SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Darknet — что это, как им пользуются преступники, чего следует остерегаться

Darknet — что это, как им пользуются преступники, чего следует остерегаться
24.06.2024

Руслан Рахметов, Security Vision

 

Современное киберпространство всё сильнее отдаляется от первоначальной концепции Интернета как глобальной, международной сети свободного обмена информацией: так называемая «балканизация» Интернета приводит к распаду единого киберпространства на отдельные национальные сегменты, которые скорее напоминают WAN-сети (Wide Area Network), функционирующие в пределах одного государства. Наиболее характерными примерами являются сети в Китае и КНДР с достаточно сильно ограниченными возможностями по обмену информацией с узлами глобального Интернет-пространства. В подобных сетях на законодательном уровне государства ограничивают возможности использования определенных приложений и сервисов, включая международные, а также контролируют обмен и распространение определенного типа контента (например, нарушающего местное законодательство или авторские права). В пределах отдельного государства создается некое подобие масштабной корпоративной сети, в которой действуют строгие правила обработки информации и ограничения на взаимодействие с внешним Интернет-пространством.


Характерный признак подобной кибербалканизации - это наличие строгих ограничений и запретов на получение и распространение определенной информации, при этом изначально правовое регулирование применялось для защиты интересов правообладателей и владельцев авторских прав от неправомерного распространения медиа-контента (фильмы, музыка, книги) в Интернете, например, через пиринговые сети. Так, файлообменная сеть Napster, предоставлявшая возможности по обмену mp3-файлами интернет-пользователям с 1999 по 2001 годы, столкнулась с судебными исками со стороны правообладателей аудио-контента и обанкротилась. Основную активность в области запретительных и контролирующих мер в Интернет-пространстве первоначально проявляли США: так, «Закон об авторском праве в цифровую эпоху» (англ. Digital Millennium Copyright Act, DMCA), принятый еще в 1998 году, повысил штрафы за нарушение авторских прав через Интернет и ввел ответственность за создание и распространение технологий, устройств и сервисов, предназначенных для обхода технических средств защиты авторских прав (англ. Digital Rights Management, DRM); в 2001 году аналогичный закон был принят и в ЕС («Директива 2001/29/EC»).

 

С развитием технологий доступа и хранения информации, появлением высокоскоростных каналов связи и удобных потребительских устройств (смартфоны, планшеты) рос и объем информации в сети Интернет, её доступность и влияние на общественные настроения, а крупные компании и интернет-гиганты стали хранить и обрабатывать огромные массивы информации, включая чувствительные персональные данные, утечка которых может привести к значительному ущербу для пользователей. Как итог, государства во всем мире столкнулись с необходимостью государственного регулирования интернет-среды: вводились требования по защите персональных данных (152-ФЗ в России, PIPL в Китае, GDPR в ЕС, американские HIPAA, CCPA, EU–US Data Privacy Framework и т.д.), появлялись требования по локализации баз персональных данных (российский 242-ФЗ о локализации баз персональных данных в России, Статья 37 «Закона о кибербезопасности» в КНР), формировались правила работы национальных сетей (отечественный Закон о «суверенном Рунете») и требования о хранении пользовательских данных (российские правила для организаторов распространения информации в сети Интернет). В целом, стремление различных государств устанавливать правила обработки данных и контролировать доступ к различной информации вполне логично, поскольку с учетом глубины проникновения современных технологий бесконтрольное распространение информации может привести к социальным потрясениям - достаточно вспомнить массовые протесты, координируемые через социальные сети и мессенджеры, или публикацию фейковых новостей и видеороликов, сеющих панику и провоцирующих столкновения между различными социальными группами.

 

Таким образом, связность и доступность глобальной сети Интернет постепенно нарушается: государства, интернет-корпорации и бизнес устанавливают в разных странах свои собственные правила обработки информации и доступа к Интернет для защиты своих интересов. Например, сегодня пользователь из России может столкнуться с тем, что какой-либо веб-ресурс может быть недоступен по одной из трех причин (не считая чисто технические, такие как нарушение работы протоколов интернет-маршрутизации или ошибки в DNS):


     · Блокировка со стороны РосКомНадзора (ресурс заблокирован по требованию Генпрокуратуры РФ или по решению суда, на ресурсе опубликована недостоверная информация или размещены сведения, распространяемые с нарушением требований законодательства, владельцы не выполнили законодательные требования - например, требования о «приземлении» по 236-ФЗ от 01.07.2021);

     · Блокировка со стороны владельца веб-ресурса (зарубежные компании с 2022 года из-за санкционных требований начали активно блокировать доступ пользователей из РФ к своим сайтам по географическому признаку);

     · Блокировка со стороны интернет-провайдеров или с помощью защитного решения (например, некоторые зарубежные сервисы защиты от DDoS-атак считают трафик из РФ недоверенным по умолчанию).

