Daniel Maikowski: "Deep web", "ukryta sieć", „darknet”, "ciemny internet". Te pojęcia brzmią dość tajemniczo. O czym w ogóle mówimy?
Michał Jarski: Przyzwyczailiśmy się do patrzenia na internet przez pryzmat wyszukiwarki. Często wydaje się nam , że w Google znajdziemy absolutnie wszystko. Wyszukiwarka stała się filtrem, który przesłania nam rzeczywistość. A ta rzeczywistość jest zgoła inna.
Są osoby, które z różnych względów nie mogą lub nie chcą pokazywać publicznie swojej internetowej aktywności. Schodzą więc do internetowego podziemia, które potocznie nazywamy „deep webem” czy też „ukrytą siecią” .
Osoby te korzystają z alternatywnych form połączeń, takich jak popularna sieć TOR, która zapobiega analizie ruchu sieciowego i w konsekwencji zapewnia niemalże anonimowy dostęp do określonych zasobów.
Nielegalnych zasobów?
Niekoniecznie. Choć osoby korzystające z ukrytej sieci chcą pozostać anonimowe, to jednak nie oznacza to wcale, że prowadzą działalność niezgodną z prawem. Nie możemy wrzucić wszystkich do jednego worka z napisem „przestępcy”.
Musimy pamiętać, że ideą sieci TOR było stworzenie takiego miejsca w sieci, które ukryłoby się przed polityczną cenzurą obowiązującą w reżimach niedemokratycznych. To co stało się z ukrytą siecią później jest już zupełnie odrębną historią.
Ale przestępców w odmętach ukrytej sieci znajdziemy całkiem sporo...
Tak. Mają tam nawet swoje specjalne miejsce, które potocznie nazywamy „darknetem”. To najciemniejszy zakamarek ukrytej sieci. To tu handluje się narkotykami i bronią. To tu oferowane są materiały pedofilskie. To tu można zlecić atak hakerski czy zabójstwo.
Sklep Silk Road - tu znajdziemy narkotyki oraz inne substancje medyczne Slik Road
Czy przykładowy Jan Kowalski może przeglądać zasoby ukrytej sieci?
W przeszłości mechanizmy TOR były dostępne dla wybrańców. Bez specjalistycznej wiedzy dostęp do ukrytej sieci był więc bardzo ograniczony, a często niemożliwy. Obecnie jest to zadanie banalnie proste. Wystarczy zainstalować niewielkie rozszerzenie do przeglądarki internetowej. W sieci można znaleźć liczne instrukcje, które krok po kroku oprowadzą nas po świecie ciemnego internetu.
To jednak zaledwie pierwszy krok. Ukryta sieć jest bowiem pełna zamkniętych grup, forów dyskusyjnych oraz tajemniczych społeczności, do których dostęp otrzymamy tylko wtedy, gdy osiągniemy określony poziom wiarygodności. Kluczowe jest zdobycie zaufania ze strony innych użytkowników i administratorów takich grup.
W deep webie czekają na nas również liczne pułapki zastawiane przez oszustów. Sam fakt, że ktoś umieszcza ogłoszenie o sprzedaży fałszywego paszportu czy też wizy, nie oznacza, że takowe dokumenty posiada. Oferta ta może być – i w większości przypadków będzie – oszustwem, które ma na celu wyłudzenie naszych pieniędzy.
Gdy Jan Kowalski będzie grozić śmiercią politykowi na swoim Facebooku, to kilkadziesiąt godzin później do jego drzwi zapukają smutni panowie w kominiarkach. Czy jeśli zrobiłby to samo w na jednym z zamkniętych forów dyskusyjnych, to byłby całkowicie bezkarny?
Sposób, w jaki funkcjonuje sieć TOR powoduje, że ukryte zostają dane na temat nadawcy i odbiorcy komunikatu. Nie wiemy skąd i dokąd podróżują pakiety danych.
Jeśli jednak natrafilibyśmy na odpowiednio zmotywowanego przeciwnika, to jak najbardziej ma on możliwość zlokalizowania źródła wiadomości, która niesie za sobą groźbę karalną czy też zagrożenie terrorystyczne.
W tym celu można zastosować tzw. mechanizmy statystyczne. Oczywiście są do tego potrzebne odpowiednie środki finansowe. W licznych opracowaniach na temat sieci TOR mówi się o nawet konkretnych sumach, które należy wyłożyć, aby zidentyfikować danego użytkownika ukrytej sieci. Koszt takiego ataku statystycznego oscyluje w granicach 40 tysięcy dolarów. Nie jest to kwota dostępna dla każdego, ale jak najbardziej znajduje się ona w zasięgu służb specjalnych.
Wyszukiwarka Grams Jeremy Martin/YouTube
W raporcie "Cybercrime and the Deep Web" piszecie o tzw. „ekonomii darknetu". Okazuje się, że podziemie internetowe w poszczególnych krajach charakteryzuje się dość unikalną specyfiką.
W dużym stopniu wynika to z tradycji przestępczych. Podziemie kryminalne w Rosji zdecydowanie różni się od tego w Japonii, Brazylii czy Niemczech. Ta specyfika naturalnie przenosi się do darknetu, gdzie poszczególne organizacje oferują specyficzne dla danego kraju „produkty” i „usługi”.
