Что такое даркнет и почему там продаются наши данные
Новости о сливах и утечках данных, которые всплывают в даркнете, появляются все чаще. Как устроен даркнет, что в нем можно найти и можно ли сохранить анонимность, если есть что скрывать? Что такое даркнет? Даркнет (англ. DarkNet — «скрытая сеть», «темная сеть» или «теневая сеть») — сегмент интернета, который скрыт из общего доступа. Соединение в нем устанавливается между доверенными пирами (участниками) в зашифрованном виде, с использованием нестандартных портов и протоколов. В даркнете используют собственные DNS, то есть домены, и адресное пространство. Попасть в даркнет можно с помощью специального ПО — например, Tor Browser или I2P. Tor — это браузер, который шифрует трафик, когда вы находитесь внутри, но на входе и на выходе его все же можно отследить. Как работает Tor Browser? Интерфейс браузера Tor Tor распределяет ваш трафик по сети, которая состоит из нод (или ретрансляторов) — тысяч серверов, которые создаются и поддерживаются добровольцами, чтобы обеспечить безопасность и анонимность. Каждый раз, когда вы подключаетесь к Tor, он строит самый быстрый и безопасный маршрут, который включает три ноды: 1. Входная нода — используется при подключении. Она видит ваш IP-адрес, но не видит, к чему вы подключаетесь. 2. Средняя нода — та, к которой подключается сам Tor-клиент. Она также не видит ваш IP-адрес или домен, к которому вы подключаетесь, но видит входную ноду и направление трафика. 3. Выходная нода — точка, из которой ваш трафик покидает сеть Tor и перенаправляется на конечный домен. Эта нода знает только то, к чему вы подключаетесь. Все ноды выбираются случайным образом и периодически меняются. I2P — это прокси-сервис, который пропускает через себя весь трафик, включая мессенджеры и другие приложения. Он намного медленнее, чем Tor, но обеспечивает и анонимность, и конфиденциальность. Есть также специальные дистрибутивы для операционной системы: их нужно установить на компьютер и перезагрузить его, после чего можно выйти в даркнет. Затем нужно снова перезагрузить компьютер — и все данные о вашей активности исчезают. Что значат «анонимность» и «приватность» / «конфиденциальность» в даркнете? «Анонимность действительно умерла, как все любят сейчас говорить, — утверждает Артур Хачуян, CEO Tazeros Global Systems, эксперт по сбору и анализу больших данных. — Сделать что-то, не идентифицировав себя, сейчас практически невозможно. Но есть так называемые уровни анонимности — в зависимости от того, что и от кого вы скрываете». По словам Хачуяна, Tor Browser позволяет достичь высокого уровня анонимности ваших действий в даркнете. Однако провайдер всегда знает, кто вы: у него есть ваши паспортные данные. Он не может отследить конкретные действия внутри дарквеба, не может понять, какой из пользователей внутри многоквартирного дома там находится, но он всегда знает, что мы пользуемся VPN-соединением или Tor Browser. «Были прецеденты — например, когда математик Дмитрий Богатов хостил у себя выходную ноту Tor. В итоге кто-то совершил неправомерные действия внутри Tor-сети, и к нему пришли спецслужбы, потому что его IP-адрес был последним, по данным провайдера», — вспоминает эксперт. В апреле 2017 года математика Дмитрия Богатова обвинили в призывах к терроризму и массовым беспорядкам: его IP-адрес совпал с тем, с которого оставляли экстремистские комментарии на форуме сисадминов. Сам Богатов объяснял это тем, что поддерживал на своем компьютере выходной узел сети Tor, чтобы его IP-адресом могли пользоваться другие. В мае 2018 года все обвинения сняли, но сразу же нашли нового обвиняемого. Им стал Владислав Кулешов из Ставрополя, который признал свою вину. Дмитрий Богатов после одного из заседаний суда То есть, IP-адрес — это единственная информация, доступная в данном случае ФСБ, МВД и всем желающим. Поэтому внутри самого даркнета