Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Organy ścigania w sieci Tor: Wpływ na mroczną stronę internetu

Tagi:

Niedawne zamknięcie czarnorynkowego serwisu SilkRoad 2.0 to jedynie przedsmak wydarzeń z ubiegłego tygodnia, które dotyczyły sieci Tor.

Społeczności związane z Torem, takie jak entuzjaści prywatności, ale także cyberprzestępcy (a jakże!), wyraziły zaniepokojenie w związku z globalną operacją organów ścigania wycelowaną w szereg nielegalnych serwisów działających w ramach tej sieci zapewniającej anonimowość.

Operacja Onymous, koordynowana przez jednostkę European Cybercrime Center (EC3) Europolu, FBI, Służby Imigracyjne i Celne USA (ICE), Departament Bezpieczeństwa Kraju USA (HSI) oraz Eurojust, zakończyła się 17 aresztowaniami producentów i administratorów odpowiadających za nielegalne sklepy online oraz zdjęciem ponad 410 ukrytych serwisów internetowych.

Oficjalne oświadczenie dotyczące Operacji Onymous jest dostępne na stronie Europolu.

A tak przedstawia się część listy usług działających w domenie .onion, które zostały zdjęte w ramach operacji: Alpaca, Black Market, Blue Sky, Bungee 54, CannabisUK, Cloud Nine, Dedope, Fake Real Plastic, FakeID, Farmer1, Fast Cash!, Flugsvamp, Golden Nugget, Hydra, Pablo Escobar Drugstore, Pandora, Pay Pal Center, Real Cards, Silk Road 2.0, Smokeables, Sol's Unified USD Counterfeit's, Super Note Counter, Tor Bazaar, Topix, The Green Machine, The Hidden Market oraz Zero Squad.

 darkweb_onymous_01_auto.jpg

Przykłady zlikwidowanych stron działających w domenie .onion

W tym samym czasie pojawiły się informacje o zatrzymaniu przez władze wielu węzłów sieci Tor:

W ciągu ostatnich kilku dni otrzymaliśmy i przeczytaliśmy raporty dotyczące zatrzymania kilku węzłów Tora przez przedstawicieli rządu. Nie wiemy, dlaczego systemy te zostały zlikwidowane, ani jakich metod dochodzeniowych użyto w tym celu. W szczególności, nie istnieją żadne raporty na temat zniknięcia trzech systemów Torservers.net.

Więcej na ten temat można przeczytać na blogu The Tor Blog: Thoughts and Concerns about Operation Onymous.

Obecny stan mrocznej strony internetu (tzw. Dark Web)

darkweb_onymous_02.jpg

Rzecz jasna, omawiana operacja dotknęła tylko wybranych serwisów działających w domenie .onion – wiele z nich ciągle działa. Obecnie liczba stron będących online w sieci Tor jest czterokrotnie większa niż liczba serwisów zdjętych przez organy ścigania.

Cyberprzestepczości, podobnie jak każdej innej formy nielegalnej aktywności, nie da się tak po prostu całkowicie zatrzymać. Zawsze gdy dojdzie do zatrzymania kilku tego typu serwisów, powstaje luka, która błyskawicznie wypełniana jest przez nowych przestępców wykorzystujących możliwość szybkiego zarobienia pieniędzy. Prawda jest taka, że zapotrzebowanie na tego typu usługi nigdy się nie kończy.

Poniższy wykres prezentuje liczbę nowych adresów .onion pojawiających się każdego dnia. Po operacji przeprowadzonej 7 listopada 2014 r. zauważyliśmy większy niż zwykle wzrost liczby nowych ukrytych serwisów. 

darkweb_onymous_03.png

Przeanalizowaliśmy także czas życia stron .onion, które zostały zdjęte w ubiegłym tygodniu. Średnio, większość z nich działała już od ponad 200 dni, jednak wiele z nich przekroczyło nawet 300-dniowy okres funkcjonowania – widać to na poniższym wykresie. Tylko niektóre serwisy były młode – działały przez mniej niż 2 miesiące. 

darkweb_onymous_04.jpg

Co to wszystko oznacza dla Tora i sieci Dark Web?

