Un nuovo sistema di sicurezza in fase di testing presso una società con base a San Francisco punta a velocizzare il rilevamento di siti e domini usati per il cybercrime. Questa tecnologia è stata sviluppata da OpenDNS, il cui servizio di risoluzione di nomi in indirizzi Internet (DNS) è sviluppato in modo da non essere controllato da governi o enti militari al fine di evitare censura, vincoli e controllo sul traffico internet e i suoi contenuti.

Il DNS è un servizio tanto semplice quando fondamentale che molti di noi danno per scontato. Senza di esso navigare sul web sarebbe un’esperienza del tutto differente. Infatti, invece di digitare google.com nel browser, dovremmo scrivere uno dei tanti indirizzi IP della grande G, con conseguenze in termini di tempo e comodità che possiamo ben immaginare. Un servizio DNS che funziona male può rallentare la navigazione e i cambi di DNS di un sito possono provocare la ben nota e odiata scritta Page Not Found.

OpenDNS offre già un servizio di sicurezza, grazie a una lista aggiornata di hostname sospettati di phishing o di ospitare malware che vengono così analizzati ed eventualmente bloccati. La società, fondata nel 2005, è cresciuta tantissimo negli ultimi anni, tanto che il suo servizio risponde a 71 miliardi di richieste giornaliere. Si tratta solo del 2% del traffico DNS globale, ma è abbastanza per aiutare a prevenire molte campagne di cybercrime.

Il nuovo sistema di sicurezza è chiamato Natural Language Processing Rank (NLPRank) e mira a riconoscere parole, nomi, frasi o formule di un particolare sito per capire se questo sia sospetto o meno. Se per esempio NLPRank individua il sito g00gle.com, con gli zeri al posto delle lettere o, lo contrassegna come sito sospetto. Sembra strano, eppure molti criminali informatici seguono pattern molto prevedibili quando registrano domini da cui lanciare i loro attacchi. Questi domini fasulli utilizzano i nomi di vere compagnie per trarre in inganno gli utenti e ricorrono a formule come “Aggiornamento Java”, “Informazioni sul conto” e “Domande di sicurezza” per apparire legittimi.

NLPRank è ancora in fase di test per fare in modo che la quantità di falsi positivi sia la più bassa possibile

Come in ogni sistemi di sicurezza, anche con NLPRank c’è la possibilità che vengano segnati falsi positivi, ovvero che il sistema segnali come falsi o sospetti domini e siti che invece sono legittimi. Per evitare ciò, NLPrank controlla se un particolare dominio è ospitato sulla stessa rete utilizzata solitamente da quella compagnia, oltre a guardare la composizione HTML del dominio; se questa è diversa da quella della legittima compagnia, potrebbe trattarsi di un dominio fasullo.

Ecco perché NLPRank è ancora in fase di test per fare in modo che la quantità di falsi positivi sia la più bassa possibile. Il fatto però che il sistema abbia già individuato alcune campagne malware riconosciute come tali anche da altri strumenti di sicurezza è certamente positivo. Alcuni giorni fa Kaspersky Lab ha pubblicato un rapporto su un gruppo di criminali informatici che ha sottratto più di un miliardo di dollari dalle banche di 25 Paesi. Il gruppo di hacker si è infiltrato in queste banche dopo aver ottenuto le credenziali di accesso sfruttando un codice malevolo inserito in mail aperte e lette da alcuni impiegati.

Andrew Hay, direttore di ricerca sicurezza di OpenDNS, ha dichiarato che poco prima della pubblicazione di quel rapporto Kaspersky ha chiesto a OpenDNS se avesse informazioni sui domani associati agli attacchi. NLPRank stava già bloccando alcuni alcuni dei domini sospetti, anche se OpenDNS non conosceva ulteriori dettagli sugli attacchi.

In alcuni casi NLPRank potrebbe addirittura bloccare un dominio ancor prima che questo sia attivo. Infatti, dopo che i cybercriminali registrano un dominio, spesso lo visitano anche una sola volta giusto per assicurarsi che sia accessibile. Se questo dominio rimane dormiente per pochi giorni prima di essere utilizzato per un attacco, NLPrank può individuarlo ed eventualmente bloccarlo.