть.

Одним из пионеров «блокчейна для инженеров» стал Emer [1] – открытая публичная платоформа для таких подсистем. Платформа бесплатная и доступна, как продукт с открытым исходным кодом (Open Source), на github [2]. Платформа Emer построена на базе ядра Bitcoin, куда были добавлены как собственные многочисленные наработки, так и компоненты из других криптовалютных проектов – Namecoin, Unobtanium, Peercoin.

И пока защитники криптовалют вовсю заняты токенами и трейдингом, а также сбором денег под обещания разной степени выполнимости, практически рядом разрабатываются и вводятся в эксплуатацию подчеркнуто немонетарные сервисы на блокчейне, предназначенные для решения задач реального бизнеса – ваших задач.

В чем отличие Emer от Bitcoin

Ключевым отличием Emer от Bitcoin является встроенная в него подсистема NVS – Name-Value Storage. Ее можно рассматривать как одноранговую файловую систему, где каждый файл имеет владельца, и только владелец может изменять содержимое или передавать файл другому, остальным участникам доступен только режим чтения. Расчетные единицы Emercoin являются лицензионными единицами сети, которые надо «сжечь», чтобы внести файл в блокчейн или создать новую версию. Это защищает блокчейн от злонамеренных участников, которые в противном случае могли бы «раздувать» его неограниченно, безнаказанно внося бесполезные гигабайты. В настоящее время цена внесения записей составляет меньше копейки (в прямом смысле слова), что делает платформу по карману любому добросовестному пользователю.

На основе технологии блокчейн были разработаны три децентрализованные подсистемы для поддержки надежной и защищенной ИТ-инфраструктуры, которые в данный момент находятся в промышленной эксплуатации. Рассмотрим их далее.

emerDNS

Инфраструктура DNS современного Интернета не отличается высокой надежностью, и уязвимости в ней обнаруживаются регулярно. Вбейте в поисковик «уязвимости DNS», чтобы увидеть постоянно обновляющийся список. И, хотя каждая уязвимость уникальна по-своему, все они имеют общее начало – управление доменным именем и его разрешение при посещении сайтов требуют делегирования доверия внешним сервисам. Структура доверия, на которой зиждется современный классический DNS, не позволяет сделать эту подсистему надежной и защищенной в высокой степени.

По-настоящему надежная подсистема DNS должна быть построена без делегирования доверия, то есть на основе принципа «верю только себе». Таковой является emerDNS [3]. Запись о домене создается и управляется в локальном кошельке-узле сети, и именно вы являетесь владельцем доменной записи, не делегируя ее внешнему регистратору. А так как запись вносится в публичный блокчейн (подсистему Emer NVS), все остальные пользователи сети могут ее использовать для доступа к вашему сайту. Причем эти пользователи не отправляют запросы во внешние сервисы, а разрешают доменное имя, посылая запрос в локальный узел сети Emer. Это обеспечивает высочайшую скорость обработки запроса и анонимность (DNS-запросы не покидают компьютер пользователя), а также делают невозможной атаку на инфраструктуру DNS, приводящую к сбоям и отказам в обслуживании.

За время существования, с 2014 г., emerDNS продемонстрировал высокую стабильность и надежность, вследствие чего его охотно используют торренттрекеры для неблокируемых зеркал своих сайтов, а также ряд других сайтов [4], которым требуется надежная работа и защита от блокировок.

Для вашей компании emerDNS может быть полезен как для зеркалирования основного сайта, так и для разворачивания ведомственных сетей, где требуется высочайшая отказоустойчивость и производительность.

Так как emerDNS не поддерживается сетью ICANN, штатное разрешение запросов к соответствующим доменам невозможно. Для доступов к доменным зонам emerDNS требуется установить собственный DNS Resolver, являющийся «точкой сопряжения» между классическим DNS от ICANN и emerDNS. Но так как любой узел сети Emer может выступать в качестве DNS-сервера стандарта rfc1035, то настроить точку сопряжения несложно с помощью любой программы кеширования DNS [5].

emerSSL

Еще одна острая проблема современного Интернета – безопасная аутентификация. Системы на базе паролей весьма уязвимы, и мы постоянно наблюдаем базы паролей, украденные у сайтов-разгильдяев, а также взлом учетных записей методом подбора паролей. Попытки заставить людей придумывать сложные пароли приводят к тому, что приходится такие пароли записывать на бумагу. Этот способ хранения паролей высмеивали [7] еще в 90-е, но он в настоящее время оказывается одним из наилучших. И не потому, что он стал лучше, а потому, что альтернативные способы становятся хуже. И менеджеры паролей тоже не особо помогают, так как в них постоянно обнаруживают уязвимости [6]. Системы 2FA в текущем исполнении не повышают, а драматически снижают безопасность, так как делегируют безопасность учетной записи слабо защищенной недоверенной телефонной сети. В этом случае злоумышленнику достаточно методами социальной инженерии или атакой на SS [7] перехватить SMS, и он может «восстановить забытый пароль», тем самым похитив доступ к учетной записи жертвы. И снова видим тот же корень проблем – делегирование доверия во внешнюю сеть или менеджерам паролей.

EmerSSL [8] также построен на принципе «верю только себе», то есть не делегирует доверие сторонним агентам. Здесь пользователь локально генерирует SSL-сертификат и размещает его хеш в NVS, откуда его могут извлечь сайты при аутентификации (снова отправив запросу в свою локальную копию). Так как, в отличие от пароля, SSL-сертификат не является секретом, его хищение бесполезно, а секретный ключ от сертификата никогда не покидает устройство пользователя. В качестве уникального «имени файла» NVS для сертификата используется его Serial. Уникальность гарантируется консенсусом блокчейна, и «файл» с соответствующим Serial может быть только один на всю сеть, а права на изменения принадлежат только хозяину «файла». В случае компрометации SSL-сертификата пользователь также может быстро сгенерировать новый на замену и в локальном кошельке обновить хеш сертификата в NVS, при этом вся сеть начнет принимать новый сертификат вместо старого. Таким образом, вместо горы паролей пользователь получает универсальный сертификат-вездеход, которым он может авторизоваться на любом числе серверов сети без снижения безопасности.

Для компании emerSSL является прекрасной альтернативой SSO, где вместо SSO выступает публичный блокчейн Emer. Очень упрощается и привлечение новых пользователей. Ведь не секрет, что создание новой учетной записи на вашем сайте – это пусть и небольшие, но трудозатраты пользователя (придумать пароль, подтвердить e-mail, телефон), колеблющиеся потенциальные пользователи просто уходят. А если учетка создается по сертификату, нажатием одной кнопки – пользователи более охотно будут регистрироваться, и впоследствии им намного удобнее будет авторизоваться нажатием одной кнопки на сайте, когда всю работу сделает emerSSL.