можно оставаться анонимным. Однако все зависит от пользователя — что и кому он расскажет. Правда ли, что даркнетом пользуются только преступники? Евгений Волошин, директор блока экспертных сервисов BI.ZONE, эксперт по кибербезопасности, объясняет: «Приставка «дарк» в слове «даркнет» не означает обязательную принадлежность к чему-то незаконному, она говорит лишь о том, что это — сегмент интернета, где все работает немного иначе. Я бы перевел ее как «обратную», нежели «темную» сторону». Помимо теневых форумов с нелегальными активностями даркнет включает в себя большое количество ресурсов, которые не используются для совершения чего-то нелегального: библиотеки без государственной цензуры, аналоги социальных сетей, порталы для общения и многое другое. В даркнете даже есть официальное представительство Facebook: [1] Как спецслужбы ищут людей в даркнете? «Важно помнить, что в даркнете пытаются деанонимизировать не конкретных пользователей, а серверы, на которых они общаются. Допустим, я размещаю сервер в Новой Зеландии, но делаю его доступным только через Tor. Пока никто не знает, где он расположен, все хорошо, — отмечает Сергей Никитин, замруководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB. — Как только это станет известно, к хостеру придут спецслужбы и изымут сервер и все данные на нем. В журнале будет видно, кто посещал сервер, кто его администратор, списки пользователей и сообщений. Деаниномизируют сервер, как правило, из-за неправильных настроек сайта или браузера: в итоге часть данных передается через открытый интернет, и их можно отследить». По словам Никитина, конкретных пользователей ищут намного реже, так как на сервере гораздо больше данных. Такие возможности есть только у спецслужб, которые используют для этого СОРМ (комплекс технических мер для доступа к мобильному и сетевому трафику), и только если пользователи обмениваются трафиком в пределах одной страны. Что можно найти в даркнете? В даркнете есть множество разных ресурсов, в том числе: - те, что специализируются на утечках баз данных и продаже информации из них: (сотовые операторы, банки, госслужбы); - анонимные почтовые сервисы; - порталы для общения и обсуждения любых (в том числе запрещенных) тем; - ресурсы для продажи товаров, оборот которых ограничен законодательно или вовсе запрещен; - аналоги социальных сетей; - онлайн-библиотеки. Чаще всего в даркнете продают: - базы данных; - данные от взломов аккаунтов — почты, социальных сетей, мессенджеров; - расчетные счета и банковские карты, оформленные на подставных лиц; - услуги по «пробиву» в базах компаний или госслужб; - сервисы по обналичиванию и отмыванию денежных средств; - фальшивые документы; - анонимные прокси-серверы; - услуги различных сотрудников и инсайдеров. Никитин из Group-IB утверждает, что в основном в даркнете представлены различные форумы, которые существуют еще с начала нулевых. «Там огромный пласт киберпреступного сообщества, которое оказывает услуги взлома, нелегального доступа, DDoS-атак и слива баз. Все это можно купить, в том числе, через криптовалюту. Есть специальные посредники, которые гарантируют сделку. У пользователей видны ник и данные о количестве проведенных сделок — это главный показатель того, что человеку можно доверять», — отмечает Никитин. В скрытый сегмент Сети также перебрались лица, осуществляющие офлайн-торговлю незаконными товарами и прочую преступную деятельность, вплоть до заказных убийств. В январе 2021 года в Германии закрыли крупнейшую в мире торговую площадку даркнета [2] — DarkMarket. На площадке были зарегистрированы более 500 тыс. человек, которые продавали и покупали запрещенные вещества, фальшивые деньги, украденные кредитные и сим-карты. Всего они совершили более 320 тыс. сделок на сумму €140 млн. Владелец DarkMarket, 34-летний житель Австралии, задержан, а более 20 тыс. серверов в Молдавии и Украине