Version en français

In onze laatste blogpost hebben we de werking van de “Tor”-browser beschreven, die het mogelijk maakt om vrijwel onvindbaar op het internet te surfen. Dit is een van de twee manieren om Tor te gebruiken. De tweede manier, is om deze tool te gebruiken als toegangspoort tot het “Dark Web”. De afgelopen maanden hebben we deze duistere kant van het internet verkend. Wat is het? Wat kun je daar vinden? Hoe kun je daar je weg in vinden? In deze blogpost delen we onze bescheiden ervaring met de wereld die, hoewel hij oorspronkelijk werd opgericht om een veilige expressieruimte te bieden aan dissidenten van autoritaire regimes, vandaag in wezen een paradijs voor cybercriminelen is geworden.

Laten we beginnen met een beetje woordenschat. Eerst maken we een onderscheid tussen twee concepten die maar al te vaak door elkaar worden gehaald: het internet en het web. Internet is een infrastructuur die duizenden netwerken met elkaar verbindt, waardoor elke machine die er deel van uitmaakt, waaronder het toestel waarmee je dit artikel leest, kan communiceren met (bijna) elke andere machine (bijvoorbeeld de server die onze website host). Het internet, dat sinds begin jaren 70 bestaat, heeft de ontwikkeling van een groot aantal toepassingen mogelijk gemaakt: e-mail, bestandsoverdracht (FTP), bediening op afstand (telnet, SSH en opvolgers), messaging, videoconferenties en het (World Wide) Web, dat begin jaren 90 bij CERN ontstond en het internet echt populair heeft gemaakt. Met behulp van een “browser” (de eerste was Mosaic, die zich ontwikkelde tot Netscape en nu Firefox is, maar ook Chrome, Edge of Opera) kan interactief een document worden weergegeven dat door een webserver is gegenereerd. Het web, officieel “World Wide Web” genoemd, is dus een van de vele toepassingen die gebruikmaken van de infrastructuur van het internet. Het bestaat uit een communicatieprotocol tussen de server en de browser (HTTP/HTTPS), een protocol voor het aanwijzen van een bron (URL) en een documentformaat (HTML).

Algemeen wordt aangenomen dat de inhoud van het web in drie categorieën kan worden onderverdeeld:

• Het “Oppervlakteweb” (Surface Web, Clear Web) is het gedeelte dat rechtstreeks toegankelijk is met een browser, zonder toegangsbeperkingen en geïndexeerd door zoekmachines: deze blog, de inhoud van de meeste media, Wikipedia en tal van andere bronnen;
• Het “Deep Web” is het deel van het web dat niet door zoekmachines wordt geïndexeerd. Het is toegankelijk via een klassieke browser, zolang je het adres kent of de privégegevens (gebruikersnaam, wachtwoord, enz.) die nodig zijn om het te kunnen bezoeken. De niet-publieke inhoud op sociale media, je mailbox, de inhoud van bedrijven met beperkte toegang, …
• Het “Dark Web” is het deel van het web waarvoor specifieke tools of bepaalde configuraties vereist zijn om toegang te krijgen. Meestal heb je een browser zoals Tor nodig, maar ook een ‘.onion-adres’, een reeks van 56 tekens die onmogelijk te onthouden is (bijvoorbeeld http://juhanurmihxlp77nkq76byazcldy2hlmovfu2epvl5ankdibsot4csyd.onion/).

In deze blogpost gaat onze interesse uit naar dat laatste deel. We zouden eigenlijk eerder moeten spreken van “Dark Webs”. Daar zijn er meerdere van, die elk een eigen architectuur en verschillende technologieën gebruiken. De populairste zijn Tor en, ver achterop, I2P en Freenet (nu Hyphanet). We zullen ons in deze blogpost toespitsen op Tor.

Indien we de Tor-browser gebruiken om naar een “Clear Web”-site te surfen (bijvoorbeeld https://www.smals.be), is de client zeer goed beschermd, maar de bezochte website niet: het IP-adres kan gemakkelijk worden achterhaald, en dus ook waar de website wordt gehost, en de autoriteiten van het betreffende land kunnen de website laten sluiten of zelfs veel informatie over de gebruikers verkrijgen. Dit wordt veroorzaakt doordat het Tor-netwerk geen controle heeft over de verbinding tussen het uitgangsnode en de doelserver.

Er bestaat een manier waarop de host van een website zichzelf net zo goed kan beschermen als de client, zodat zijn IP-adres nooit wordt onthuld. Het idee is om eerst een klassieke webserver op te zetten (met bijvoorbeeld NGINX of Apache) en vervolgens op dezelfde machine een “Tor-server” te installeren (minder dan 5 minuten werk). De server genereert een “publieke sleutel” van 56 alfanumerieke tekens die als adres wordt gebruikt (in de vorm <public key>.onion), en voert deze in de gedecentraliseerde mappen van het Tor-netwerk in. Zo kan de beheerder van de betreffende website een “.onion”-adres publiceren dat niet meer toegankelijk is voor gebruikers van een klassieke browser en van waaruit het erg moeilijk, zo niet onmogelijk, is om hem te traceren. Interessant voor een dissident in een autoritair land, maar ook om een criminele onderneming veilig te beheren.