Более того, если emerSSL сравнивать с SSO, то можно заметить, что SSO – это система уровня корпорации, и именно корпорация несет расходы на обслуживание, тогда как emerSSL – децентрализованный аналог SSO всемирного масштаба и отдельного обслуживания этой системы не требуется. Таким образом, кроме повышения безопасности и удобства, снижается цена обслуживания ИТ-инфраструктуры компании.

emerSSH

Третья проблема безопасного управления сетями – поддержка списков контроля доступа (ACL) в актуальном состоянии. В сети большой корпорации нередки случаи, когда доступ к учетной записи блокировался по ошибке или же после увольнения человека оставался открытым, чем пользовался расстроенный бывший работник, совершая неблаговидные действия в отношении «обидевшего» его работодателя.

В настоящее время компании применяют централизованные системы управления доступом, такие как LDAP или Puppet. Эти системы масштаба предприятия хорошо работают на своем уровне (уровне предприятия), но уже плохо применимы в современном мире, где какие-то элементы ИТ-инфраструктуры делегируются внешним компаниям (облачные хранилища, бухгалтерия, аудит и т. п.). Проблема таких систем – присутствие в них «админа в режиме бога», то есть главного администратора, который управляет списками контроля доступа. Предполагается, что этот админ полностью лоялен компании и никогда не будет вредить, ошибаться или банально задерживать распоряжения администрации по обновлению ACL. Кроме того, системы уровня предприятия не могут использовать другие ACL из сторонних систем подобного назначения. Таким образом, весьма сложно обслуживать ситуацию, когда вы разрешаете доступ к некоему ресурсу на основе ACL, управляемому внешней компанией. А ведь в современном мире, когда на аутсорс отдается все больше и больше ИТ-деятельности, такая ситуация становится типичной. Например, если поддержка сайта передается сторонней компании, то было бы неплохо, чтобы именно та сторонняя компания управляла списком своих сотрудников, входящих в группу, имеющую к вам доступ.

Система emerSSH [9] как раз и решает эту проблему. EmerSSH представляет собою децентрализованную систему ACL, где все списки хранятся в NVS и могут ссылаться друг на друга. Так как система NVS всемирная, то вы в свой список можете включить ссылку на любой другой ACL, который находится в NVS.

Применение такой системы приводит к «локализации ответственности». Иными словами, участники-пользователи вносят в NVS свои актуальные публичные ключи ssh (или другие якоря аутентификации, например Serial от emerSSL). При необходимости участник может сгенерировать новый ключ или сертификат, а также обновить свою NVS-запись в emerSSH. Его начальник поддерживает ACL-запись, которая перечисляет участников данной группы. И наконец, внешняя организация может включить ACL этой группы в свой ACL для доступа к своему сайту. В случае компрометации ключа участника он просто генерирует новый ключ, публикует его в NVS и уже по новому ключу получает доступ туда, куда имел и ранее, причем ему не надо уведомлять своего начальника или админа компании-клиента. Все обновления происходят автоматически. При этом каждый участник управляет своим локальным ключом или ACL, а блокчейн объединяет это в инфраструктуру публичных ключей (PKI) всемирного масштаба.

---

1. https://emercoin.com 
2. https://github.com/emercoin/ 
3. https://habr.com/ru/company/emercoin/blog/334304/ 
4. http://sites.emercoin.com/ 
5. https://emercoin.com/en/documentation/blockchain-services/emerdns/emerdns-introduction/ 
6. https://xakep.ru/2014/09/08/password-manager-pentest/ 
7. https://ru.wikipedia.org/wiki/Хакеры_(фильм) 
8. https://habr.com/ru/post/257605/ 
9. https://cryptor.net/kriptovalyuty/pod-kapotom-emercoin-chast-3-emcssh-infrastruktura-publichnyh-klyuchey-vsemirnogo 

Pornolab пришёл в альтернативную DNS-сеть на основе блокчейн

Один из крупнейших порнотрекеров после блокировки Роскомнадзором объявил о создании «зеркала» в Emercoin, альтернативной системе доменных имен, которые невозможно разделегировать

Передовые технологии — это универсальный инструмент, используемый в самых разных целях и доказывающий, что прогресс всегда будет идти на два шага впереди любых сомнительных запретов и попыток административно регулировать интернет с помощью государства. Прибегать к использованию технологий на пику технического прогресса в области интернета в последнее время часто приходится попавшим под блокировку сайтам, ориентированным на российского пользователя, поэтому в чём-то наших отечественных чиновников можно даже поблагодарить, ведь они, сами того не ведая (или ведая?), развивают интернет-грамотность населения, лишённого тех или иных привычных коммуникационных сред, а также косвенно помогают осваивать те технологии, до которых даже у государственных ведомств руки пока дошли вот только совсем недавно.

Не так давно попавший в Реестр запрещённых сайтов портал Pornolab, решил создать «зеркало» в альтернативной доменной зоне *.lib, которая является одной из четырех корневых зон децентрализованной DNS-сети, созданной на основе технологии blockchain. На сегодняшний день системой поддерживаются следующие зоны:

• .coin — все, что связано с монетами и коммерцией;
• .emc — ресурсы о проекте EmerCoin;
• .lib — производное от слов Library (библиотека) и Liberty (свобода)
• .bazar — различные сервисы купли/продажи.

Децентрализованная DNS-сеть EmerCoin была запущена в ноябре 2014 года. Необходимость создания подобного сервиса возникла в связи с тем, что в централизованных DNS-сетях всеми записями распоряжаются не их владельцы, а провайдеры, которые могут прекратить их действие по требованию властей или других органов.

В эту альтернативную систему доменных имён ранее уже пришли и другие крупнейшие отечественные торрент-трекеры и свободные библиотеки, такие как «Флибуста», Maxima Library, Coollib, NNM-club.

При этом администраторы сайта предупреждали пользователей о скорой блокировке сайта еще в начале ноября. Они сообщили, что Роcкомнадзор прислал в адрес pornolab.net письмо с требованиeм удалить противоправную информацию. После этого администрация Pornolab анонсировала для своих пользователей создание нескольких зеркал портала, а недавно там появилась информация об открытии домена в зоне *.lib вместе с инструкциями по пользованию emcDNS.

Подобные «переезды» сайтов на площадки, с которых практически невозможно вытолкать административными методами, скорее всего, будут происходить всё чаще и чаще. Однако государственная машина цензуры и блокировок никак не может остановиться, блокируя и сомнительные, и вполне безобидные сайты по самым надуманным поводам, идя вразрез со здравым смыслом и прогрессом.
оригинал статьи

Dot доменов .coin, .bazar, .lib и .emc от EmerCoin

Зарегистрируйте свой домен на основе EmerCoin сейчас

Что такое EmerCoin?

источник видео: YouTube

EmerCoin — платформа, основанная на популярной виртуальной валюте Peercoin. Некоторые функции DNS также являются ответвлением от Namecoin. В системе используется алгоритм Proof-Of-Stake второго поколения. Вот почему он может работать без майнинга.Это делает EmerCoin экологичными и более устойчивыми к 51% атак. Всего будет выпущено один миллиард EMC.

Что это дает?

Идея EmerCoin заключается в расширении исходного протокола для добавления новых функций, например, возможности регистрации доменных имен из зон * .emc, * .coin, * .lib и * .bazar. Программное обеспечение имеет встроенный DNS-сервер, через который эти домены могут быть зарегистрированы и доступны.

