темный или все же серый интернет?
Даркнет: темный или все же серый интернет?
Securitymedia.org
О «темной стороне интернета» существует множество стереотипов. Самый распространенный – это представление о «темной стороне» как о пристанище наркоторговцев, психопатов и террористов, в котором они анонимны и неуловимы.
Отчасти это действительно так – в даркнете можно встретить множество сайтов, которые эксплуатируют те или иные девиации. Есть и целые маркетплейсы нелегальных товаров. Но все это – только один, довольно несущественный сегмент «темного интернета».
В этой статье рассмотрены основные особенности Даркнета, его содержание и принципы работы. Действительно ли «темный веб» такой темный, и так ли он анонимен на самом деле.
Что такое Darknet
Darknet – это частная сеть, построенная на связи между доверенными участниками (пирами).
Еще одно распространенное заблуждение – это отождествление понятий Darknet и Deepweb. Дипвеб – это «глубокая сеть», то есть совокупность всех неиндексируемых сайтов.
Получить доступ к даркнет-сети можно с помощью специальных браузеров, ориентированных на работу с этим сегментом. Наибольшей популярностью пользуются Tor и I2P. Они используют несколько слоев шифрования и позиционируются как полностью анонимные.
Анонимность в даркнете
Вопрос приватности в интернете чувствителен для большинства пользователей. Многие позиционируют Даркнет как абсолютно анонимное пространство, где можно делать все что угодно, говорить что угодно, и никто не узнает. И в чистой теории это можно назвать правдой, если закрыть глаза на массу факторов, среди которых можно выделить три базовых:
- Неоднородность.
У даркнета нет единого стандарта, которого придерживаются все сайты. Как и нет гарантий, что в результате серфа пользователь не «поймает» вредоносное ПО. - Огромное количество участников. Если проводить аналогию, то даркнет – это как метро в час-пик. Огромное количество взаимодействующих пользователей, которые анонимны в совокупности и совсем не анонимны при предметном рассмотрении специалистом.
- Потребность в дополнительных методах защиты. Tor обеспечивает высокий уровень защиты, но высокий – не значит абсолютный.
У даркнета нет единого стандарта, которого придерживаются все сайты. Как и нет гарантий, что в результате серфа пользователь не «поймает» вредоносное ПО.Ситуацию с даркнетом хорошо описывает старый анекдот про Неуловимого Джо, который остается неуловимым только потому что его никто никогда не искал.
Антон КузьминРуководитель Центра предотвращения киберугроз CyberART, ГК Innostage
Даркнет не является таким анонимным, как может показаться. Это связано с последними изменениями в законодательстве РФ.
Кроме этого, провайдер обязан быть подключен к СОРМ (т.е. система оперативно-розыскных мероприятий), необходимого для проведения законного перехвата трафика. При использовании VPN или браузера Tor, системы анализа видят трафик, отправленный на определенный адрес или сеть адресов, которые принадлежат конкретному VPN-сервису или сервер Tor.
Современным средствам анализа трафика не составит труда сопоставить объем трафика и его время с трафиком любого сервера, тем самым обнаружить совершенные действия в сети.
Участники, в свою очередь, сохраняют анонимность благодаря организации работы площадок, которые не хранят логи, не отвечают на запросы правоохранительных органов, усложняют собственную инфраструктуру из соображений конспирации и осторожности пользователей, которые включают VPN, не указывают личные данные и т.
Так, например, провайдеры обязаны хранить и анализировать трафик пользователей. Трафик хранят, анализируют и классифицируют в соответствии с «законом Яровой». При посещении сайта происходит передача информации об IP-адресе, имени домена, объема трафика и времени подключения. Если передача данных происходит через незащищенный протокол HTTP, то открывается доступ не только к истории запросов, но и к логинам с паролями.
п.
Действительно высокий уровень анонимности в данный момент – это привилегия, для обладания которой нужно потратить огромное количество ресурсов. В первую очередь, придется потратить время на приобретение целого ряда компетенций и воспитания внутренней культуры.
