Dark Web – co słychać w tej sieci

Do czego jest wykorzystywany Dark Web i jakie są wnioski z aktualnych analiz szkodliwej zawartości tej sieci prowadzonych przez specjalistów bezpieczeństwa z różnych firm? Mimo często pojawiających się złych skojarzeń, sieć ta nie została stworzona przez cyberprzestępców.

Dark Web – co słychać w tej sieci

Fot. Nahel Abdul Hadi, Unsplash

Dark Web (Dark Net ) to część internetu – sieć serwerów i stron internetowych, do których dostęp wymaga włączenia odpowiedniej technologii szyfrowania. W praktyce jest to taka sama technologia, jaką powszechnie wykorzystuje się do ochrony haseł podczas logowania do stron bankowych lub innych, np. serwisów Gmail i Facebook.

Dark Web pojawił się w 2000 r., a więc ma już ponad 21 lat i nic nie wskazuje na to, że zostanie wyeliminowany z rynku. Światowe organizacje takie jak OZN, a także amerykańska EFF (Electronic Frontier Foundation) oraz instytucje rządowe i niektóre duże firmy podkreślają, że możliwość szyfrowania tworzonych i przesyłanych informacji jest podstawowym prawem człowieka.

Zobacz również:

  • Haker z darknetu - ile kosztuje jego zatrudnienie? To jak szukanie freelancera
  • Darknet na celowniku organów ścigania
  • Branża finansowa na froncie cyberwalki

Zaszyfrowany internet ukrywający dane jego użytkowników zapewnia im anonimowość i bezpieczeństwo. Jest wykorzystywany przez dziennikarzy lub dysydentów z różnych krajów, którzy chcą uniknąć prześladowań przez organy ścigania wrogich im rządów.

ProPublica, szanowana organizacja prowadząca śledztwa informacyjne, ma witrynę Dark Web, która pomaga jej bezpiecznie komunikować się ze źródłami. Biuro Narodów Zjednoczonych ds. Narkotyków i Przestępczości monitoruje Dark Web i udostępnia dane opinii publicznej oraz organizacjom policyjnym. Nawet Facebook, największa sieć społecznościowa na świecie, ma swoją stronę Dark Web, z której miesięcznie korzysta ponad milion użytkowników.

Ale możliwość zachowania anonimowości przyciągnęła uwagę przestępców i cyberprzestępców. Dark Web jest wykorzystywany do sprzedaży narkotyków, broni, pornografii i innych towarów, które nie są dopuszczone do legalnego obrotu, a także stosów wrażliwych danych konsumentów oraz firm i korporacji wykradzionych w internecie. Dostępna jest też szeroka paleta szkodliwych usług i oprogramowania umożliwiającego lub znacznie ułatwiającego przeprowadzanie cyberprzestępczych ataków. Z Dark Web korzystają też grupy terrorystyczne i różnego rodzaju przestępczość zorganizowana.

Jak skorzystać z zaszyfrowanej części internetu

Najlepszym sposobem na uzyskanie dostępu do Dark Web jest użycie systemu Tor, czyli protokołu open source i zestawu wtyczek zbudowanych na bazie przeglądarki internetowej Firefox, które pozwalają anonimizować źródło i cel ruchu internetowego, przepuszczając zaszyfrowany adres IP komputera użytkownika przez sieć serwerów korzystających z podobnie zaszyfrowanych adresów. Dla dodatkowego bezpieczeństwa zaawansowani użytkownicy używają również specjalnych, chroniących anonimowość systemów operacyjnych, takich jak Tails (specjalna dystrybucja Linuksa.

Odpowiednie protokoły i narzędzia są opracowywane w ramach projektu Tor przez społeczność skupioną w organizacji open source Tor Project. Warto jednak zauważyć, że Tor nie daje pełnej gwarancji zachowania prywatności. Przedstawiciele Tor Project ostrzegają użytkowników, by nie oczekiwali pełnej prywatności end-to-end podczas korzystania z sieci. Podobnie jak klasyczny internet, do którego miliardy ludzi mają dostęp każdego dnia z urządzeń mobilnych i stacjonarnych, Dark Web oferuje sieć stron internetowych, forów i narzędzi komunikacyjnych, takich jak poczta elektroniczna.