Протокол EmerCoin также позволяет хранить больший объем данных в блокчейне по сравнению с другими платформами.Можно хранить даже целые файлы. Идея состоит в том, чтобы разрешить импорт SSL, SSH, GPG и других сертификатов в цепочке. Возможности безграничны.

Домены Dot Coin (.coin)

Dot coin (.coin) — самое популярное доменное расширение на основе блокчейна. Dotcoin — это домен из блокчейна EmerCoin с 2013 года. OpenNIC разрешает домены .coin с 2015 года из блокчейна EmerCoin. Многие интернет-провайдеры по всему миру разрешают домен .coin по умолчанию из блокчейна EmerCoin.

Предупреждение: Некоторые веб-сайты SСАМ продают поддельные домены .coin, основанные на различных блокчейнах, таких как Ethereum. Мошенники публикуют свои централизованные смарт-контракты и начинают продавать любые популярные в настоящее время домены. Эти домены не имеют практического применения, и их цель — просто забрать ваши деньги.

Поддельные домены .coin не могут быть разрешены ни OpenNIC, ни нашим расширением браузера. Настоящие домены .coin видны в официальном проводнике блокчейна EmerCoin:

https: // explorer.Emercoin.com/nvs

Как решаются проблемы с доменами EmerCoin?

В январе 2015 года в OpenNIC добавлены домены из зон * .emc, * .coin, * .lib и * .bazar. Это самая большая альтернативная зона DNS. Таким образом, каждый, кто использует DNS-серверы организации, может открывать новые домены.

Домены из зоны EmerCoin также доступны через прокси-службу DNS emegrate.net. Просто откройте свой домен как поддомен сервиса, например, emer.coin.emergate.net. Есть много других способов доступа к доменам; один из примеров — популярные расширения okTurtles и DnsChain.

Расширение нашего браузера также поддерживает определение всех доменов на основе EmerCoin.

Предотвращение сквоттинга доменов

EmerCoin внедряет инновации в предотвращении сквоттинга доменов. В течение первых шести месяцев после запуска услуги домены будут по более высокой цене, которая падает с каждым чеканенным блоком. Это дает возможность большему количеству людей узнать о платформе и купить домены по наиболее приемлемой цене.Поэтому домены дороже.

Заключительные записи

EmerCoin, как и его предшественники Peercoin и Bitcoin, является очень ценной валютой. Он торгуется на многих биржах и подходит для обмена товарами и услугами. EmerCoin была основана как валюта для финансирования многих местных Интернет-проектов, таких как социальные и исследовательские сети, игры, роботы, электромобили и другие.

Зарегистрируйте свой домен на основе EmerCoin сейчас

Новый анализ угроз выявляет неправомерное использование протокола DNS

Разрешение доменного имени на основе блокчейна

Схемы, использующие технологию блокчейн для сопоставления доменного имени с IP-адресами, доступны уже несколько лет.В этих реализациях блокчейн действует как база данных, в которой хранится фактическое отображение.

Основное отличие этого домена от обычного DNS-домена, управляемого ICANN, заключается в том, что ни один центральный орган не может предотвратить регистрацию данного домена или его обновления. Выпуская транзакции, которые включены в ссылочную цепочку блоков, пользователь может независимо зарегистрировать любой доступный домен или обновить его статус.

Мы видели, как злоумышленники пытаются использовать DNS для управления своей инфраструктурой с помощью таких методов, как fast-flux и алгоритмы генерации доменов.Мы также знаем, что предпочтительный метод противодействия ботнету с использованием алгоритмов генерации доменов состоит в том, чтобы составить полный список доменов за определенный период времени и поделиться этим списком с соответствующими операторами реестра. Это создает централизованный способ пресечения попыток регистрации вредоносных доменов.

Namecoin, блокчейн, основанный на биткойнах, был первым проектом, популяризировавшим концепцию разрешения доменных имен на основе блокчейна еще в 2011 году. В этом сценарии преобразование имени в IP хранится в блокчейне, а не в зоне DNS. .Таким образом, клиент, который хочет узнать адрес bitcoin.bit , определенного домена Namecoin, сталкивается с двумя вариантами. Первый — загрузить всю цепочку блоков и поддерживать ее в актуальном состоянии. Другой вариант — подключиться к специальному DNS-серверу, который знает, что процесс разрешения некоторых доменов, например .bit , должен выполняться через другой канал, чем тот, который используется для типичных доменов .com.

Как неправильно используется служба альтернативных доменных имен OpenNIC

OpenNIC — интересный проект сообщества DNS.Его цель — предоставить альтернативную схему разрешения имен традиционным реестрам доменов верхнего уровня. К сожалению, как это часто бывает с частями служб интернет-инфраструктуры, которые могут использоваться не по назначению, были случаи, когда вредоносные программы использовали OpenNIC для устранения вредоносных доменов Namecoin.

В результате часть инфраструктуры, лежащая в основе OpenNIC, оказалась в черных списках с ожидаемыми последствиями для провайдеров, предоставляющих услуги. OpenNIC в конце концов решил отказаться от поддержки доменов Namecoin в июле 2019 года.Сегодня аналогичная ситуация наблюдается с Emercoin, блокчейном, стоящим за доменом .bazar .

Emercoin концептуально похож на Namecoin для злоумышленника. То есть доменные имена могут быть зарегистрированы с таким же уровнем анонимности, как и любые другие, выполняющие транзакции, которые становятся частью цепочки блоков.

За последние несколько месяцев мы наблюдали, как доменов .bazar и использовалось вредоносное ПО, метко названное Bazar loader / Bazar backdoor. Обычно он развертывается в цепочке заражения, которая заканчивается активацией Ryuk, вымогателя, который, как известно, нацелен, в частности, на медицинские учреждения.

Было замечено, что загрузчик Bazar / бэкдор Bazar полагался на OpenNIC для разрешения доменов .bazar . Учитывая, как злоупотребляли Namecoin, мы ожидаем увидеть некоторую эволюцию Emercoin в ближайшем будущем.

Интересной особенностью блокчейнов является то, что они представляют собой структуру данных только для добавления. По этой причине любой IP-адрес, связанный с определенным доменом, всегда доступен для изучения исследователями безопасности, заинтересованными в отслеживании конкретной угрозы.

EMCDNS И NVS

NVS (хранилище имен и значений) и поддержка DNS в Emercoin

Обратите внимание, что этот документ может быть изменен, особенно в связи с выпуском Emercoin версии 0.3.0.

Начиная с версии 0.3.0, Emercoin предоставляет новую услугу: хранение пар имя-> значение в своей цепочке блоков. Первоначальная идея позаимствована у криптовалюты NameCoin. Однако, если NameCoin в основном ориентирован на поддержку децентрализованной доменной зоны * .bit в их расширении, Emercoin предоставляет универсальный сервис для хранения и поддержки пар имя-> значение без навязывания узкой специализации. Конечно, Emercoin также поддерживает распределенный альтернативный DNS-сервис.Более того, каждый кошелек Emercoin содержит встроенный простой DNS-сервер, поддерживающий стандартный протокол DNS RFC1034 UDP.