Что есть в дарк-интернете
Технически, даркнет мало чем отличается от «белого» интернета: те же маркетплейсы, сайты-визитки, блоги, форумы и другие привычные сайты. Весомое отличие – в содержании этих страниц. Как правило, эти материалы носят общественно порицаемый или уголовно наказуемый характер.
Если говорить в контексте информационной безопасности, то даркнет – это рынок цифровых услуг, только незаконных. К ним можно отнести:
- «Пробивы». Получение информации о человеке из государственных или иных баз данных.
- Взлом. От аккаунта в социальной сети до панели администратора сайта или рабочей учетной записи.
- Торговля базами данных. Огромное количество локальных утечек даже неизвестны компании, которая потеряла данные.
- Условно легальные. Например, поиск сотрудников для того или иного рода деятельности.
И огромное количество других услуг разной степени легальности. Вместе с тем, в даркнете можно встретить вполне безобидные страницы и даже развлекательные проекты. Например, огромную популярность получили «Посылки из даркнета». На таких сайтах можно было приобрести коробку с неизвестным содержимым на разные суммы. В некоторых случаях «коробка» состояла из целого квеста, с поиском по координатам, хождением по заброшенным зданиям и тд. В результате – « зловещий» набор из пластиковой имитации человеческих зубов, противогазов, вымазанных в краске лезвий и флешек с «фотожабами».
Итоги
Для анонимности мало скачать Tor и вбить в браузере «darknet.org». На конфиденциальность пользователя влияет целый ряд факторов, львиная доля из которых не зависят как от самого пользователя.
Расположенная в даркнете информация может быть полезна исследователям тех или иных направлений, но для неподготовленного человека скорее опасна. Запрет многих материалов далеко не всегда имеет политический мотив, в большинстве своем они просто шокирующие или имеют манипулятивный характер.
Использование даркнета как площадки с нулевой цензурой возможно, однако не защитит человека от банальных сетевых троллей, которые широко известны еще со времен первых имиджборд. В условиях абсолютного отсутствия ответственности и условной анонимности никакое обсуждение социально-значимых тем просто невозможно.
Можно сделать вывод о том, что даркнет неоднороден – в сети есть как темные участки с жутким контентом, так и практически легальные страницы с безобидным юмором или обсуждением тех или иных тем.
Почему опасно игнорировать вызовы «темного» интернета
Темный интернет, известный также как «глубокая паутина» или «dark web» — зловещее пространство, где планируются самые опасные кибер-атаки, а конфиденциальные данные о компаниях продаются за биткоины.
Но как узнать, что там происходит и защитить свой бизнес от акул из «темных глубин»?
Полагая, что дарк веб — цитадель кровавых преступников, промышляющих продажей наркотиков, работорговлей, наймом киллеров и прочими зловещими услугами, то вы заблуждаетесь. Не все так страшно. Но интеллектуальная собственность вашей компании, email-базы или данные кредитных карт клиентов вполне могут продаваться там без вашего ведома.
Структура «глубокой паутины»
Темный интернет — это гигантская кроличья нора. По оценкам, дарк веб в 500 раз больше, чем «легальный» интернет, которым мы пользуемся ежедневно. Эта сеть включает неиндексируемые сайты, защищенные паролями (подобные онлайн-банкингу и сайтам с платным доступом). В темной сети люди используют шифрование, чтобы скрыть свое местонахождение, идентичность и подробную информацию о посещенных сайтах. Браузер Tor — наиболее распространенный способ доступа к «невидимому» интернету. Бесплатный и легкий в установке, Tor защищает конфиденциальность пользователя, перемещая трафик по случайной, распределенной сети серверов, запущенных добровольцами со всего мира.
Хотя глубокая паутина не полностью населена «плохими парнями», она заработала репутацию виртуального гетто, цифрового «черного рынка», где можно купить или продать почти что угодно.
Преступники нашего времени более организованы и специализируются на новых типах атак. Поэтому предприятиям не стоит игнорировать дарк веб, разрабатывая стратегию компьютерной безопасности — по словам Орели Перес (Aurelie Perez), старшего консультанта по безопасности Orange Cyberdefense. «Глубокая паутина — удобное место для киберпреступников. Она предлагает все, что нужно для быстрых атак», говорит она.
