Darknet 101: En introduktion til de mørkeste steder på nettet

I min sidste blog talte jeg lidt om de generelle principper for markedet for cyberangreb. I dag vil vi se nærmere på Darknet. Der er så meget snak i disse dage om Darknet. Det er stof til kriminalromaner – et arnested for kriminelle aktiviteter, hvor alt kan købes og sælges.

Selv om det er sandt, giver Darknet også et anonymiserende lag til journalister og aktivister rundt om i verden, der kæmper for informationsfrihed og privatlivets fred. Det er ofte et sted, hvor de sikkert og anonymt kan kommunikere med deres kontakter.

Men først, hvad er Darknet egentlig?

• Darknet – Et Darknet er et overlay-netværk, der kun kan tilgås med specifik software, konfigurationer eller autorisation, ofte ved hjælp af ikke-standardiserede kommunikationsprotokoller og porte.
• Dark web – Dark web er indhold, der findes på Darknet, overlay-netværk, som bruger det offentlige internet, men som kræver specifik software, konfigurationer eller autorisation for at få adgang.
• Deep web – Deep web er dele af World Wide Web, hvis indhold af en eller anden grund ikke indekseres af standard-søgemaskiner.
• Clearnet – Clearnet er et udtryk, der typisk henviser til det ukrypterede eller ikke-darknet. Dette traditionelle World Wide Web har en relativt lav anonymitet, idet de fleste websteder rutinemæssigt identificerer brugerne ved hjælp af deres IP-adresse.

For at gøre det klart, at Darknet er et farligt sted, hvor der foregår ulovlige eller underjordiske aktiviteter, som man kan finde, hvis man leder efter dem. En af de mest fremherskende funktioner, der findes på Darknet, er de digitale markedspladser, hvor forskellige typer varer og digitale genstande købes og sælges hovedsageligt for bitcoin og andre kryptovalutaer. I dag ser vi en række voksende markedspladser, der findes på både Clearnet og Darknet. Disse websteder sælger næsten alt, hvad man kan tænke sig, og er ofte en one stop shop for potentielle kriminelle.

Varer, der findes på markedspladsen, omfatter:

• Software/Malware
• Sikkerhed/Hosting
• Falskmøntneri
• Drugs
• Våben

Figur: DDoS-tjeneste 24 timer i døgnet

Figur: DoS 0-day exploit for Telegram

Hvordan kommer jeg dertil herfra?

Folk tror ofte, at det er en teknisk og kompliceret opgave at få adgang til Darknet. I virkeligheden er det blevet meget brugervenligt at få adgang til Darknet i løbet af de sidste mange år. Både I2P og Tor tilbyder god dokumentation til nybegyndere, og der er masser på fora og tutorials derude til at hjælpe med at uddanne dem, der ønsker at lære mere om netværkene. Den eneste del af Darknet, der faktisk kræver et medlemskab eller en invitation til at deltage, er visse markedspladser, der ønsker at kontrollere, hvem der kan se og få adgang til de tjenester, de tilbyder.

Når man får adgang til Darknet, har man mange muligheder at vælge imellem. To muligheder omfatter Tor, The Onion Router, og I2P, The Invisible Internet Project. Hver har deres egne fordele og ulemper, og valget til brug bør baseres på brugerens intentioner.

Tor er en anonym internetproxy, der leder trafikken gennem et verdensomspændende frivilligt netværk af tusindvis af relæer. Tor indpakker meddelelser i krypterede lag og sender dem gennem et tovejs kredsløb af relæer gennem Tor-netværket. Tor tilbyder også et centralt bibliotek til at administrere visningen af netværket.

Tor-projektet tilbyder dokumentation på begynderniveau til sine nye brugere og er let at bruge. Tor er i årenes løb blevet meget populær hos den almindelige bruger. Tor Browser Bundle har gjort det meget enkelt for den almindelige bruger at oprette forbindelse til Tor. Tor har modtaget en stor mængde akademisk gennemgang i årenes løb og er et meget velfinansieret projekt. Et problem, som Tor stadigvæk har, er tilliden til udgangsknudepunkterne. Angribere kan oprette ondsindede exit-noder eller udspionere den trafik, der kommer ud af netværket. Den bedste anvendelse af Tor er til anonym out proxing til internettet.