Общее сравнение

Среди множества криптовалют только две из них официально поддерживают хранение дополнительных данных в блокчейне. Это, конечно же, NameCoin и Emercoin. В обеих криптовалютах дополнительные данные организованы одинаково, по набору пар:

Далее следует краткое сравнение имен-подсистем (цены в соответствующих монетах):

9010

Валюта	NameCoin	Emercoin
Тип	PoW	PoS / PoW
MAX_NAME_LENGTH	255	512
MAX_VALUE_LENGTH	1023
Создать	0.01	0,17 *
Обновление	0,00	0,12 *
Удалить	Н / Д	0,00

 * Цена может меняться и рассчитывается по формуле:
p = sqrt (0,01 * R * y) + s / 128
Где:
R = Текущее вознаграждение, подтверждающее работу, в центах.
y = Срок аренды в годах. Доступны дроби на 1 день.
Стоимость создания нового имени равна стоимости аренды на 1 год.
s = размер_ключа + размер_значения в байтах.Деление целое, поэтому для
записи, менее 128 байт, эта ценовая часть равна нулю.

Например, вознаграждение за PoW от 30.09.2014 составляло 140 EMC или 14000 центов EMC (EMc).
Если вы хотите арендовать имя (длина 100 байт) на 1 год, вы платите:

p = sqrt (0,01 * 14000 * (1 [создать новое имя] + 1 [аренда на один год])) + (этаж) (100/128) = 17EMc = 0,17EMC. 

Все комиссии «сжигаются» и становятся невозвратными (вывод транзакции меньше ввода).

Emercoin выделяет 20 КБ для стоимости, что достаточно для размещения открытых ключей для большинства современных криптографических приложений.Мы считаем, что блокчейн криптовалюты является чрезвычайно надежным местом для публикации и поддержки открытых ключей для многих криптографических приложений, таких как сертификаты SSH / SSL. Как и обычные платежные транзакции, сохраненные пары имя-> значение также получают подтверждения во время генерации блока и практически неуязвимы для изменения в результате атаки Man-In-the-Middle.

Поскольку блокчейн является надежным хранилищем данных, защищенным от несанкционированного изменения, он является отличной основой для развертывания криптографической инфраструктуры открытого ключа (PKI), временных меток подтверждения владения или других распределенных служб.

Управление именами

Блокчейн Emercoin может хранить пары имя-> значение без каких-либо ограничений в формате данных. Однако в целях стандартизации мы рекомендуем следующий формат для хранения имен:

 service_abbr: unique_key Например:
dns: emercoin.com 

Все записи DNS должны быть в нижнем регистре.

Каждая пара имя-> значение имеет своего владельца. Каждого владельца указывает платежный адрес Emercoin, который хранится вместе с парой.Только владелец платежного адреса может изменить или удалить пару, или передать право собственности на другой адрес. Когда создается новая пара, в локальном кошельке создается новый платежный адрес для пары.

Для сервисных целей мы рекомендуем использовать следующие сокращения:

* Это специальное сервисное сокращение, используемое встроенным DNS-сервером Emercoin.

** Сервис для хранения магнитных ссылок BitTorrent, полезных для обмена файлами. Предлагаемый формат:

«имя»: «магнит: Emercoin 0.3.2 для Linux — упакован как tar.gz, исходный файл с сайта emercoin.com «,

» value «:» magnet:? Xt = urn: btih: dff183bcac72a628fcac88ac1c85c239b806fd5e & dn = emercoin-0.3.2-linux.tar.gz »

Среди рекомендуемых типов записей DNS вы можете найти другие возможные сокращения сервисов для ваших приложений.

Управление именами может выполняться с помощью графического интерфейса кошелька Emercoin, консольных команд в окне отладки или интерфейса API JSON. Набор операторов Emercoin был вдохновлен NameCoin API, но он другой.Ниже приведен список операторов и параметров (параметры в квадратных скобках [] необязательны).

• name_new
  Этот оператор создает пару name-> value и публикует ее в блокчейне. Третий параметр указывает срок аренды в днях.

• name_update []
  Этот оператор:

• name_delete
  Этот оператор удаляет паит name-> value из блокчейна .За неиспользованное время аренды возврат средств не производится.

• name_show *
  Этот оператор извлекает пару name-> value и информацию о транзакции для указанного .

• name_list [] *
  Этот оператор перечисляет все совпадающие пары, принадлежащие текущему кошельку и те, которые были переданы в прошлом. Если <имя> не указано, в нем перечислены все имена.

• name_scan [] [] *
  Этот оператор перечисляет все пары, существующие в цепочке блоков.Параметр позволяет пропускать все имена в списке, которые расположены над указанным именем, полезно для загрузки списка по частям.

• sendtoname <имя> <количество> [комментарий] [комментарий к] *
  Отправить платеж на адрес, связанный с указанным <имя>. Сумма округлена до цента. и будут храниться в локальном кошельке, а не в блокчейне. Например, с помощью этого оператора вы можете отправить пожертвование проекту fold @ home .

• name_filter [regexp] [ [from = 0] [nb = 0] [stat]
  Еще не реализовано, возвращает пустой список.

* параметры и поведение такие же, как в NameCoin.

Чтобы создать псевдоним имени для платежного адреса, просто создайте пару с указанным уникальным именем и любым значением. Новый связанный платежный адрес будет создан в вашем кошельке автоматически. Мы рекомендуем писать текстовое описание в качестве значения.Все платежи на это имя будут отправлены на соответствующий платежный адрес, на который это имя зарегистрировано.

 Пример:
Name = "складной @ дома"
Value = «Пожертвование для поддержки участников проекта fold @ home из Стэнфордского университета» 

Подсистема DNS

Как упоминалось выше, Emercoin может хранить в своей цепочке блоков особые пары имя-> значение, содержащие записи DNS. Из-за характера распределенных блокчейнов эти записи полностью децентрализованы и не подвергаются цензуре и не могут быть изменены, отозваны или приостановлены каким-либо органом.Только владелец записи может изменить ее или передать другому владельцу. Владелец записи указан платежным адресом.

Технически Emercoin DNS может поддерживать практически любую DNS-зону. Однако для бесшовной интеграции в стандартное DNS-дерево и предотвращения конфликтов с существующими DNS-зонами в настоящее время мы рекомендуем создавать DNS-записи Emercoin только в зонах: * .emc, * .coin, * .lib, * .bazar.

Эти DNS-записи могут быть легко получены из любого кошелька Emercoin с помощью вышеупомянутого JSON RPC API или стандартного DNS-протокола RFC1034 с использованием встроенной подсистемы DNS-сервера.