Всего пять лет назад злоумышленники получили контроль над всей цепочкой создания атаки. Им нужно определить цель, получить инсайдерскую информацию, найти уязвимости, разработать правильную тактику удара и отмыть полученные деньги. Долгий, сложный и дорогостоящий процесс «Большая угроза современности в том, что экосистема создала темную паутину. Это изменит правила игры в кибер-экономике», объясняет Перес.
«Киберпреступники сегодня специализируются на одном сервисе и продают его на более широкий рынок. Эксперты могут связываться и действовать быстрее. Поскольку большинство покупок по моделям pay-per-success или pay-per-install приходится на основные тарифы, это также удешевляет разработку атаки. А если одна тактика не сработает, преступники начнут экспериментировать с другими. Имея технику, приносящую результаты, они станут повторно использовать и перепродавать ее».
Как работает темный веб?
В этом теневом мире преступники должны быстро сбывать с рук незаконные активы. Поэтому, как и в любом другом бизнесе, они нуждаются в рекламе. Такие сайты, как Pastebin (из «светлой» паутины) позволяют разместить анонимный текст на определенный период времени. Именно здесь фигурировал взломанный email-аккаунт председателя и CEO Sony Pictures Entertainment Майкла Линтона (Michael Lynton).
Существуют также виртуальные магазины по торговле незаконными данными.
Более 200 миллионов аккаунтов Yahoo были размещены для продажи на площадке дарк веба The Real Deal в прошлом году. Сумма сделки составляла 3 биткоина ($1824). По данным Института критики технологической инфраструктуры (Institute for Critical Infrastructure Technology, ICIT), на этот ресурс, вместе с Dream Market и AlphaBay, «сливаются» краденные персональные данные, включая медицинскую информацию. Tesco, O2, Target, Home Depot — только несколько брендов, пострадавших от такого рода преступлений в последние годы.
Иногда контент на продажу настолько «горячий», что уходит за несколько минут. Скорость преступных сделок, размер и защищенность дарк веба, равно как отсутствие коммерческих поисковых инструментов и нехватка экспертов, затрудняет компаниям определение внутренних угроз от темной паутины. Должный уровень безопасности требует работы экспертных групп, которые отслеживают происходящее в режиме 24/7.
Чтобы следить за активностью в дарк вебе, нужны межнациональные команды «кибер-детективов».
Операционные центры кибербезопасности (Cyber Security Operations Centers, CyberSOCs) нанимают «этичных» хакеров, носителей слэнга, используемого преступниками. Незаконную деятельность часто сложно идентифицировать на просторах сети. А «этичные» хакеры используют свои знания для программирования специализированных инструментов «больших данных» и искусственного интеллекта, сканирующих темный веб и анализирующих результаты. Пример «маскарада» киберпреступников — они идентифицируют данные, относящиеся к конкретному предприятию, и выстраивают доверие проведением фальшивых сделок, чтобы продемонстрировать свою активность. А наработки «этичных» хакеров позволяют идентифицировать таких мошенников.
Как защититься от угроз глубокой паутины?
Проактивная позиция и сбор оперативной информации позволяет компаниям создать систему раннего оповещения о новых возможных атаках, которые еще только разрабатываются. Команды наблюдения помогут выяснить, обсуждается ли сейчас ваша организация в сомнительных кругах.
Они сообщат о потенциальных тактиках киберпреступников, чтобы вы заблаговременно укрепили свою защиту. «Это игра в кошки-мышки», объясняет Перес. «Речь о том, чтобы непрерывно приспосабливаться к тактикам плохих парней и обходить их».
В то же время, наблюдения открывают пути к противодействию угрозам. Если анализ показал, что пароли компании готовятся к продаже в темном вебе, то владельцы могут немедленно изменить их и скорректировать политику безопасности.
Помните, что не все атаки приходят извне. Инсайдерские угрозы могут исходить от неблагонадежных сотрудников, собирающих информацию, чтобы сбыть ее в темных сетях или нанести вред вашей репутации.