 

В стремлении к контролю за интернет-пространством и гражданами с помощью современных технологий некоторые государства переходят определенные морально-этические границы: содержимое документов, опубликованных Эдвардом Сноуденом и Джулианом Ассанжем, не оставляет сомнений в широком использовании методов несанкционированной массовой слежки за гражданами из различных стран, которые даже не являются подозреваемыми.


Желание избежать подобной слежки, обход цензуры, возможность свободного обмена информацией и мнениями в современном мире стали роскошью, которую могут себе позволить немногие, однако сообщества разработчиков и компьютерных энтузиастов всё же предпринимают определенные усилия для демократизации интернет-пространства и предоставления пользователям методов и инструментов для обхода ограничений и тотального цифрового контроля. Такие инструменты направлены на обеспечение анонимности пользователей интернета, затруднение анализа интернет-трафика провайдерами и регулирующими органами, шифрование передаваемых и хранимых данных, а также они используются для обхода наложенных ограничений и доступа к заблокированным веб-ресурсам. Эти методы, однако, стали активно использовать и разного рода сетевые злоумышленники и мошенники - впрочем, как это часто бывает со многими современными технологиями. Всё чаще в новостях можно услышать термин Darknet: «утекшие» базы персональных данных, украденные учетные данные, эксплойты для уязвимостей нулевого дня, хакерские услуги, даже поддельные документы, оружие и наркотики - всё это якобы встречается в этой «тёмной сети». В данной статье разберемся, что такое Darknet и Darkweb, как их используют хакеры и чем они отличаются от Clearnet и Deepweb, а также постараемся оценить риски посещения Darknet-ресурсов.

 

Итак, Darknet - это скрытая от посторонних сеть из взаимосвязанных компонентов (узлов сети), коммуницирующих внутри обычных интернет-соединений с использованием специальных сетевых протоколов и технологий шифрования для защиты передаваемых данных и обеспечения анонимности участников сети. Существует несколько типов Darknet-сетей, самыми известными из которых являются Tor, I2P, GNUnet, Hyphanet (бывшая Freenet). Для функционирования Darknet-сети и доступа к ней используются специальные программы (как правило, Open Source), которые позволяют подключиться к скрытой сети в качестве пользователя или предоставить свой ПК для обеспечения работы сети (например, для маршрутизации трафика и хранения информации других пользователей сети). В Darknet могут функционировать различные типы ресурсов - файлообменные сети (например, работающие на основе распределенных файловых систем), электронная почта, мессенджеры, VoIP, социальные сети, а также сайты и форумы. Сам термин Darknet появился в США в 1970-х годах для обозначения отдельных ЛВС, в целях скрытности и безопасности изолированных от сети ARPANET - прародителя современного Интернета.

 

Совокупность сайтов в Darknet называется Darkweb - по сути, это веб-ресурсы, доступные только из Darknet с использованием настроенных определенным образом браузеров. Обычные поисковые системы (Google, Яндекс и т.д.) не работают в Darkweb, поэтому используются специальные поисковики (например, DuckDuckGo, Torch, Ahmia) либо специальные каталоги Darkweb-сайтов (например, Hidden Wiki).

 

Clearnet - это привычный нам Интернет: сайты в нём индексируются поисковыми системами и доступны для посещения без использования специальных программ, особых браузеров и логинов/паролей. По некоторым подсчетам, видимая поисковыми системами часть Интернета составляет всего 10% от всех ресурсов, а 90% контента остаются невидимыми для большей части пользователей.

