Organy ścigania w sieci Tor i ich wypływ na mroczną stronę internetu

15 listopada, 2014

W ubiegłym tygodniu przeprowadzona została globalna akcja organów ścigania – operacja Onymous – skierowana przeciwko nielegalnym serwisom online działającym w ramach sieci Tor zapewniającej anonimowość w internecie. Społeczności związane z Torem wyraziły zaniepokojenie, że operacja ta wymagała użycia specjalistycznych narzędzi, które potencjalnie mogą zagrozić prywatności wszystkich entuzjastów anonimowości. Zdaniem ekspertów z Kaspersky Lab zadanie organów ścigania zostało ułatwione przez niedbałość osób stojących za serwisami online działającymi w ramach mrocznej strony internetu, czyli tzw. sieci Dark Web.

klp cyberprzestepca

Operacja Onymous, koordynowana przez jednostkę European Cybercrime Center (EC3) Europolu, FBI, Służby Imigracyjne i Celne USA (ICE), Departament Bezpieczeństwa Kraju USA (HSI) oraz Eurojust, zakończyła się 17 aresztowaniami producentów i administratorów odpowiadających za nielegalne sklepy online oraz zdjęciem ponad 410 ukrytych serwisów internetowych. Oficjalne oświadczenie dotyczące operacji jest dostępne na stronie Europolu.

Warto zwrócić uwagę, że operacja dotknęła tylko wybranych serwisów cyberprzestępczych działających w sieci Tor – wiele z nich ciągle działa. Obecnie liczba stron będących online w sieci Tor jest czterokrotnie większa niż liczba serwisów zdjętych przez organy ścigania. Z badań ekspertów z Kaspersky Lab wynika, że większość zamkniętych stron była aktywna od ponad 200 dni, a niektóre działały niemal od roku.

Jak mogło dojść do zdjęcia stron i jaki może być wpływ operacji Onymous na sieć Tor oraz Dark Web?

Entuzjaści anonimowości w Sieci wyrazili obawy, że w operacji Onymous wykorzystano wysoce zaawansowane metody pozwalające na włamywanie się do serwisów ukrytych w sieci Tor, co potencjalnie może być zagrożeniem dla prywatności wszystkich użytkowników. Przecież – teoretycznie – gdy użytkownik odwiedza taką ukrytą stronę, nie ma możliwości, by ktokolwiek mógł określić fizyczną lokalizację serwera, na którym działa usługa. Jednak aby teoria ta była słuszna, muszą zostać spełnione trzy warunki:

1.Ukryta usługa musi być odpowiednio skonfigurowana.
2. Nie może być możliwości włamania się do serwera WWW (np. przy użyciu luk w zabezpieczeniach lub w wyniku błędów w konfiguracji).
3. Sama usługa nie może zawierać błędów pozwalających na przeprowadzenie zdalnego ataku.

Jeżeli chociaż jeden z tych trzech warunków nie zostanie spełniony, osoba z odpowiednimi umiejętnościami może bez większych problemów włamać się do serwera i rozpocząć dalsze działania – niezależnie od tego, czy jest on ukryty w sieci Tor, czy nie. Badania ekspertów z Kaspersky Lab wykazują, że wiele stron działających w ramach cyberprzestępczej sieci Dark Web charakteryzuje się niezwykle niedbałym kodem, a sam fakt, że fizyczna lokalizacja serwera jest ukrywana przez sieć Tor, nie oznacza, że działająca na nim strona jest całkowicie „kuloodporna”. Czyżby zatem cyberprzestępcy padli ofiarą metod, które sami wykorzystują do atakowania użytkowników w internecie?

Pierwszy scenariusz skompromitowania ukrytego serwisu mógłby polegać właśnie na wykorzystaniu takiej słabo zakodowanej aplikacji. Po tym możliwe byłoby włamanie się do serwera, gdzie ukryta usługa jest przechowywana, uzyskanie informacji o fizycznej lokalizacji, a nawet zainstalowanie trojana pozwalającego na dalsze gromadzenie informacji.

Co ważne, nie ma potrzeby szukania błędów i luk w samym Torze – znacznie łatwiej jest znaleźć źle skonfigurowane usługi lub błędy w aplikacjach webowych. Ludzie kontrolujący nielegalne strony działające w ramach sieci Dark Web najczęściej polegają na możliwościach Tora w kwestii bezpieczeństwa, lecz to nigdy nie wyeliminuje błędów w aplikacjach osób trzecich. Ponadto, sami administratorzy cyberprzestępczych usług nie są maszynami i też mogą popełniać błędy.

Innym możliwym scenariuszem jest zainfekowanie komputera osoby zarządzającej nielegalną stroną. Zainstalowany trojan szpiegujący może pozwolić na przejęcie kontroli i uzyskanie wielu innych informacji. Może być znacznie łatwiejsze niż mogłoby się wydawać – na przykład, jeżeli w ukrytej usłudze znaleziona zostanie luka, możliwe będzie podpięcie trojana do jej panelu administracyjnego. Po tym pozostanie poczekać, aż administrator uzyska dostęp do swojej strony, a gdy to się stanie, dojdzie do infekcji, co z kolei pozwoli na przeprowadzenie ataku ukierunkowanego.

Jeszcze jeden sposób mógłby polegać na infiltracji nielegalnego serwisu przez osobę, która udaje zwykłego klienta. Osoba ta mogłaby nawet kupić kilka cyberprzestępczych usług, by zyskać reputację i zaufanie. Następnym krokiem byłoby nawiązanie kontaktu z pomocą techniczną usługi (np. w kwestii jakości produktu) i wykorzystanie socjotechniki lub nawet wysłanie ukierunkowanej wiadomości e-mail z ze szkodliwym programem.

„Jak widać, istnieje wiele sposobów przeniknięcia do ukrytej usługi i wcale nie wymaga to atakowania infrastruktury sieci Tor. Oczywiście, nie można także wykluczyć możliwości wykorzystania poważnej luki w zabezpieczeniach samego Tora – to zawsze jest możliwe” – skomentował Siergiej Lożkin, starszy badacz ds. bezpieczeństwa, Kaspersky Lab.
„Cyberprzestepczości, podobnie jak każdej innej formy nielegalnej aktywności, nie da się tak po prostu całkowicie zatrzymać. Zawsze gdy dojdzie do zatrzymania kilku tego typu serwisów, powstaje luka, która błyskawicznie wypełniana jest przez nowych przestępców wykorzystujących możliwość szybkiego zarobienia pieniędzy. Prawda jest taka, że zapotrzebowanie na tego typu usługi nigdy się nie kończy” – powiedział Stefan Tanase, starszy badacz ds. bezpieczeństwa, Kaspersky Lab.

Więcej informacji na temat operacji Onymous i jej efektów znajduje się w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: http://r.kaspersky.pl/onymous_darkweb.  

źródło: Kaspersky Lab

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]