Voor meer details: zowel de client als de server gebruiken een “Tor-circuit” van 3 nodes, om elkaar te vinden op een “meeting point” waardoor zowel de client als de server volledige anonimiteit gegarandeerd is. Maar in bepaalde situaties zijn er tot 6 tussenliggende nodes. Merk op dat wanneer je verbinding maakt met de Tor-browser met een “.onion”-dienst, de verbinding end-to-end versleuteld is. Het is dus niet noodzakelijk om een extra versleutelingslaag toe te voegen met HTTPS.

Algemene opmerkingen

We hebben een paar weken besteed aan het verkennen van het Dark Web en het vertrouwd raken met deze wereld. Dat is natuurlijk niet genoeg om ons experts te noemen, maar wel voldoende om een eerste indruk te krijgen. We hebben deze verkenning uitgevoerd met Tails + Tor. We hebben uiteraard nooit iets besteld op de “markets”, hebben niet deelgenomen aan forums en hebben uiteraard geen websites bezocht die in strijd zijn met de wet en de goede zeden. Voordat we dieper ingaan op de verschillende soorten inhoud, beginnen we met enkele algemene opmerkingen:

• het beheer van “.onion”-namen is bijzonder ongebruiksvriendelijk. Ze zijn onmogelijk te onthouden en het is erg moeilijk om er zeker van te zijn dat je op de juiste site bent en niet op een “gepirateerde versie”;
• veel meer dan op het “klassieke” web zijn de adressen erg veranderlijk.
  Als je een adres op een pagina vindt (bijvoorbeeld via een zoekmachine of een “hidden wiki”, zie hieronder), is de kans groot dat het niet meer geldig is.
• een groot deel van de sites (markets, forums, zoekmachines) lijkt rechtstreeks uit het begin van de jaren 2000 te komen… een zeer “vintage” ontwerp en ergonomie, weinig gebruiksvriendelijk, waar je moeilijk naar kan kijken. Misschien onder andere omdat de meeste zijn ontworpen om zonder Javascript te kunnen werken, wat wordt aanbevolen om de risico’s te beperken;
• aangezien wantrouwen de norm is op het Dark Web, worden veel sites beschermd door een Captcha-systeem, maar deze zijn bijzonder moeilijk op te lossen. Om te voorkomen dat robots ze kunnen oplossen, zijn ze zo ingesteld dat zelfs een mens (in ieder geval ondergetekende) moeite heeft om ze op te lossen. Zie het voorbeeld hiernaast. Kun je het woord lezen?
• de meeste websites zijn bijzonder traag. Dit is waarschijnlijk te wijten aan de aard van het Tor-netwerk, dat elke aanvraag van minstens 3 (of zelfs 6) tussenliggende nodes laat lopen, die niet noodzakelijk erg krachtig zijn.

Inhoud

Toegangspunten

Het is veel moeilijker om op het Dark Web te vinden wat je zoekt dan op het “Clear Web”.
Het is duidelijk onmogelijk om een “.onion”-adres te onthouden of zelfs maar over te typen. Er zijn grofweg twee manieren om een verkenning met Tor te beginnen:

• gebruik maken van een “hidden wiki”, een directory met links die op categorie zijn gerangschikt. Er zijn er een aantal, sommige op het Clear Web, die gemakkelijk te vinden zijn door met een klassieke zoekmachine op “hidden wiki” te zoeken. Je moet er echter rekening mee houden dat een groot deel van de links niet meer werkt;
• een speciale zoekmachine gebruiken, die alleen toegankelijk is met Tor, waarvan de “.onion”-adressen gemakkelijk te vinden zijn op een “hidden wiki”. “Torch” of “Ahmia” zijn hier voorbeelden van. Verwacht echter geen prestaties die vergelijkbaar zijn met die van Google of DuckDuckGo: niet alleen zijn er weinig resultaten voor een gerichte zoekopdracht, maar vaak is de lijst met resultaten ook onduidelijk. Je weet dus niet altijd waarop je klikt.

Markets

Talrijke “markets” zijn beschikbaar op het Dark Web, die een beetje werken zoals Amazon of Bol.com. De meeste eisen betalingen in Bitcoin (of vaker Monero, waardoor er geen verband kan worden gelegd tussen twee transacties) en bieden een hele reeks producten aan die niet verkrijgbaar zijn op meer traditionele opdrachten:

• wapens en munitie, van kleine pistolen tot aanvalsgeweren.
• drugs en medicijnen, waarschijnlijk de sector met het grootste aanbod.
• valse documenten: paspoorten, rijbewijzen, identiteitskaarten, en dit voor meerdere landen.
• gestolen creditcardnummers, die des te duurder zijn naarmate de limiet hoger is. Reken op tussen 50 en 100 euro per nummer.
• vals geld.
• diensten:
  • hackers : hackers bieden tal van opties, gaande van een DDoS-aanval tot het binnendringen van een systeem of het hacken van e-mailaccounts of sociale netwerken.,
  • aanslagen op personen: er zijn tal van “diensten” beschikbaar: moord, ontvoering, agressie. Sommigen zijn echter van mening dat het hier slechts om pogingen tot afpersing gaat.