Najbardziej intrygujące pytanie zadawane przez media to: jakich zaawansowanych narzędzi trzeba użyć, by zamknąć ukrytą usługę online? Przecież – teoretycznie – gdy odwiedzasz taką ukrytą stronę, nie ma możliwości, by ktoś (Ty lub ktokolwiek inny) mógł określić fizyczną lokalizację serwera, na którym działa ta usługa. Jednak aby teoria ta była słuszna, muszą zostać spełnione trzy warunki:

  1. Ukryta usługa musi być odpowiednio skonfigurowana.
  2. Nie może być możliwości włamania się do serwera WWW (np. przy użyciu luk w zabezpieczeniach lub w wyniku błędów w konfiguracji).
  3. Sama usługa nie może zawierać błędów pozwalających na przeprowadzenie zdalnego ataku.

Jeżeli chociaż jeden z tych trzech warunków nie zostanie spełniony, osoba z odpowiednimi umiejętnościami może bez większych problemów włamać się do serwera i rozpocząć dalsze działania.

Każdy, kto choć w małym stopniu jest zaznajomiony ze stronami sieci Dark Web, wie, że wiele z nich charakteryzuje się niezwykle niedbałym kodem. Sam fakt, że fizyczna lokalizacja serwera jest ukrywana przez sieć Tor nie oznacza, że działająca na nim strona jest całkowicie kuloodporna. Ataki takie jak SQL injection zawsze będą możliwe, gdy kod strony jest najeżony błędami.

Pierwszy scenariusz skompromitowania ukrytego serwisu mógłby polegać właśnie na wykorzystaniu takiej marnie zakodowanej aplikacji. Po tym możliwe byłoby włamanie się do serwera, gdzie ukryta usługa jest przechowywana, uzyskanie informacji o fizycznej lokalizacji, a nawet zainstalowanie trojana pozwalającego na dalsze gromadzenie informacji.

Co ważne, nie ma potrzeby szukania błędów i luk w samym Torze – znacznie łatwiej jest znaleźć źle skonfigurowane usługi lub błędy w aplikacjach webowych. Ludzie kontrolujący nielegalne strony działające w ramach sieci Dark Web najczęściej polegają na możliwościach Tora w kwestii bezpieczeństwa, lecz to nigdy nie wyeliminuje błędów w aplikacjach osób trzecich. Sami administratorzy stojący za Dark Webem też nie są maszynami i mogą się mylić.

Innym możliwym scenariuszem jest zainfekowanie komputera osoby zarządzającej nielegalną stroną. Zainstalowany trojan szpiegujący może pozwolić na przejęcie kontroli i uzyskanie wielu innych informacji.

A wszystko to może być znacznie łatwiejsze niż mogłoby się wydawać – na przykład, jeżeli w ukrytej usłudze znaleziona zostanie luka, możliwe będzie podpięcie exploita do jej panelu administracyjnego. Po tym pozostanie poczekać, aż administrator uzyska dostęp do swojej strony, a gdy to się stanie, dojdzie do infekcji, co z kolei pozwoli na przeprowadzenie ataku ukierunkowanego.

Jeszcze jeden sposób mógłby polegać na infiltracji nielegalnego serwisu przez osobę, która udaje zwykłego klienta. Osoba ta mogłaby nawet kupić kilka usług, by zyskać reputację. Następnym krokiem byłoby nawiązanie kontaktu z pomocą techniczną usługi (np. w kwestii jakości produktu) i wykorzystanie socjotechniki lub nawet wysłanie ukierunkowanej wiadomości e-mail z exploitem lub innym szkodliwym programem. 

Jak widać, istnieje wiele sposobów przeniknięcia do ukrytej usługi i wcale nie wymaga to atakowania infrastruktury sieci Tor. Oczywiście, nie można także wykluczyć możliwości wykorzystania poważnej luki w zabezpieczeniach samego Tora – to zawsze jest możliwe.