Чтобы активировать эту подсистему, вы можете указать два необязательных параметра в файле конфигурации emercoin.conf, emcdns и emcdnsport:

 emcdns = 1 # Запустить DNS-сервер. По умолчанию 0 (не запускать)
emcdnsport = NNN # Порт для DNS, по умолчанию 5335 

Пиринг OpenNIC

Emercoin заключил пиринговое соглашение с сообществом OpenNIC, которое позволит доменам, зарегистрированным в блокчейне Emercoin, быть доступными для всех пользователей OpenNIC DNS. Как только пиринг будет установлен, доменные зоны Emercoin станут доступны путем изменения адреса вашего DNS-преобразователя на ближайший к вам сервер OpenNIC.Этого можно достичь, посетив opennicproject.org и следуя их руководствам по настройке DNS-преобразователя. Это наиболее простой и удобный способ доступа к зонам Emercoin DNS.

Интеграция в обычное дерево DNS

Чтобы интегрировать сервер Emercoin DNS в обычное дерево DNS, вы можете использовать полнофункциональный DNS или кэширующий DNS. Стандартный DNS-клиент Windows не может выполнить эту работу, поэтому для этого следует использовать дополнительный DNS-прокси-сервер. Ниже мы покажем несколько примеров.

Один компьютер, Acrylic DNS proxy

Наиболее распространенный случай — запуск кошелька Emercoin и всего остального на одном компьютере. Для этого мы рекомендуем установить на ваш компьютер легкий прокси Acrylic DNS. Благодаря интеграции именных зон, это повысит производительность вашего ПК за счет более быстрого разрешения DNS-запросов с помощью локального кеша, уменьшения задержек при просмотре или любой другой интернет-активности.

Для установки и начальной настройки в Windows см. Руководство на веб-сайте Acrylic.* .bazar; * PrimaryServerAddress = DNS_of_your_provider или любой общедоступный DNS, например: 8.8.4.4 PrimaryServerPort = 53 ; Перенаправлять в кошелек EMC запросы только для EMC-зон SecondaryServerHostNameAffinityMask = *. Emc; *. Coin; *. Lib; *. Bazar SecondaryServerAddress = 127.0.0.1 SecondaryServerPort = 5335

В качестве альтернативы вы можете загрузить этот файл AcrylicConfiguration.ini, предварительно настроенный для использования OpenDNS в качестве основного и дополнительного DNS-провайдера (для обычного DNS-дерева) и локального кошелька Emercoin в качестве тройного провайдера для доменных зон * .emc, * .coin, * .lib, * .bazar.

Путь по умолчанию к этому файлу: C: \ Program Files (x86) \ Acrylic DNS Proxy \

Команда Emercoin также предоставляет для загрузки пакет Acrylic, уже предварительно настроенный для Emercoin DNS.

Один компьютер, BIND DNS-прокси

Вместо установки DNS-прокси у вас также есть возможность установить полнофункциональный DNS-сервер. К счастью, полный DNS-сервер BIND доступен для Windows бесплатно. В Интернете можно найти множество руководств, в которых показано, как установить BIND в Windows.Например, см. Это руководство.

После установки вы должны указать BIND перенаправить EMC-зоны в локальный кошелек Emercoin, добавив в файл конфигурации BIND named.conf следующим образом:

 zone "emc" {
типа вперед;
только вперед;
экспедиторы {
127.0.0.1 порт 5335; // Локальный кошелек Emercoin
};
};
зона "монета" {
типа вперед;
только вперед;
экспедиторы {
127.0.0.1 порт 5335; // Локальный кошелек Emercoin
};
};
zone "lib" {
типа вперед;
только вперед;
экспедиторы {
127.0.0.1 порт 5335; // Локальный кошелек Emercoin
};
};
зона "базар" {
типа вперед;
только вперед;
экспедиторы {
127.0.0.1 порт 5335; // Локальный кошелек Emercoin
};
}; 

Локальная сеть, прокси-сервер BIND DNS

Если у вас есть сервер в вашей локальной сети, рекомендуется установить BIND на ваш сервер, а в конфигурации сети ПК указать первичный адрес DNS для вашего сервера BIND. На сервере вы можете запустить безголовый кошелек Emercoin, на который BIND будет перенаправлять запросы в соответствующие зоны.В этом случае конфигурация BIND точно такая же, как и выше.

Также вы можете запустить кошелек Emercoin на любом ПК в вашей локальной сети, а не на сервере BIND. Если это так, вам следует изменить адрес пересылки с 127.0.0.1 на IP-адрес этого ПК. Конечно, у этого ПК должен быть статический IP-адрес локальной сети.

Локальная сеть, прокси DNSMASQ

Современные маршрутизаторы обычно содержат встроенный прокси DNS в свою прошивку. Обычно это DNSMASQ. А некоторые прошивки, такие как DD-WRT (а также другие WRT), позволяют настраивать встроенный DNS-прокси.См. Руководство по настройке DD-WRT здесь.

В этом случае кошелек должен запускаться на ПК со статическим IP-адресом, и DNSMASQ от маршрутизатора будет отправлять DNS-запросы на этот компьютер. Ниже приведены примеры строк конфигурации, которые необходимо добавить в dnsmasq.conf. В этом примере ПК имеет IP-адрес LAN 192.168.1.53.

 --server = / emc / 192.168.1.53 # 5335
--server = / coin / 192.168.1.53 # 5335
--server = / lib / 192.168.1.53 # 5335
--server = / bazar / 192.168.1.53 # 5335 

Общедоступный Интернет, прямой шлюз

Также существует возможность сделать общедоступный шлюз из обычного дерева DNS в распределенную подсистему DNS Emercoin.В этом случае вы можете арендовать любой общедоступный домен или поддомен и указать NS-записи для этого домена на машину, на которой запущен кошелек Emercoin с активным DNS-сервером на порте 53 (см. В следующем абзаце, как определить порт. ). После этого все обычные запросы NS к этому домену будут обрабатываться DNS-сервером, а ответы будут получены из базы данных NVS в кошельке Emercoin.

Например, мы создали новый домен emergate.net (сеть шлюзов Emercoin).Когда вы нажимаете http://emer.coin.emergate.net, ваш запрос имени обрабатывается кошельком Emercoin, и вы переходите непосредственно к emer.coin в зоне домена, поддерживаемой EMC. Аналогично работает и ссылка на наш сервис обмена EMC <-> USD: http://exchange.emc.emergate.net.

Таким образом, если вы зарегистрируете любое имя в Emercoin DNS, имя будет разрешено любым DNS-шлюзом Emercoin — emergate.net или любым другим. И ваш сайт site.coin будет доступен через любой такой шлюз по таким ссылкам, как site.coin.emergate.net или site.coin.another.com.

Чтобы настроить новый домен в качестве общедоступного DNS-шлюза Emercoin, вам необходимо указать DNS-серверы как авторитетные для вашей зоны (домена). Для домена emergate.net мы указали два сервера имён (NS), уполномоченных для этого домена у нашего регистратора доменов:

 Сервер имён: SEED1.EMERGATE.NET
Сервер имен: SEED2.EMERGATE.NET 

Вы можете проверить эту информацию с помощью whois.

