2018上半年暗网现状 | 逐渐成为威胁情报来源,与加密货币互相影响


微信公共号 渗透测试技术支持
在通常的解读中,暗网是指日常上网搜索时无法触及的网站及信息,需要通过 VPN 和 Tor 浏览器(或者Riffle、FreeNet、anoNet 和 ZeroNet 等)才能实现匿名访问。一些调查表明,很多暗网的生命周期都很短。有些能活跃长达一年甚至更久,而有些的寿命只有两个月。

近年来,关于暗网的报道和调查从未停歇,杀人越货、买卖销赃,暗网似乎已经成为犯罪的代名词。但事实上,暗网发展至今,虽然有将近一半暗网平台都充斥着犯罪活动,但还有很多暗网用户是为了追求匿名与隐私保护。人们往往会将不熟悉的事情神秘化,但越神秘就越难看清真相。FreeBuf 已经有很多关于暗网的文章,或是技术层面的介绍,或是聚焦于具体事件。这次,我们从另一个角度来看一看。在安全研究者眼中,关于暗网有哪些常见误解?当前的暗网情况如何?加密货币与暗网如何相互影响?企业又将如何应对来自暗网的威胁呢?

关于暗网的常见误解

  1. 暗网中并非只有犯罪

暗网需要通过 Tor 浏览器才能进入,Tor 浏览器最初以高度匿名性与高度隐私化而著称,很多使用 Tor 的人也是为了这样的合理诉求而来。只不过正如俗话所说,有人的地方就有江湖。各色人等涌进来之后,暗网也就如同表网一样,既有普通用户也有犯罪贩子。暗网的普通用户类别也很多:

在一些国家,上网行为会受到限制,有些需要寻求帮助的人为了避免审查,就在暗网中讲述事实,传播并分享信息;

有很多记者也很重视暗网,以保护或存储自己的信息来源。据说“纽约时报”甚至还有一个安全保险箱用于存储爆料者提供的信息或其他新闻源;

一些需要政府保护的异见人士会通过暗网与外界交流;

有调查还发现,有些学者会在暗网中详细记录自己的学术研究成果

……
曾经有传言说大部分犯罪分子都聚集在暗网中,而事实上暗网中的犯罪分子主要是一帮黑客,且规模并不大。因为暗网中恶意软件易于获取,且处处都是欺诈,黑客不仅会从企业或普通公民那里窃取信息,还会互相之间勾心斗角,黑吃黑。

  1. 关于暗网与表网的“冰山比喻”有些夸张

人们常常认为暗网和表网就像一座冰山,表网是浮在水面上的部分,而水下的暗网则规模庞大且难以寻找。但事实上,与数十亿人次访问的表网相比,暗网的规模小得多。每天使用 Tor 的人只有约 200 万,而这 200 万人中,也只有一小部分去访问暗网。不过,就有效信息量来说,也许还是暗网更胜一筹。

  1. 暗网并非完全匿名

使用 Tor 浏览器的确难以追踪,但并非完全无法追踪。执法部门会监控 Tor 浏览器的下载情况,甚至亲自创建暗网网站来吸引犯罪分子。所以说,在暗网中,你也并非是完全隐身的。

  1. 暗网并不是非法的

当然,下载 Tor 浏览器也并不是非法的。不过,警方认为,一旦接触暗网,就可能受环境影响,身不由己。因此,下载这个浏览器之后,你可能会被执法部门盯上,毕竟现在警方对于暗网犯罪的打击力度很大,暗网知名交易平台“丝绸之路”、“AlphaBay”和“Hansa”被端掉的故事至今都是传奇。据外媒 Engadget 报道,美国多个政府部门近期联合宣布完成有史以来第一次暗网卧底活动,一共打掉超过 35 个暗网交易平台并缴获价值 2360 万美元的商品,其中包括 2000 比特币。卧底在多个场合扮演成洗钱者,逐渐深入交易平台内部,最终获得成功。这其中,比特币等加密货币成了罪恶的催化剂。

暗网已成为威胁情报新来源

由于暗网中充斥着大量信息,包含着最新的恶意软件或其他新的攻击技术或犯罪分子动向,因此这里也成为了安全研究人员寻找威胁情报的新阵地。网络安全公司 IntSights 认为,关注暗网动态,搜集攻击者从策划攻击到实施攻击后的一系列行为,将搜集到信息转化成智能化威胁情报,有助于研究人员在攻击发生之前预测攻击者的意图和行为。

近期他们发布的一项研究报告表明,就暗网中数据买卖以及钓鱼邮件这两项重大“攻击指标”而言,金融行业受攻击的可能性最大。根据报告中的统计数据,目前针对金融行业的三大领头的黑客组织分别是MoneyTaker、Carbanak和Cobalt,而这三个黑客组织都被认为是俄罗斯黑客组织,累计对全球多个国家的银行、金融机构和零售行业进行了几百次攻击。而另一个新发现是,很多暗网黑市的供应商已经开始转移到 Telegram 加密聊天室等社交媒体平台开展业务。这为真实世界中安全研究人员应对攻击、开展研究提供了新的方向。