«Большинство компаний по-прежнему смотрит внутрь, говоря о безопасности. Бизнесы обеспокоены сетями и хакерами, проникающими в девайсы и данные», объясняет Перес. «Но стоит взглянуть вовне, изучить, не выложены ли уже на продажу IP, данные сотрудников и клиентов. Результаты могут удивить многие компании».
Криминальный рынок в темной сети вырос феноменально быстро. И возможно, ваша организация уже на прицеле хакеров.
Удаление темной сети делает хорошие заголовки, мало что делает для безопасности
В центре внимания ОГО: Темная сеть
Закрытие торговых площадок даркнета выглядит и ощущается хорошо, но это не привело к значительному снижению риска. Хуже того, это подталкивает киберпреступников к каналам, которые сложнее отследить.
Дэн Суинхоу
Редактор, ОГО |
Пеэтер Виисимаа / Zager / Getty ImagesВ центре внимания ОГО: даркнет
- Что такое темная сеть? Как получить к нему доступ…
- 10 вещей, которые вы должны знать о темноте…
- Быстро развивающаяся гиг-экономика даркнета — это. ..
- Состояние даркнета: выводы…
- Ваши данные продаются в темноте…
..Темные веб-рынки по своей природе нестабильны. Регулярные DDoS-атаки со стороны конкурентов, блокировка со стороны правоохранительных органов, а также различные виды мошенничества означают, что рынки приходят и уходят в быстром темпе.
По данным поставщика информации об угрозах Recorded Future, существует около 8 400 действующих доменов Tor, а также около 100 рынков и форумов. После закрытия Silk Road в 2013 году возникла и исчезла регулярная карусель торговых площадок даркнета. В 2017 году AlphaBay и Hansa были ведущими рынками, но правоохранительные органы закрыли их в рамках операции под кодовым названием «Штык».
В 2019 году произошло множество крупных закрытий. Рынки, которые выросли, чтобы заполнить пробел, оставленный AlphaBay и Hansa, — Dream Market, Wall Street Market и Valhalla/Silkkitie — в последние месяцы закрылись.
Уолл-стрит и Валгалла были закрыты правоохранительными органами (операторы Уолл-стрит, как сообщается, пытались выйти, прежде чем их поймали), в то время как операторы Dream Market заявили, что он закрывается из-за того, что злоумышленники использовали уязвимость в Tor для неоднократного запуска DDoS-атак против сайта и требуя выкуп, чтобы остановить. В «официальном» заявлении о его закрытии говорилось, что рынок «передает свои услуги компании-партнеру», но пока не было ни одного партнера на замену.
Правоохранительные органы также закрыли Deep Dot Web, новостной сайт, посвященный темным веб-рынкам, после того, как обвинили его владельцев в отмывании денег и получении откатов с рынков, о которых они писали.
Несмотря на эти сбои, черный рынок незаконных товаров и услуг, включая хакерские инструменты, вредоносное ПО и информационные свалки, продолжает существовать. Nightmare, Empire и Darkmarket — это всего лишь три из многих рынков, перечисленных на сайтах мониторинга темного веб-рынка, и их будет больше.
«Я думаю, что общее влияние этих типов тейкдаунов заключается в том, что вы увидите образовавшийся вакуум, — говорит Джош Лефковиц, генеральный директор компании Flashpoint, занимающейся разведкой угроз. и увидеть возможность стать новой крупнейшей игрой в городе». — говорит Лефковиц.
«Оказывает ли это [закрытие рынка даркнета] существенное влияние с точки зрения снижения риска для предприятия? Я бы сказал нет. Если вы ребенок, который покупает нелегальные наркотики, ваша жизнь потенциально становится более сложной. Если вы хотите купить переупакованную библиотеку учетных данных, влияние на экосистему киберпреступности будет минимальным», — говорит Лефковиц. «Эта игра в кошки-мышки и различные формы и моды продолжаются годами, годами и годами. У вас есть высокомотивированные покупатели, у вас есть высокомотивированные продавцы, у вас есть глобальный рынок, объединяющий все эти различные компоненты».