 

Forums

Talrijke forums zijn beschikbaar, in alle talen. Wat ze allemaal gemeen hebben, is dat de deelnemers niet traceerbaar zijn en zich dus niet inhouden om volstrekt illegale of zelfs ronduit verachtelijke verzoeken of voorstellen te doen. Beledigingen en vulgariteiten zijn de norm. Openlijk racistische berichten, voorstellen of zoektochten naar verdovende middelen, verzoeken om of verkoop van kinderpornografische inhoud…

Data leaks

Het is gemakkelijk om, al dan niet gratis, een grote hoeveelheid gestolen data te vinden, zowel op forums als op markets. Deze kunnen in twee categorieën worden ingedeeld:

• lijsten met “inloggegevens”: gebruikersnaam + wachtwoord, soms met de betreffende website. Waarschijnlijk verkregen door phishing of door een “keylogger”, moeilijk te controleren (zonder ze te hebben getest, wat we natuurlijk nooit hebben gedaan) of de data nog actueel zijn. Maar met miljoenen gegevens is het aannemelijk dat er altijd wel functionele toegangen te vinden zijn.
• Resultaten van ransomware. Wanneer hackers erin slagen om in te breken in het systeem van een bedrijf, versleutelen ze vaak alle data en eisen ze losgeld om ze weer toegankelijk te maken. En als het losgeld niet wordt betaald, publiceren veel groepen de gestolen inhoud in zijn geheel. Een aantal websites biedt “bewijsmateriaal” (meestal screenshots van enkele documenten; zie hieronder voor de hack van de Ahold Delhaize-groep door de INC Ransom-groep) voor “lopende” onderhandelingen en toegang tot grote volumes voor verlopen onderhandelingen.
  Bijvoorbeeld:    
  • data van een lokale missie in het zuidwesten van Frankrijk: lijst met de namen (geboortedata, telefoonnummers) van de gevolgde jongeren,
  • een Frans farmaceutisch bedrijf, met fabrieksplannen, contracten met partners, inhoud van een testdatabase,
  • voor een Franse vrijmetselaarsloge: interne veiligheidsanalyse, uitnodigingen, ledenlijsten en contributiebedragen,
  • voor de 200 GB aan data van de Nederlandse groep “Ahold Delhaize”, die vooral betrekking lijken te hebben op haar activiteiten in de Verenigde Staten,
  • voor een Belgisch revalidatiecentrum, naast talrijke data (beheer, aankopen, financiën, HR…), persoonlijke informatie over meer dan 30 000 patiënten (naam, voornaam, geboortedatum, pathologiecode), evenals een “export” van 380 000 patiënten met veel persoonlijke details (naam, adres, telefoonnummer, e-mailadres, nummer van het ziekenfonds… ), maar weinig medische gegevens.

Activisme

Naast de hierboven beschreven illegale activiteiten zijn er ook een aantal websites die aansluiten bij de oorspronkelijke redenen voor de oprichting van het Tor-netwerk. Hier vinden we een aantal gerenommeerde organisaties die een “.onion”-versie van hun website hebben om informatie van klokkenluiders te verzamelen: Greenpeace, CNN, The Guardian, ProPublica, de CIA…

Een aantal blogs die we als activistisch of rebels kunnen omschrijven, of strijden tegen politiegeweld, zijn op het dark web te vinden om censuur te vermijden. Het gaat vaak om websites met twee toegangen: één op het “Clear Web” en één op het Dark Web.

Conclusies

De meest “gevoelige” goederen zijn alleen verkrijgbaar van persoon tot persoon, nadat een vertrouwensrelatie is opgebouwd met degenen die ze bezitten, met name als het gaat om hacking en de bijbehorende tools. Aangezien we geen contact hebben gelegd met iemand op het Dark Web, hebben we ongetwijfeld een groot deel van wat er te vinden is gemist.

Maar wat we in slechts enkele weken tijd hebben gevonden, heeft ons ervan overtuigd dat veel overheidsinstellingen en bedrijven er goed aan zouden doen om op zijn minst na te gaan of er activiteiten te vinden zijn die verband houden met hun werkterrein, of data van hun personeel of klanten. Hoewel het vrijwel onmogelijk is om deze data te laten verdwijnen, is het raadzaam om in geval van een lek de juiste maatregelen te nemen.

Als een probleem optreedt, is het essentieel om hulp in te roepen van specialisten. In België moet, afhankelijk van de omstandigheden, dringend contact worden opgenomen met het CCB (Center for Cybersecurity Belgium) of de FCCU (Federal Computer Crime Unit, politie).

---

Deze post is een individuele bijdrage van Vandy Berten, gespecialiseerd in data science bij Smals Research. Dit artikel is geschreven onder zijn eigen naam en weerspiegelt op geen enkele wijze de standpunten van Smals.