加密货币与暗网:罪恶的恶性循环

2018 年大热的区块链技术让很多人都成了“币圈”的韭菜,连最近常见的攻击事件也都与挖矿或币圈交易所遭窃取有关。而在此之前,暗网才是加密货币的主场。根据 Recorded Future 在 2018 年年初发布的报告,短短几年内,暗网中交易所使用的货币虽然依旧以比特币为主流,但更方便、更安全的莱特币乃至门罗币等加密货币也逐渐风靡。

随着近来区块链技术以及炒币热席卷全球,围绕这些货币展开的窃取或破坏等黑客攻击不断增多。美国网络安全公司 7 月初发布报告称,仅在 2018 年上半年,针对加密货币交易所的盗窃行为就飙升至整个 2017 年的三倍,相关洗钱活动也因此增加了三倍。报告指出,2018 年前六个月,数字货币交易所共有价值 7.61 亿美元的加密货币被盗。报告还援引美国联邦调查局(FBI)的统计数据,指出与加密货币相关的赎金也不断增加。

一方面,加密货币以其加密、安全性而受到暗网交易者青睐,为暗网交易带来便利,催生了更多犯罪或洗钱活动;另一方面,暗网又为加密货币相关的犯罪行为提供了洗钱或销赃平台,让加密货币越来越不安全。

暗网信息售卖愈发猖獗

截至 2018 年 7 月,暗网英语网站的信息买卖从价值 1 美元的社会安全账号到价值 100 美元的毕业证书不等,成套的信息售价更高。

而对于受害者来说,一旦个人信息流失到暗网,损失的不仅仅是金钱。他们还可能无法再借款、需要日积月累地工作甚至要变卖家产来堵上信息被卖所造成的财物损失,甚至背负高利贷,被毁掉整个人生。根据美国司法部 2017 年年底发布的调查报告,个人信息被窃取后,受害者的平均金钱损失在 1343 美元左右,而时间损失和精神损失则无法计算。身份威胁情报公司 4iQ 2018 年5 月份发布的报告显示,2016 年到 2017 年期间,其研究团队发现的身份信息泄露增长了 182%。目前,暗网的信息买卖日益猖獗,且儿童受害者数量不断增加。

如何自保

美国国土安全部近期发布警告称,暗网中针对企业的犯罪有上升的趋势。其中,企业资源计划系统(ERP)相关的应用是最主要的目标,因为这类系统存储着企业最重要、最敏感的数据和业务信息。

对于企业和个人而言,如果不是有深仇大恨或者非常倒霉而遭遇暗网的雇佣杀人或恶意残害等威胁人身安全的事情,那么最常遇到与暗网相关的安全问题便是企业数据或个人信息被犯罪分子获取并在黑市售卖。针对这一问题,也可采取一些应对措施来自保。这些方法也许老生常谈,但总有人需要警钟的时时鞭策。

对于企业而言,可采取以下措施:

  1. 使用多层次网络安全解决方案

对于企业而言,首先要使用合适的技术,部署多层面的安全防护措施,以便及时捕获各种针对企业的攻击,并采取应对措施。

  1. 教育公司的员工

当然,要想全方位保护企业信息,仅仅采取技术层面的措施是不够的。企业高层或负责安全的专业人员需要对公司员工进行安全教育,让员工知道应该做什么、不该做什么,并让员工知道如何应多网络安全事件。具体如下:

远离暗网:要求员工在工作期间或在使用公司硬件时不要访问暗网。很多人都对暗网感到好奇,但最好不要去实践,毕竟好奇害死猫;

远离公共 Wi-Fi:许多员工习惯在路上办公或远程办公,但需要教育他们不使用公共 Wi-Fi 或不受保护的 Wi-Fi,因为很多网络犯罪分子都能轻易渗透到这些 Wi-Fi 中,并通过网络获取联网设备中的信息;

谨防邮件钓鱼:教育员工不要打开或下载陌生电子邮件中的附件或链接。邮件钓鱼常年存在,即使是最精明、最敬业的员工也可能被欺骗。因此需要教育员工,让他们了解点击陌生链接这种简单的举动有可能带来严重后果;

使用 HTTPS 开头的网站浏览网页。如果员工必须在工作设备上执行敏感交易,那么最好养成安全、良好的浏览习惯。
3. 所有软件及时更新

软件公司经常会曝出各种漏洞,随后公司会向顾客发布不固定和更新。企业的 IT 部门应当定期、及时更新软件,以免攻击者乘虚而入。

  1. 施行强密码政策

密码问题向来是各大安全公司和所有安全研究员所强调的重点。但是,无论重复多少遍,依然有很多人使用简单密码或者为所有账户/设备设置相同密码。如果在企业层面施行强密码政策,则可以为公司组建另一层防护层。

  1. 遭遇数据泄露后,第一时间寻求专家帮助

一旦企业遭遇攻击,出现数据泄露,就需要第一时间通知公司的安全供应商或公司内部的安全团队,立刻展开调查。同时,还需要向执法部门寻求帮助,合理应对。

对于个人而言,可采取以下措施:

  1. 了解各种网络攻击事件,尤其是信息泄露的危害,提高安全意识;

  2. 远离暗网,或者在科学的指导下进入暗网,否则有可能你在下载浏览器的过程中就被别人盯上了;

  3. 尽量不使用无密码保护的公共网络、不点击陌生邮件;

  4. 使用复杂密码;尽可能使用双因素认证;

  5. 一旦发生数据泄露,尽快修改密码并监控泄露数据相关的业务动态,及时应对异常