W ubiegłym tygodniu przeprowadzona została globalna akcja organów ścigania – operacja Onymous – skierowana przeciwko nielegalnym serwisom online działającym w ramach sieci Tor zapewniającej anonimowość w internecie. Społeczności związane z Torem wyraziły zaniepokojenie, że operacja ta wymagała użycia specjalistycznych narzędzi, które potencjalnie mogą zagrozić prywatności wszystkich entuzjastów anonimowości.
Zdaniem ekspertów z Kaspersky Lab zadanie organów ścigania zostało ułatwione przez niedbałość osób stojących za serwisami online działającymi w ramach mrocznej strony internetu, czyli tzw. sieci Dark Web.
Operacja Onymous, koordynowana przez jednostkę European Cybercrime Center (EC3) Europolu, FBI, Służby Imigracyjne i Celne USA (ICE), Departament Bezpieczeństwa Kraju USA (HSI) oraz Eurojust, zakończyła się 17 aresztowaniami producentów i administratorów odpowiadających za nielegalne sklepy online oraz zdjęciem ponad 410 ukrytych serwisów internetowych. Oficjalne oświadczenie dotyczące operacji jest dostępne na stronie Europolu.
Warto zwrócić uwagę, że operacja dotknęła tylko wybranych serwisów cyberprzestępczych działających w sieci Tor – wiele z nich ciągle działa. Obecnie liczba stron będących online w sieci Tor jest czterokrotnie większa niż liczba serwisów zdjętych przez organy ścigania. Z badań ekspertów z Kaspersky Lab wynika, że większość zamkniętych stron była aktywna od ponad 200 dni, a niektóre działały niemal od roku.
Jak mogło dojść do zdjęcia stron i jaki może być wpływ operacji Onymous na sieć Tor oraz Dark Web?
Entuzjaści anonimowości w Sieci wyrazili obawy, że w operacji Onymous wykorzystano wysoce zaawansowane metody pozwalające na włamywanie się do serwisów ukrytych w sieci Tor, co potencjalnie może być zagrożeniem dla prywatności wszystkich użytkowników. Przecież – teoretycznie – gdy użytkownik odwiedza taką ukrytą stronę, nie ma możliwości, by ktokolwiek mógł określić fizyczną lokalizację serwera, na którym działa usługa. Jednak aby teoria ta była słuszna, muszą zostać spełnione trzy warunki:
- Ukryta usługa musi być odpowiednio skonfigurowana.
- Nie może być możliwości włamania się do serwera WWW (np. przy użyciu luk w zabezpieczeniach lub w wyniku błędów w konfiguracji).
- Sama usługa nie może zawierać błędów pozwalających na przeprowadzenie zdalnego ataku.
Jeżeli chociaż jeden z tych trzech warunków nie zostanie spełniony, osoba z odpowiednimi umiejętnościami może bez większych problemów włamać się do serwera i rozpocząć dalsze działania – niezależnie od tego, czy jest on ukryty w sieci Tor, czy nie. Badania ekspertów z Kaspersky Lab wykazują, że wiele stron działających w ramach cyberprzestępczej sieci Dark Web charakteryzuje się niezwykle niedbałym kodem, a sam fakt, że fizyczna lokalizacja serwera jest ukrywana przez sieć Tor, nie oznacza, że działająca na nim strona jest całkowicie „kuloodporna”. Czyżby zatem cyberprzestępcy padli ofiarą metod, które sami wykorzystują do atakowania użytkowników w internecie?
Pierwszy scenariusz skompromitowania ukrytego serwisu mógłby polegać właśnie na wykorzystaniu takiej słabo zakodowanej aplikacji. Po tym możliwe byłoby włamanie się do serwera, gdzie ukryta usługa jest przechowywana, uzyskanie informacji o fizycznej lokalizacji, a nawet zainstalowanie trojana pozwalającego na dalsze gromadzenie informacji.
Co ważne, nie ma potrzeby szukania błędów i luk w samym Torze – znacznie łatwiej jest znaleźć źle skonfigurowane usługi lub błędy w aplikacjach webowych. Ludzie kontrolujący nielegalne strony działające w ramach sieci Dark Web najczęściej polegają na możliwościach Tora w kwestii bezpieczeństwa, lecz to nigdy nie wyeliminuje błędów w aplikacjach osób trzecich. Ponadto, sami administratorzy cyberprzestępczych usług nie są maszynami i też mogą popełniać błędy.
Innym możliwym scenariuszem jest zainfekowanie komputera osoby zarządzającej nielegalną stroną. Zainstalowany trojan szpiegujący może pozwolić na przejęcie kontroli i uzyskanie wielu innych informacji. Może być znacznie łatwiejsze niż mogłoby się wydawać – na przykład, jeżeli w ukrytej usłudze znaleziona zostanie luka, możliwe będzie podpięcie trojana do jej panelu administracyjnego. Po tym pozostanie poczekać, aż administrator uzyska dostęp do swojej strony, a gdy to się stanie, dojdzie do infekcji, co z kolei pozwoli na przeprowadzenie ataku ukierunkowanego.
Jeszcze jeden sposób mógłby polegać na infiltracji nielegalnego serwisu przez osobę, która udaje zwykłego klienta. Osoba ta mogłaby nawet kupić kilka cyberprzestępczych usług, by zyskać reputację i zaufanie. Następnym krokiem byłoby nawiązanie kontaktu z pomocą techniczną usługi (np. w kwestii jakości produktu) i wykorzystanie socjotechniki lub nawet wysłanie ukierunkowanej wiadomości e-mail z ze szkodliwym programem.
– Jak widać, istnieje wiele sposobów przeniknięcia do ukrytej usługi i wcale nie wymaga to atakowania infrastruktury sieci Tor. Oczywiście, nie można także wykluczyć możliwości wykorzystania poważnej luki w zabezpieczeniach samego Tora – to zawsze jest możliwe – skomentował Siergiej Lożkin, starszy badacz ds. bezpieczeństwa, Kaspersky Lab.
– Cyberprzestepczości, podobnie jak każdej innej formy nielegalnej aktywności, nie da się tak po prostu całkowicie zatrzymać. Zawsze gdy dojdzie do zatrzymania kilku tego typu serwisów, powstaje luka, która błyskawicznie wypełniana jest przez nowych przestępców wykorzystujących możliwość szybkiego zarobienia pieniędzy. Prawda jest taka, że zapotrzebowanie na tego typu usługi nigdy się nie kończy – powiedział Stefan Tanase, starszy badacz ds. bezpieczeństwa, Kaspersky Lab.