Рынки в движении
В то время как торговые площадки даркнета будут продолжать существовать, многие преступники переходят «к предполагаемым «более безопасным» коммуникационным механизмам и экосистемам, другие [переходят] или продолжают переходить в чат-сервисы. ” Лефковиц говорит: В прошлом году отчет Digital Shadows о рынках киберпреступности после закрытия AlphaBay и Hansa выявил растущую тенденцию темных веб-сайтов, предлагающих пользователям присоединяться к группам в приложениях для обмена сообщениями, таких как конкурент WhatsApp Telegram или Discord, ориентированный на канал голосовой связи. и текстовое приложение, изначально разработанное для сообщества геймеров.
За шесть месяцев мониторинга Digital Shadows обнаружили более 5000 ссылок Telegram, размещенных на криминальных форумах и темных веб-сайтах (1667 были ссылками с приглашениями в новые группы), и 743 приглашения в Discord. Одним из примеров, упомянутых в отчете, был форум, посвященный инструменту заполнения учетных данных Sentry MBA, который был перенесен в Discord.
В другом отчете Checkpoint утверждалось, что Telegram стал «предпочтительным каналом киберпреступности» и наблюдал ряд каналов или групп, посвященных предложению украденных документов, хакерских инструментов и привлечению работодателей к инсайдерским атакам. «Популярность Telegram, Discord и других сервисов резко возросла, как и масштабы деятельности, происходящей в этих средах», — говорит Лефковиц. «Для любого человека гораздо проще просто создать новый канал и группу, чем если бы он пытался сделать это самостоятельно и получить критическую массу в рамках форума или экосистемы рынка».
Он добавляет, что наряду с мнением о том, что сервисы зашифрованного чата более безопасны, чем традиционные даркнеты, торговые площадки и форумы, мгновенная связь таких приложений почти в реальном времени и возможность обмениваться медиафайлами привлекают преступников. «Мы видим так много мошенников в Telegram, которые публикуют квитанции о мошеннических транзакциях, в которых они участвовали. Мы видим инсайдеров, которые пытаются найти партнеров, которые фотографируются в своей корпоративной униформе, чтобы подтвердить, кем они выдают себя».
Компания Sophos недавно опубликовала исследование, согласно которому субъекты, стоящие за банковским трояном Anubis, использовали Twitter и Telegram для получения адреса своего управляющего сервера и передачи инструкций. Эти приложения также становятся новым способом сброса информации. Исходный код и оперативная информация о связанной с Ираном APT-группе OilRig (также известной как APT34 и Helix Kitten) просочились через Telegram.
По словам аналитика Crowdstrike Митча Эдвардса, активность в основном переместилась в групповые сообщения QQ и WeChat, чтобы избежать цензуры и слежки.
Хотя это не новая тенденция — исследование, проведенное IntSights в 2017 году, выявило 30-кратное увеличение активности в даркнете на мобильных устройствах за предыдущие 12 месяцев, когда Discord, Telegram и WhatsApp использовались для «торговли украденными кредитные карты, учетные данные, вредоносное ПО, наркотики, а также для обмена методами и идеями взлома», — использование таких методов связи, похоже, растет.
Потеря видимости
Доктор Майкл Макгуайр, старший преподаватель криминологии Университета Суррея, называет эти каналы «невидимой сетью». В его последнем отчете о даркнете, опубликованном вместе с Bromium, 70% «поставщиков услуг» даркнета, с которыми общались его исследователи, приглашали их к общению или работали исключительно через частные или зашифрованные системы обмена сообщениями.
«Многие поставщики хотели общаться по более безопасным каналам, — говорит Макгуайр CSO. «Если судить по нашему опыту, даркнет почти становится чем-то вроде фасада домашнего магазина, где вы, возможно, устанавливаете первоначальную связь, возможно, смотрите в витрину и получаете представление о том, что там. Тогда вы сможете начать по-настоящему говорить [другими способами]. Иногда нас направляли по трем или четырем различным каналам связи».