На каждом из этих серверов имен работает кошелек Emercoin с активным DNS-сервером, который обслуживает шлюз и локальную зону для Emergate.сеть. Специфические параметры конфигурации DNS для файла emercoin.conf следующие:

Если вы используете DNS-шлюз только для локального компьютера (с Acrylic или BIND) или для локальной сети, достаточно указать только один

New Анализ угроз выявляет неправомерное использование протокола DNS

Сводка

В этой статье я хочу выделить тенденцию, недавно обнаруженную группой лабораторий Nozomi Networks в отношении нового злоупотребления протоколом DNS.Это явление уже влияет на корпоративные сети; плюс, это открывает дверь для серьезных угроз в будущем. Мы призываем группы безопасности получить представление об этой новой информации об угрозах и централизованно контролировать свои сети на предмет трафика, связанного с преобразователями DNS, которые могут быть использованы не по назначению.

Новый анализ угроз выявляет неправомерное использование протокола DNS

За последние 15 с лишним лет злоумышленники разработали несколько интересных и умных методов для неправомерного использования протокола DNS (Служба доменных имен ¹ ).Некоторые из их уловок, такие как DNS-туннелирование, получили известность благодаря своей способности легко обходить брандмауэры и многое другое.

В этой статье я хочу осветить тенденцию, недавно обнаруженную группой лабораторий Nozomi Networks относительно нового злоупотребления протоколом DNS. Это явление уже влияет на корпоративные сети; плюс, это открывает дверь для серьезных угроз в будущем. Мы призываем группы безопасности получить представление об этой новой информации об угрозах и централизованно контролировать свои сети на предмет трафика, связанного с преобразователями DNS, которые могут быть использованы не по назначению.

Разрешение доменного имени на основе блокчейна

Схемы

, использующие технологию блокчейн для сопоставления доменного имени с IP-адресами, доступны уже несколько лет. В этих реализациях блокчейн действует как база данных, в которой хранится фактическое отображение.

Основное отличие этого домена от обычного DNS-домена, управляемого ICANN, заключается в том, что ни один центральный орган не может предотвратить регистрацию данного домена или его обновления.Выпуская транзакции, которые включены в ссылочную цепочку блоков, пользователь может независимо зарегистрировать любой доступный домен или обновить его статус.

Мы видели, как злоумышленники пытаются использовать DNS для управления своей инфраструктурой с помощью таких методов, как fast-flux и алгоритмы генерации доменов. Мы также знаем, что предпочтительный метод противодействия ботнету с использованием алгоритмов генерации доменов состоит в том, чтобы составить полный список доменов за определенный период времени и поделиться этим списком с соответствующими операторами реестра.Это создает централизованный способ пресечения попыток регистрации вредоносных доменов.

Namecoin, блокчейн, основанный на биткойнах, был первым проектом, популяризировавшим концепцию разрешения доменных имен на основе блокчейна еще в 2011 году. В этом сценарии преобразование имени в IP хранится в блокчейне, а не в зоне DNS. . Таким образом, клиент, который хочет узнать адрес bitcoin.bit , определенного домена Namecoin, сталкивается с двумя вариантами. Первый — загрузить всю цепочку блоков и поддерживать ее в актуальном состоянии.Другой вариант — подключиться к специальному DNS-серверу, который знает, что процесс разрешения некоторых доменов, например .bit , должен выполняться через другой канал, чем тот, который используется для типичных доменов .com.

Как неправильно используется служба альтернативных доменных имен OpenNIC

OpenNIC — интересный проект сообщества DNS. Его цель — предоставить альтернативную схему разрешения имен традиционным реестрам доменов верхнего уровня.К сожалению, как это часто бывает с частями служб интернет-инфраструктуры, которые могут использоваться не по назначению, были случаи, когда вредоносные программы использовали OpenNIC для устранения вредоносных доменов Namecoin.

В результате часть инфраструктуры, лежащая в основе OpenNIC, оказалась в черных списках с ожидаемыми последствиями для провайдеров, предоставляющих услуги. В конце концов OpenNIC решил отказаться от поддержки доменов Namecoin в июле 2019 года. Сегодня аналогичная ситуация наблюдается с Emercoin, блокчейном, стоящим за .bazar домен.

Emercoin концептуально похож на Namecoin для злоумышленника. То есть доменные имена могут быть зарегистрированы с таким же уровнем анонимности, как и любые другие, выполняющие транзакции, которые становятся частью цепочки блоков.

За последние несколько месяцев мы наблюдали, как доменов .bazar и использовалось вредоносное ПО, метко названное Bazar loader / Bazar backdoor. Обычно он развертывается в цепочке заражения, которая заканчивается активацией Ryuk, вымогателя, который, как известно, нацелен, в частности, на медицинские учреждения.

Было замечено, что загрузчик Bazar / бэкдор Bazar полагался на OpenNIC для разрешения доменов .bazar . Учитывая, как злоупотребляли Namecoin, мы ожидаем увидеть некоторую эволюцию Emercoin в ближайшем будущем.

Интересной особенностью блокчейнов является то, что они представляют собой структуру данных только для добавления. По этой причине любой IP-адрес, связанный с определенным доменом, всегда доступен для изучения исследователями безопасности, заинтересованными в отслеживании конкретной угрозы.

Новые угрозы используют DNS поверх HTTPS

DNS over HTTPS (DoH) — это недавно представленный протокол, который разрешает доменные имена через HTTPS вместо использования типичной схемы на основе порта 53 udp / tcp.С момента своего появления DoH вызвал некоторые споры. Этот блог не предназначен для объяснения причин, лежащих в основе этих позиций, а скорее для того, чтобы осветить использование протокола злоумышленниками.

DoH явно требует и совместимого клиента, и сервера. Некоторые из основных браузеров реализуют клиентскую часть протокола с самого начала в виде черновика. Самыми популярными общедоступными преобразователями, которые используются сегодня, являются предоставляемые Cloudflare и Google. Примечательно, что в феврале Firefox начал поставляться с включенным по умолчанию DoH для всех пользователей в США.S., с Cloudflare, установленным в качестве преобразователя по умолчанию.

Практический эффект DoH заключается в том, что полезная нагрузка разрешения DNS инкапсулируется в сеансе TLS, установленном между клиентом и резолвером, таким образом скрывая его содержимое для пассивного сетевого наблюдателя.

Исследователи безопасности из Huntress Labs недавно заметили вредоносное ПО, которое злоупотребляет DoH для получения IP-адресов других хостов, принадлежащих вредоносной инфраструктуре. Запись ресурса TXT была создана для имитации реальной записи DKIM, но вместо этого содержала закодированные IP-адреса.В этом случае, если мы изолируем процесс разрешения на сетевом уровне, то возникнет TLS-соединение между вредоносной программой и общедоступным распознавателем Google, хотя, учитывая комплексное поведение угрозы, можно выделить несколько других аномалий.

Отслеживайте нестандартное использование DNS для защиты ваших сетей

Как показано выше, разработчики вредоносных программ экспериментируют с новыми методами скрытия своей деятельности, часто прибегая к новым технологиям, которые могут дать им преимущество в краткосрочной перспективе.Учитывая эту реальность, для служб безопасности критически важно использовать технологии, которые централизованно проверяют трафик DNS. При обнаружении сообщений, связанных с резолверами, восприимчивыми к неправомерному использованию (такими как Emercoin или DoH), должны быть поданы предупреждения и приняты защитные меры.