I2p er et anonymt peer-to-peer-netværksoverlay, der fokuserer på interne tjenester. Det giver brugerne mulighed for at sende data mellem computere, der kører I2P, med end-to-end-kryptering. I2P anvender unidirektionelle tunneler og lagdelt kryptering i modsætning til Tor-tunneler i to retninger.

I2P er ikke en særlig kendt tjeneste i forhold til Tor. Den har fået begrænset akademisk gennemgang, men indeholder god dokumentation for alle dens brugere. Et problem vedrørende I2P er det begrænsede antal out proxies til internettet. Den bedste anvendelse af i2P er til peer-to-peer-fildeling.

Accessing some of these market places on the Darknet can be a challenge if you don’t know what you are looking for. Mange gange kan du finde lister over skjulte tjenester eller .onion-links på Clearnet-websteder som Reddit og DeepDotWeb. TheHiddenWiki.org er også et godt sted at begynde at lede efter skjulte tjenester og markedspladser sammen med DNstats.net. DNstats giver opdaterede oplysninger om den aktuelle status for visse markedspladser sammen med nyheder om nye websteder, efterhånden som de bliver tilgængelige.

Darknet-markedspladser omfatter:

• AlphaBay
• Valhalla
• Dream
• Hansa
• The Real Deal
• DHL
• Outlaw

Figure: DNstats, en Darknet-statusside

Der findes også et par søgemaskiner, der kan hjælpe dig med at finde det, du leder efter på Darknet. To populære søgemaskiner på Darknet er Grams, http://grams7enufi7jmdl.onion/, som er en Google-lignende efterligning, og Torch, http://xmh57jrzrnw6insl.onion/. Begge disse websteder giver dig mulighed for at søge efter indhold på markedspladserne og andre skjulte tjenester, der findes på Darknet.

Udforskning af de mørke markeder:

Disse markeder er ikke ligefrem specielle eller unikke, men de er vokset i popularitet efter Silk Roads nedtagning. Nogle markeder kan også findes på både Darknet og Clearnet. Sider som 0day today, hackfora, TorCrds, Hell og andre sælger lignende varer, som findes på Darknet, og de handler næsten altid også i bitcoin. Du kan også normalt finde nogle af de samme tjenester, der er tilgængelige på Darknet, på en række hackerfora også.

Hacker Forums

• V3rmillion
• Raid Forums
• GreySec
• RealForums
• Evilzone

Figure: Torcrds.cc, et websted, der sælger stjålne kreditkort på Clearnet

Figur: HackForums-brugere, der sælger SSDP NTP- og DNS-liste til forstærkede angreb

De fleste sælgere handler normalt i Bitcoin eller andre typer af kryptovalutaer. På mange af siderne skal sælgerne betale en eller anden form for kaution for at få lov til at sælge varer eller tjenester på siden. Disse obligationer kan koste et sted mellem 0,1 og 1 BTC. Nogle af disse websteder er også lukket for offentligheden og kræver en henvisning for at blive medlem af markedspladsen.

Nogle af de nyeste markedspladser i år omfatter LEO Market, TheDetoxMarket og Apple Market. Sidste år var der omkring et dusin nye steder, der dukkede op. Nogle af disse websteder holder ikke længe på Darknet, da de ofte bliver hacket eller taget offline af deres konkurrenter. Væksten i angrebsmarkedspladsen og udnyttelsen af et anonymiserende netværk som Darknet vil fortsætte med at vokse i de næste mange år, da indgangsniveauet for hackere bliver ved med at falde.

I den næste blog vil jeg tale om, hvad en angriber kan købe på de underjordiske markedspladser, og hvad den gængse pris er for ting som DDoS, Ransomware og meget mere. Vi vil se på nogle af de værktøjer og tjenester, der er tilgængelige for potentielle angribere, sammen med hvordan transaktionerne fungerer på markedspladsen.