Sieć Dark Web jest stosunkowo niewielka. Całkowita populacja witryn liczy się w setkach tysięcy. Strony często znikają lub są wykrywane i usuwane z serwerów za naruszanie prawa. Eksperci ds. bezpieczeństwa szacują, że w danym momencie aktywnych jest najczęściej 10–100 tys. stron, podczas gdy w otwartym internecie jest ich obecnie prawie 2 mld.

Ciemna strona Dark Web

Wykorzystywana przez cyberprzestępców część Dark Web to zestaw stron działających na typowych zasadach biznesowych. Oferują kompletne gotowe produkty (oprogramowanie umożliwiające realizację różnego rodzaju ataków), podstawowe narzędzia, które wymają konfiguracji i modyfikacji zgodnej z wymaganiami ich użytkownika, a także zestawy zawierające wrażliwe dane osób indywidualnych lub firm wykradzione w sieci.

Warto zwrócić szczególną uwagę na usługi realizowane na indywidualne zlecenie. Ich zestaw jest bardzo szeroki i obejmuje ataki zarówno na konsumentów, jak i firmy. W Dark Webie można m.in. zamówić atak osobisty polegający na wykradzeniu danych dotyczących tożsamości konkretnej osoby, numerów karty kredytowej, danych umożliwiających dostęp do konta bankowego, poczty elektronicznej lub innych serwisów internetowych, w tym kont mediów społecznosciowych. Można też zamówić usługę „zemsty” polegającą np. na tym, że wskazana ofiara staje się nieświadomie klientem nabywającym pornografie dziecięcą. Natomiast uczniowie i studenci są w stanie poprawić swoje oceny, zamawiając usługę włamania do systemu szkolnego lub uniwersyteckiego w celu modyfikacji zapisanych w nim danych. Wśród oferowanych w Dark Web usług nie brakuje również ofert hakowania stron internetowych, włącznie z wykradaniem baz danych i danych administracyjnych, a także włamań do komputerów lub smartfonów niezależnie od systemu opracyjnego zainstalowanego w urządzeniu (Windows, macOS, Linux, Android, iOS itd.).

Korzystając z ofert dostępnych w sieci Dark Web, można też zamówić atak DDoS (Distributed Denial-of-Service) na określoną przez klienta firmę. Cena takiej usługi zależy od wymaganego czasu trwania i natężenia ataku oraz oczywiście poziomu zabezpieczeń przed DDoS wdrożonego w systemie ofiary. Choć paleta cyberprzestępczych produktów i usług może wyglądać przerażająco, to większość firm zajmujących się bezpieczeństwem, które analizują informacje znajdujące się w Dark Web, podkreśla, że nie należy wyolbrzymiać rozmiarów i zagrożeń stwarzanych przez zaszyfrowany internet.

Dark Web to ważne źródło informacji o zagrożeniach

Wykorzystanie Dark Web przez cyberprzestępców ułatwia rozprzestrzenianie się zagrożeń, ale i przeciwdziałanie zagrożeniom. Dla analityków zajmujących się bezpieczeństwem jest ważnym źródłem informacji, które pozwalają na odpowiednie reagowanie na incydenty oraz przystosowywanie oprogramowania i systemów IT do zmieniających się zagrożeń.

Na podstawie analizy danych z obserwacji aktywności cyberprzestępców w Dark Web modyfikuje się plany rozwoju narzędzi zabezpieczających, systemów wykorzystujących mechanizmy sztucznej inteligencji i uczenia maszynowego. Przygotowywane i publikowane są również raporty o przewidywanych trendach dotyczących zagrożeń bezpieczeństwa systemów IT. Można wymienić wiele przykładów publikacji prezentujących konkretne, bardziej lub mniej szczegółowe informacje na temat, jakie produkty lub usługi są dostępne w Dark Web i ile kosztują.