Излишне говорить, что работоспособная сеть требует постоянного мониторинга с использованием новейших аналитических данных об угрозах — убедитесь, что это делает ваша.

Об авторе

---

Алессандро Ди Пинто — сертифицированный специалист по безопасности (OSCP) с обширным опытом в области анализа вредоносных программ, безопасности ICS / SCADA, тестирования на проникновение и реагирования на инциденты.Он имеет сертификаты GIAC Reverse Engineering Malware (GREM) и GIAC Cyber ​​Threat Intelligence (GCTI). Алессандро является соавтором исследовательской работы «TRITON: Первая кибератака ICS на системы безопасности» и «Анализ вредоносного ПО GreyEnergy: от Maldoc до бэкдора».

---

Вам понравилась эта замечательная статья?

Ознакомьтесь с нашими бесплатными электронными информационными бюллетенями, чтобы прочитать больше отличных статей..

Подписывайся

---

Новый ботнет скрывается в тумане DNS Blockchain и удаляет криптомайнер

Новый ботнет привлек внимание исследователей безопасности своим безобидным поведением и использованием оригинального канала связи со своим сервером управления и контроля.

Fbot — это своеобразный вариант Mirai, который сохраняет исходный модуль DDoS, но не использует его.Это еще не самое странное, потому что на данный момент его целью является поиск устройств, зараженных вредоносным ПО, занимающимся крипто-добычей, и их очистка.

Исследователи в области безопасности из 360Netlab Qihoo обнаружили новый штамм и заметили, что он выслеживает вредоносное ПО ботнета под названием com.ufo.miner, известный вариант ADB.Miner, который добывает Monero на устройствах Android (смартфоны, смарт-телевизоры, телевизоры). верхние ящики).

Fbot вытесняет вредоносное ПО для майнинга криптовалют

Fbot распространяется путем сканирования устройств с открытым портом 5555, используемых службой ADB (Android Debug Bridge) на Android, а затем получения сценария через интерфейс ADB.

Одна из функций скрипта — удалить вредоносную программу com.ufo.miner. Другой способ — загрузить основную полезную нагрузку, Fbot, в которую встроена информация о контакте с сервером управления и контроля (C2). Третья функция — самоуничтожение.

Fbot, по-видимому, оказывает положительное влияние на систему, ранее зараженную com.ufo.miner, поскольку он ищет процессы (SMI, RIG, XIG), связанные с активностью криптомайнинга, и уничтожает их.

Прячась за блокчейном

По словам исследователей, производитель Fbot выбрал для сервера C2 доменное имя, доступное через децентрализованную систему доменных имен (DNS), которая разделяет домены через одноранговую сеть и затрудняет их отслеживание и удаление.

«Домен C2 musl.lib не является стандартным доменным именем DNS. Его домен верхнего уровня .lib НЕ зарегистрирован в ICANN и не может быть разрешен традиционной системой DNS», — уточняет 360Netlab.

Доменное имя разрешается через EmerDNS, основанную на блокчейне DNS EmerCoin — платформу, которая предлагает регистрацию доменных имен из пространств имен EMC, COIN, LIB и BAZAR, делая их доступными через собственный DNS-сервер.

EmerCoin теперь имеет пиринговое соглашение с OpenNIC, крупнейшей альтернативой традиционным реестрам доменов верхнего уровня, для разрешения их доменных имен.

«Выбор Fbot, использующего EmerDNS, отличного от традиционного DNS, довольно интересен, он поднял планку для исследователей безопасности, чтобы найти и отследить ботнет (системы безопасности потерпят неудачу, если они будут искать только традиционные имена DNS), а также затруднит поиск Вскрывают домен C2, по крайней мере, неприменимый для членов ICANN », — отмечают исследователи.

Технические подробности

Fbot интригуют, и неясно, является ли это делом добрых дел или противником, стремящимся избавиться от конкуренции.Однако некоторые из используемых методов могут стать более популярными среди киберпреступников, стремящихся защитить свой бизнес. На данный момент можно быть уверенным в том, что Fbot устраняет вредоносное ПО, занимающееся добычей криптовалют, и занимает его место в системе жертвы.

EmerCoin «Пионеры технологии блокчейн» »The Merkle News

Подпишитесь на уведомления

EmerCoin (EMC) — сильный новатор в области технологии блокчейн; создание различных способов использования блокчейна для многих децентрализованных приложений.Компания EMC, запущенная в конце 2013 года, продвинулась вперед с удивительной скоростью, отмечая одно достижение за другим. Им удалось заново изобрести клон Peercoin, соединенный с Namecoin, и на сегодняшний день обеспечить одно из наиболее полных применений технологии Blockchain в криптовалютах, поскольку сообщество EmerCoin и команда разработчиков ядра продолжают расширяться.

EmerCoin возглавляется международной командой инженеров и крипто-специалистов, а также огромным и чрезвычайно лояльным сообществом EmerCoin.Вместе они продолжают привносить новые функции во многие применения блокчейна EMC. В этой статье будут подробно рассмотрены эти функции со ссылками на страницы Официального веб-сайта EmerCoin для дальнейшего исследования или использования этих передовых способов использования технологии блокчейн.

В настоящее время проводится рекламная кампания emcLNX, которая дает возможность любому, у кого есть веб-сайт, бесплатно заработать EmerCoin, а также испытать самую последнюю реализацию сервисов технологии Blockchain для текущего использования, разместив ссылку на кнопке на своем веб-сайте, которая начнет давать любому немного дополнительного дохода, отправляя людей, которые нажимают ссылку на кнопку, в растущую сеть EMC , а также вы можете направлять трафик на свой веб-сайт или с него, поскольку EMC в настоящее время торгуется по цене около 0.00011361 BTC.

EmerCoin emcLNX — это обменник рекламных ссылок на блокчейне сети EmerCoin . Это — одноранговая текстовая рекламная сеть, основанная на модели с оплатой за клик , которая охватывает 3 различных области использования и открыта для всех. Это будет отличный способ для веб-мастеров добавить на свой веб-сайт еще один источник дохода — независимо от того, связан ли он с криптовалютой или нет.

Рекламная кампания emcLNX будет в основном основана на Twitter и будет включать недавно созданную учетную запись EmerCoinRTs Twitter.Мы призываем всех прийти и принять участие в этой действующей модели технологии блокчейн в ее наиболее продвинутых формах в настоящее время и получить возможность заглянуть в будущее уже сегодня. Пока вы занимаетесь этим, вы можете заработать значительные суммы EmerCoin, используя систему ссылок emcLNX для развития своего бизнеса или веб-сайта. Инженеры, которые предоставили вам EmerCoin, готовы помочь любому в установке Link. Присоединяйтесь к этому растущему глобальному сообществу, которое поддерживает эту универсальную криптовалюту.