Хотя темная сеть долгое время была местом, где злоумышленники ведут свой бизнес, она также предлагала видимое окно, через которое правоохранительные органы и предприятия могут отслеживать, что происходит на черном рынке. «У правоохранительных органов есть серьезные проблемы с тем, как они справляются с даркнетом», — говорит МакГуайр. «Они, как и многие другие люди, втянуты в шумиху вокруг этого, и им нужно что-то с этим делать. Я думаю, что на самом деле это довольно полезный инструмент кибербезопасности, и они немного упускают один трюк, потому что [правоохранительные органы] до сих пор не видят этого сдвига в характере киберпреступности от индивидуальных, спорадических, случайных действий к гораздо более взаимосвязанной экономике киберпреступности.
В любой экономике вы можете разрушить элементы этой экономики, но на самом деле вы не нарушите поток товаров и услуг».
Мониторинг темной сети позволяет предприятиям отслеживать, какие виды услуг и инструментов предлагаются, запрашивают ли злоумышленники какую-либо информацию или доступ к вашей компании, или отслеживать данные, касающиеся вашей компании, поставщиков или клиентов, если предлагается или сбрасывается в Интернете. Ряд стартапов теперь предлагают возможности сканирования темной сети, которые позволяют автоматически и масштабируемо отслеживать рынки темной сети, форумы и дампы на сайты, подобные Pastebin, которые не полагаются на отдельных лиц, просматривающих такие сайты.
Тем не менее, большее количество действий, выполняемых в приложениях для обмена сообщениями, означает, что такое автоматическое отслеживание становится более сложным, а людям становится сложнее получить доступ к закрытым группам. Правоохранительные органы и предприятия теряют эту видимость того, что происходит.
«Это не то же самое, что было два или три года назад, — говорит МакГуайр, — когда рынки реформируются довольно быстро. Я думаю, что переход к более безопасным, более скрытым формам связи беспокоит предприятия, потому что вы все еще можете получить то, что вы можете получить в списках темного веб-рынка».
Связанный:
- Киберпреступность
- Безопасность
Дэн Суинхо, британский редактор CSO Online
Copyright © 2019 IDG Communications, Inc.
7 горячих тенденций кибербезопасности (и 2 уходят в тень)
Даркнет | ПРОВОДНАЯ
Даркнет | WIREDПерейти к основному содержанию
История сохраненаЧтобы вернуться к этой статье, перейдите в раздел «Мой профиль» и выберите Просмотреть сохраненные истории.
Dark Web
SearchSearchKarma
мошенники выбирают других мошенников из миллионов долларов
org/Person»> Мэтт БерджессTrue Cybercrime
Охота на The Dark’s Beal Cybercrime
Охота на крупнейшего вора в законе темной паутины, часть 5: Takedown
Энди Гринберг
Настоящая киберпреступность
Охота на крупнейшего вора в законе темной паутины, часть 4: Лицом к лицу
Энди Гринберг
Неожиданные доходы
IRS конфискует
Еще один Биткойн-тайник хакера Silk Road на 3,36 миллиарда долларовЭнди Гринберг
Настоящая киберпреступность1
Andy Greenberg
True Cybercrime
The Hunt for the Dark Web’s Biggest Kingpin, Part 1: The Shadow
org/Person»> Andy GreenbergSecurity Roundup
The US Emergency Alert System Has Dangerous Flaws
Andrew Couts
Mixed Сумка
Дело о тумане биткойнов может подвергнуть отслеживанию криптовалюты судебное разбирательство
Лили Хэй Ньюман и Энди Гринберг
Возвращения
AlphaBay захватывает даркнет — снова
Энди Гринберг
Неожиданная удача
Конфискация Шелкового пути на 3 миллиарда долларов спишет долг Росса Ульбрихта Хэй Ньюман
Обновление системы
Великий парадокс криптовалюты
org/Person»> Гидеон ЛичфилдЭто ловушка!
Биткойн-крах, который уничтожил крупнейший в Интернете сайт жестокого обращения с детьми
Энди Гринберг
CASH OUT
Рынок России Hydra нарушает крипторимный банкомат
Энди Гринберг
Monero
The Doj’s 3,6 млрд. Долл.
Кончина рынка Белого дома потрясет темную паутину
Мохар Чаттерджи, Брауновский институт медиа-инноваций и проект MuckRock по документированию COVID-19
операция темный охотник
Облавы на наркотики в темной паутине привели к 150 арестам