 

Deepweb - это часть Clearnet, однако доступ к сайтам в Deepweb ограничен для поисковых систем и предоставляется пользователям только после аутентификации (например, после ввода логина и пароля) или по подписке (англ. paywall). Примерами Deepweb являются электронная почта, доступные из Интернет корпоративные ресурсы (требующие аутентификации пользователей), банковские клиентские порталы, контент социальных сетей со скрытыми профилями, стриминговые сервисы, а также форумы и чаты, требующие регистрацию. Следует отметить, что доступ к некоторым форумам невозможно получить с помощью стандартной процедуры регистрации нового пользователя - требуется так называемый «инвайт» (т.е. приглашение), представляющий собой уникальную URL-ссылку или длинную строку случайных символов, которые могут быть сгенерированы администраторами форумов или уже зарегистрированными пользователями с определённой внутрифорумной репутацией. Система инвайтов позволяет ограничить количество пользователей, что особо актуально для некоторых хакерских форумов, подразумевающих общение в тесном кругу на специфические темы (уязвимости, вирусы, утечки, взломы, финансовые вопросы и т.д.).

 

Далее рассмотрим пример наиболее популярной Darknet-сети Tor, чтобы иметь базовое представление о принципах её функционирования. Проект по разработке анонимной сети обмена данными был запущен в середине 1990-х годов в исследовательской лаборатории военно-морских сил США: упор делался на анонимности пользователей сети, обходе сетевых блокировок, скорости и удобстве использования, конфиденциальности передаваемой информации, защите от перехвата и анализа трафика в сети; при этом в модели угроз рассматривались атаки со стороны узлов глобального Интернета и внутренних узлов создаваемой сети. В основу функционирования разрабатываемой сети была заложена технология Onion Routing (дословно «луковичная маршрутизация»), в соответствии с которой зашифрованная отправителем информация передается получателю через цепочку соединений (англ. circuit) из трёх промежуточных узлов сети (англ. relay), каждый из которых расшифровывает только свою часть данных («снимает слой луковицы»), чтобы получить адрес следующего узла, и только конечный узел (англ. exit node, выходная нода) видит уже исходное сообщение отправителя, которое доставляется конечному получателю.


В 1998 году ВМС США запатентовали разработку, и в том же году разработчиками была опубликована статья о технологии Onion Routing в журнале IEEE «Отдельные области связи». В 2002 году был основан проект The Onion Routing (сокращенно Tor), давший старт формированию и постепенному росту сети Tor, чему способствовала публикация ВМС США исходного кода Tor на условиях открытой и свободной лицензии. Уже в 2004 году разработку Tor начал спонсировать международный некоммерческий «Фонд электронных рубежей» (англ. Electronic Frontier Foundation, EFF), а в 2006 году была создана некоммерческая организация The Tor Project, которая и сейчас разрабатывает ПО для работы сети Tor, поддерживает её функционирование и до сих пор получает грантовое финансирование в том числе от различных государственных органов США (финансовая отчетность организации за последние почти два десятка лет доступна на официальном сайте). В настоящий момент в сети Tor более 7 тысяч узлов (из них более 1 тысячи - это выходные ноды) и около 2 тысяч мостов (англ. brigde, используются в случае, когда ноды сети Tor недоступны из-за сетевых ограничений), которые поддерживаются энтузиастами-волонтерами и различными организациями по всему миру.

 

Таким образом, созданная сеть Tor стала инструментом двойного назначения: с одной стороны, она позволяет пользователям обойти определенные сетевые и цензурные ограничения, анонимно обмениваться информацией, защищать свои данные от перехвата и анализа, а с другой - продолжает способствовать достижению изначальных целей в виде обеспечения скрытности инфраструктуры и анонимности сотрудников западных силовых структур. В середине 1990-х годов, по мере развития интернет-коммуникаций, у западных ведомств возникла необходимость обеспечения безопасного, конфиденциального и анонимного способа коммуникации сотрудников через общедоступные сети, и идеальным решением стала технология Onion Routing, выпущенная в массы для создания необходимого «шума», в котором смогут затеряться сетевые коммуникации агентов спецслужб.