EmerCoin

Инновационные блокчейн-сервисы, децентрализованные решения для реальной жизни

EMCLNX

Рекламный обмен ссылками на EmerCoin

Intro

emcLNX — это одноранговая сеть текстовой рекламы, основанная на модели оплаты за клик. В этой системе есть 3 роли:

• Покупатель: Рекламирует свой веб-сайт, используя сеть emcLNX.Они платят небольшую сумму за каждого посетителя, перешедшего на их сайт по сети emcLNX.

• Хост: Показывает рекламу emcLNX на своем веб-сайте. Когда Посетитель нажимает на объявление, Хост отправляет этого Посетителя на веб-сайт Покупателя и получает от Покупателя оплату за это посещение.

• Посетитель: Обычный веб-пользователь, который нажимает на рекламу на сайте Хоста и попадает на сайт Покупателя.

Для получения дополнительной информации см .: emcLNX

EMCSSH

Использование EmerCoin NVS для развертывания и управления инфраструктурой открытых ключей (PKI)

Резюме

Простая программа emcSSH обеспечивает мост между OpenSSH и блокчейном EMC, обеспечивая безопасное децентрализованное управление PKI. Когда OpenSSH настроен для обращения к emcSSH , программа будет запрашивать блокчейн EmerCoin для получения учетных данных SSH во время процесса аутентификации.

Для получения дополнительной информации см .: emcSSH

EMCDNS AND NVS

Поддержка NVS (имя-значение) и DNS в EmerCoin

Обратите внимание, что в этот документ могут быть внесены изменения, особенно в связи с выпуском EmerCoin версии 0.3.0 .

Начиная с версии 0.3.0, EmerCoin предоставляет новую услугу: хранение пар имя-> значение в своей цепочке блоков. Первоначальная идея позаимствована у криптовалюты NameCoin.Однако, если NameCoin в основном ориентирован на поддержку децентрализованной доменной зоны * .bit в их расширении, Emercoin предоставляет универсальный сервис для хранения и поддержки пар имя-> значение без навязывания узкой специализации. Конечно, EmerCoin также поддерживает распределенный альтернативный DNS-сервис. Более того, каждый кошелек EmerCoin содержит встроенный простой DNS-сервер, поддерживающий стандартный протокол DNS RFC1034 UDP.

Для получения дополнительной информации см .: emcDNS

EMCSSL

EMCSSL — вход без пароля с EmerCoin.

В этом документе представлены подробности масштабируемой инфраструктуры для авторизации без пароля, подходящей для неограниченного количества веб-сервисов.

Инфраструктура находится на блокчейне криптовалюты EmerCoin, используя блокчейн в качестве децентрализованного хранилища доверенных хэш-сумм для клиентских SSL-сертификатов. Сертификаты могут генерироваться клиентами локально, без какого-либо центрального органа, и при необходимости быстро заменяться. Это делает систему эффективной как для плановой замены, так и для быстрого отзыва скомпрометированных сертификатов.

Для получения дополнительной информации см .: emcSSL

EmerCoin Контакт: [email protected]

Источник: Emercoin.com

Подписка на уведомления

Emercoin и First Bitcoin Capital Corp. подписывают соглашение о стратегической оценке

First Bitcoin Capital Corp (BITCF) стала следующим союзником Emercoin International Development Group после Microsoft (MSFT). Компании подписали ряд соглашений об оценке с целью продвижения продуктов Emercoin на основе блокчейнов среди предприятий и частных лиц.

Технологический портфель

Emercoin включает следующие продукты, которые либо улучшают существующие технологические решения, либо решают новые задачи в отрасли:

EMC / SSH: безопасные инструменты управления оболочкой, основанные на симбиозе проверенной структуры SSH и дополненные функциями на основе блокчейна.

EMC / DNS: расширение системы доменных имен, пиринг с OpenNIC.

EMC / SSL: Расширение существующего метода проверки подлинности SSL сертификата клиент-сервер.

EMC / TTS: служба временных меток на основе блокчейна

EMC / DPO: решение для цифрового подтверждения права собственности.

EMC / LNX: Децентрализованная рекламная сеть с оплатой за клик.

Информация / карта: безопасная электронная карта, часто используемая в предположениях с использованием технологии EMC / SSL

MAGNET: инновационный распределенный трекер для приложений обмена файлами.

BITCF также изучает возможные инвестиционные планы, чтобы помочь Emercoin расширить рынок и принять его со стороны сообщества и бизнеса.Cointelegraph попросил Олега Ховайко, технического директора Emercoin, рассказать нам о своем видении и ожиданиях от этих новых отношений:

«Это соглашение открывает новые пути доставки наших продуктов и технологий на предприятия. Наши уникальные продукты будут оценены и протестированы BITCF и при необходимости изменены в соответствии с потребностями их бизнес-процессов. Мы ожидаем полной интеграции нашей продуктовой линейки с текущими решениями BITCF, а также прекрасной возможности продемонстрировать мощность, масштабируемость и надежность наших технологических решений.

Мы уверены, что сотрудничество между Emercoin и BITCF будет успешным и принесет взаимную выгоду нашему бизнесу ».

— Олег Ховайко

До сих пор Emercoin была одной из немногих компаний, которая успешно продвигала технологические приложения, заручившись поддержкой коммерческих компаний-разработчиков программного обеспечения для внедрения своих решений в свои продукты. В этом году мы ожидаем более важных для компании событий.

Cointelegraph также запросил мнение биткойн-юриста Дмитрия Мачихина из Cointelegraph Blockchain Legal. Он ответил, сказав:

«Согласно его веб-сайту, First Bitcoin Capital Corp. (BITCF) является первым вертикально интегрированным консолидатором на арене биткойнов и криптовалют. Его основная цель — создать вертикально интегрированную организацию, в которой будут размещены различные криптовалютные технологии и компании под одной крышей.

С одной стороны, подписание соглашения, которое рассматривается в тексте, очень перспективно для разработчиков Emercoin.В первую очередь, это поможет им привлечь средства, потому что инвестиционные перспективы стали выше. Международное признание Emercoin является причиной того, что все больше и больше людей вкладывают свои деньги в эту криптовалюту — они действительно ей доверяют. Во-вторых, так называемый альянс с First Bitcoin Capital Corp. может помочь обеим сторонам быстрее развиваться, например, путем предоставления друг другу новых криптотехнологий.

Однако поведение First Bitcoin Capital Corp.к сожалению непредсказуемо. Никто не знает, какие цели преследуют директора и акционеры BITCF. Было бы наивно думать, что они занимаются благотворительностью, объединяя большинство компаний, вовлеченных в криптовалютный бизнес, «под одним зонтом». Следовательно, стоит прогнозировать, что в настоящий момент BITCF охотится за новыми крипто-технологиями. Это означает, что существует высокий риск слияния организаций разработчиков и приобретения инновационных идей BITCF без учета каких-либо соображений — другими словами — кражи.При таких обстоятельствах для Emercoin было бы разумным не предоставлять новым партнерам всю информацию, касающуюся их разработок, и пытаться защитить свою интеллектуальную собственность от всех возможных нарушений, используя определенные правовые методы, например, путем подачи заявок на патенты и получения документов, которые удостоверяют свои исключительные права на эти разработки ».

.