Oto wybrane przykłady najnowszych raportów:

Firma Flashpoint opublikowała raport „Pricing Analisys of Goods in Cybercrime Communities”, w którym przeanalizowano ceny niektórych usług oferowanych w Dark Web. Można w nim znaleźć informacje, ile kosztują CAV (Counter Anti-Virus), Cryptor (ukrywanie wirusa przed wykryciem przez firewall i podobne narzędzia), usługi prania pieniędzy lub ich transferu (również realnej gotówki) lub tzw. Escrow, czyli pośrednictwo między kupującym a sprzedającym towary, dzięki którermu nie muszą się oni bezpośrednio kontaktować.

W najnowszym, opublikowanym w październiku „Digital Defense Report” analitycy Microsoft przedstawili aktualną analizę stanu bezpieczeństwa sieci oraz systemów IT, w tym także ceny narzędzi i usług dostępnych w Dark Web. Prezentowana jest w nim szeroka analiza opłat za dane i usługi oferowane w Dark Web. Między innymi żądanych za przeprowadzenie ataków spearphishingowych, udostępnienie zestawów narzędzi umożliwiających ataki ransomware, a także ceny danych pozwalających na uwierzytelnianie na różnego rodzaju kontach.

Raport „The cost of hiring a hacker on the dark web” został z kolei przygotowany przez firmę Comparitech. Można w znaleźć m.in. ceny usług przeprowadzania ataków DDoS.

Analizę cen na usługi kradzieży tożsamości i innych wrażliwych danych w 2020 r. przedstawiła organizacja Review.org w publikacji „Identity Theft Report: The Cost of Your Identity on the Dark Web”. Prezentowane tam dane koncentrują się na analizie rynku amerykańskiego i brytyjskiego. Raport został opracowany przy współpracy z FBI oraz firmą TOP10VPN.

W dokumencie „2021 Where's Your Data? Experiment Report” firma Bitglass przedstawiła, w jaki sposób skradzione wrażliwe dane trafiają i rozprzestrzeniają się w Dark Web, a także porady, co można zrobić, aby lepiej chronić siebie i swoją firmę. Informacje na ten temat zostały uzyskane w wyniku przeprowadzenia aktywnego eksperymentu. Firma utworzyła zestaw fałszywych nazw użytkowników kont, e-maili i haseł, które rzekomo zostały naruszone w wyniku wycieku danych, i zamieściła w Dark Web linki do plików zawierających te informacje. Pliki zostały oznaczone przy wykorzystaniu technologii znaków wodnych, co pozwoliło na śledzenie ich przepływu i sposobu, w jaki zostały wykorzystane.

Jak ograniczyć ryzyko ataku?

Podstawowe zasady pozwalające na ograniczenie ryzyka ataków i wycieku danych w firmach według firmy Bitglass

1. Wdrożenie sieci opartej na zasadach Zero Trust.

2. Zapewnienie kompleksowej ochrony obejmującej wszystkie urządzenia bez względu na ich lokalizację, a nie tylko aktywne w wewnętrznej sieci korporacyjnej.

3. Wdrożenie mechanizmów śledzenia lokalizacji i dostępu do danych oraz poświadczeń prezentowanych przez użytkowników.

4. Wprowadzenie szkoleń i innych działań edukacyjnych dotyczących dobrych praktyk w zakresie cyberbezpieczeństwa.

5. Wdrożenie mechanizmów blokowania prób logowania i dostępu do aplikacji SaaS za pomocą rozwiązań takich jak CASB (Cloud Access Security Broker), co pozwala na zablokowanie aktywności pochodzącej z nieznanych lub podejrzanych lokalizacji.

6. Stworzenie strategii bezpieczeństwa niezależnej od systemu operacyjnego.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200