 

С точки зрения пользователя, выход в сеть Tor тривиален: браузер Tor Browser, построенный на платформе Mozilla Firefox, обеспечивает автоматическое подключение к сети, в результате чего можно заходить как на Clearnet-страницы (при этом IP-адрес пользователя, как его видят веб-сайты, будет подменяться на IP-адрес выходной ноды Tor-сети), так и на Onion-ресурсы. Darkweb-сайты в сети Tor могут быть опубликованы любым пользователем: соответствующий софт свободно распространяется, не потребуется и регистрировать имя домена или указывать какие-либо персональные данные владельца сайта. Веб-сайты в сети Tor размещаются в домене верхнего уровня ".onion", а адреса состоят из цифробуквенных последовательностей длиной 56 символов.


Стоит также отметить, что рядовому интернет-пользователю, которому хватает ресурсов на просторах Clearnet, как правило, посещать Tor-сеть незачем, однако из любопытства некоторые могут захотеть поисследовать Darknet-паутину. В этом случае, следует помнить, что в России сайт проекта Tor заблокирован с 2021 года; кроме того, высказываются предложения по признанию незаконным использование Darknet.


Если пользователь встречает ссылку, ведущую на домен в зоне ".onion", то следует проявлять осторожность, поскольку информация, размещенная на такой странице, может быть недостоверной (ни у одного государства сейчас нет возможности как-либо контролировать размещение контента в сети Tor) или содержать ссылки на вирусы, которые будут доставлены на устройство пользователя в обход периметровых защитных решений, не способных проанализировать зашифрованный Tor-трафик. Активными пользователями Darknet являются хакеры и мошенники, которые используют сеть Tor для размещения украденной информации («сливов»), продажи учетных данных («доступов»), сдачи в аренду вирусов и ботнетов для проведения DDoS-атак, покупки и продажи фальшивых документов, вербовки инсайдеров, поэтому регистрация на подобных ресурсах, даже в чисто исследовательских целях, может вызвать вопросы у компетентных органов. Кроме того, именно в Tor размещаются сайты вымогательских киберпреступных групп, которые публикуют там новости об очередных взломах, размещают свои требования о выкупе и дают инструкции жертвам по переводу денег - анонимность и неконтролируемость сети Tor успешно используется злоумышленниками. В случае, если пользователю, несмотря на указанные опасности, всё же необходимо подключиться к сети Tor и попасть на onion-сайт, то следует соблюдать некоторые базовые правила кибергигиены:


1. Регулярно обновляйте Tor Browser: автообновление в браузере включено по умолчанию, однако зачастую обновления качаются слишком медленно, что оставляет окно возможностей для атакующих, эксплуатирующих регулярно выявляемые в Mozilla Firefox уязвимости.


2. Tor Browser по умолчанию сконфигурирован оптимальным образом, но можно дополнительно изменить настройки встроенного плагина NoScript для отключения JavaScript по умолчанию на всех сайтах, а также установить параметр «Уровни безопасности» (Security Levels) в значение «Самый безопасный» (Safest).


3. При подключении к Clearnet-сайтам через сеть Tor следует использовать только протокол HTTPS: не следует забывать, что выходная нода Tor-сети может контролироваться злоумышленниками под видом энтузиастов-волонтеров, а проходящий через неё незашифрованный HTTP-трафик - прослушиваться. В настройках Tor Browser можно установить режим "Только HTTPS" (HTTPS-Only).


4. Не размещайте свои персональные данные или чувствительную информацию в Darkweb: onion-сайты не контролируются никем, кроме их владельцев, поэтому добиться удаления информации в юридической плоскости будет невозможно.


5. Для обеспечения корпоративной сетевой безопасности следует контролировать или вовсе заблокировать любые соединения с сетью Tor - как исходящие, так и входящие (с IP-адресов выходных нод сети Tor, их перечень доступен и регулярно обновляется). Исходящие подключения к сети Tor могут означать, что в инфраструктуре компании активно ВПО, которое взаимодействует с C&C-сервером атакующих в сети Tor, а входящие соединения из Tor могут свидетельствовать либо о попытках скрытного анализа вашей инфраструктуры и поверхности потенциальной атаки, либо (особенно в случае входящих VPN/RDP-соединений) об использовании скомпрометированных учетных данных пользователей для несанкционированного доступа в корпоративную сеть.

ИБ для начинающих Киберриски (Cyber Risk, CRS) Нарушители ИБ Оргмеры ИБ

Рекомендуем

Интернет вещей и его применение
Интернет вещей и его применение
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание

Рекомендуем

Интернет вещей и его применение
Интернет вещей и его применение
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code