Na problem przestępczości w internecie nie możemy więc patrzeć w oderwaniu od tradycyjnej przestępczości. Pole działania jest inne, ale schematy pozostają takie same.
Czy to oznacza, że darknet jest dziś zdominowany przez tradycyjne organizacje przestępcze?
W latach 20. XX wieku mafie były pierwszymi organizacjami, które dostrzegły możliwości, jakie niesie za sobą prohibicja. Teraz, jako pierwsze odkrywają potencjał darknetu. Oczywiście w internetowym podziemiu swoich sił próbują również osoby i grupy, które dotychczas znajdowały się na marginesie świata przestępczego. Ale to zaledwie niewielki procent całego spektrum.
Musimy pamiętać o tym że darknet jest jedynie narzędziem komunikacyjnym. Na koniec dnia, ktoś musi być dostawcą zamówionych narkotyków, sfałszowanych dokumentów czy też broni. Tych spraw nie da się załatwić w świecie wirtualnym. Musi dojść do spotkania, na którym pojawia się zarówno sprzedawca, jak i klient.
Każdy kto będzie chciał wejść do darknetu na własną rękę, prędzej czy później natrafi na twardą i zdecydowaną odpowiedź ze strony potężnych grup przestępczych.
Wróćmy do naszego Kowalskiego, który postanowił rozpocząć swoją przygodę w ukrytej sieci. Co tam znajdzie? Jakie towary i usługi cieszą się obecnie największą popularnością w internetowym podziemiu?
Nie mogę podać tu konkretnych liczb. Wynika to z faktu, że w przypadku ukrytej sieci odróżnienie prawdziwych ofert od zwykłych oszustw jest niezwykle trudne, a czasami wręcz niemożliwe.
Są jednak towary, które cieszą się szczególnym zainteresowaniem. Chodzi przede wszystkim o fałszywe dokumenty – dowody osobiste, paszporty, wizy. Na drugim miejscu umiejscowiłbym broń, a tuż za nią narkotyki i inne substancje medyczne.
Tak jak wspomniałem wcześniej, poszczególne kraje specjalizują się w świadczeniu różnych usług. Handel bronią to przede wszystkim domena Rosji. Z kolei Brazylia i Stany Zjednoczone – z oczywistych względów – specjalizuje się w narkotykach.
Czy organizacje zajmujące się zwalczaniem cyberprzestępczości aktywnie działają w ukrytej sieci? Czy spotkamy się tam z prowokacjami, które mają na celu rozpracowywaniem organizacji przestępczych, np. siatek pedofilów?
Zdecydowanie tak. Takie działania są tu na porządku dziennym. Metody działania służb zajmujących się zwalczaniem przestępczości zawsze będą obejmować infiltrację środowiska kryminalnego. Ta infiltracja w przypadku internetowego podziemia jest często dużo prostsza niż w tzw. „realu”.
Cały czas musimy jednak pamiętać, że ukryta sieć jest jedynie kanałem komunikacji. Na pewnym etapie przestępcy i ich klienci muszą spotkać się twarzą w twarz, a to oznacza, że służby również muszą balansować pomiędzy światem wirtualnym i realnym.
Sklep Armory Armory
Pod koniec ubiegłego roku doszło do skutecznego cyberprzestępczego ataku na ukraińską elektrownię w Zaporożu. W jego wyniku ok. 700 tys. domostw przez kilka godzin pozostawało bez dostępu do prądu. Wszystko wskazuje na to, że ten i wiele innych ataków było koordynowanych właśnie w darknecie.
Bez wątpienia tak. Jednak przy tego typu sytuacjach kluczowe jest zidentyfikowanie tzw. "threat actors", czyli osób które rzeczywiście mogą być zainteresowane dokonaniem ataku. Wydaje mi się, że w tym konkretnym przypadku nie mówimy o konkretnej organizacji przestępczej, której awaria elektrowni na Ukrainie żadnej materialnej korzyści nie przyniesie, ale o motywacjach politycznych. A jeżeli mówimy o polityce i Ukrainie, to dość łatwo jest zidentyfikować państwo, które mogłoby skorzystać na destabilizacji naszego wschodniego sąsiada.
W waszym raporcie czytamy dużo o cyberprzestępczym podziemiu w Brazylii, Niemczech, USA, Kanadzie, Rosji czy Brazylii. A co z Polską? Czy mamy jakieś dane dotyczące polskiego darknetu?
Udział polskojęzycznych linków w globalnej ukrytej sieci wynosi obecnie ok. 1,67 proc.. Daje nam to szóste miejsce w tej „klasyfikacji”. Oczywiście w deep web jest dziś zdominowany przede wszystkim przez strony w języku rosyjskim oraz angielskim.
Wracając do polskiego darknetu, to specjalizuje się on przede wszystkim w przestępczości elektronicznej. Możemy tu wspomnieć choćby o phishingu czy też cardingu. W ostatnich latach zwróciliśmy również uwagę na wzrost zagrożeń związanych z ransomware. Cyberprzestępcy z Polski specjalizują się w tworzeniu tego rodzaju oprogramowania, a ataki z jego wykorzystaniem dotykają zarówno osoby indywidualne, jak i organizacje.
W tym miejscu warto wspomnieć również choćby o ubiegłorocznym ataku hakerskim na Plus Bank, który doprowadził do wycieku danych klientów banku. Darknet odgrywał kluczową rolę w przygotowywaniu i koordynacji tego ataku.