конфискованы. Как и откуда утекают данные в даркнет? «Сейчас базы целиком, как в 2000-х годах, уже не украсть. Но операторы, которые с ними работают — в полиции, ФМС, банках, сотовых операторах, — оказывают услуги по «пробиву». Здесь работает большая цепочка посредников. Получить банковскую выписку проще всего. Происходит это так: сидит оператор где-нибудь в регионах, проверил кредитную историю двух клиентов, а третья проверка — тот самый «пробив», который он просто фотографирует на телефон», — рассказывает Никитин. Предотвратить это технически сложно, несмотря на встроенную защиту — системы DLP [3]. С утечками биометрии Group-IB пока не сталкивалась, потому что еще никто не понимает, как на этом заработать. Сейчас многие банки хотят ввести единую биометрическую систему, чтобы удаленно выдавать кредиты. Если это заработает, тогда биометрические данные станут кому-то интересны. По данным SearchInform, в 2020 году 58% опрошенных разработчиком российских компаний пострадало от утечек информации и 16% — от промышленного шпионажа. Лишь 12% из них доводили дело до суда. Более чем в 40% случаев виновниками были менеджеры по работе с клиентами, в 22% — бухгалтеры и финансисты, в 20% — менеджеры по снабжению и поставкам. 90% компаний заявили, что их ИТ-инфраструктура за время пандемии стала намного уязвимее. Артур Хачуян говорит, что в российских госслужбах за последние пару лет ничего кардинально не изменилось: подрядчикам и субподрядчикам точно так же отдают недоработанные ТЗ, а информационной безопасности уделяют мало времени. Несмотря на то, что на российском рынке есть такие продвинутые компании, как Group-IB и Positive Technology, пароли от баз данных по-прежнему пишут на стикере и лепят его на компьютер. В итоге главная уязвимость — это физический оператор. Данные из систем распознавания лиц тоже утекают: об этом писали адвокат Саркис Дарбинян из «Роскомсвободы» и активистка Алена Попова, которая также выступала против внедрения этих систем [4]. Как предотвратить утечку своих данных в даркнет? Полностью защититься от утечки невозможно: иначе придется отказаться от мобильного банка, госуслуг и большей части документов. Но можно минимизировать количество данных, которые могут попасть в руки мошенников: 1. Не размещайте в Сети фото документов, включая электронные билеты и визы; 2. Не публикуйте в открытом доступе свою геолокацию или хотя бы делайте это в закрытом профиле; 3. Не вводите персональные и платежные данные на подозрительных сайтах; 4. Не переходите по ссылкам в письмах и сообщениях, если не уверены в отправителе; 5. Используйте разнообразные и сложные пароли в разных аккаунтах. Для этого можно воспользоваться специальным сервисом по подбору паролей. Меняйте пароли не реже, чем раз в три месяца; 6. Используйте двухфакторную аутентификацию везде, где это возможно; 7. Не указывайте основной номер телефона и e-mail при регистрации на сайтах объявлений или заполнении анкет для получения карт лояльности и кредитов, участия в акциях. Вместо этого пользуйтесь дополнительным или виртуальным номером (такая услуга есть у многих операторов); 8. Обращайте внимание на приложения, которые требуют разрешения, не обязательные для их работы (в случае с ОС Android), предупреждения от антивирусного ПО, и сообщения о подозрительной активности или входах в аккаунт с неизвестных устройств. Проверить, не попал ли ваш e-mail и номер телефона в слитую базу, можно, например, в приложении «Сбербанк Онлайн» в разделах «Безопасность» или «Страхование и защита». Посмотреть это можно также на сайте Haveibeenpwned.com. Можно ли заблокировать сайты в даркнете? Роскомнадзор не может заблокировать сайты в сети Tor еще и потому, что некому выдавать предписания: нет DNS, нет регистратора, нет владельца ресурса. В случае с I2P и подобными сервисами это просто невозможно технически: даже если их заблокировать, тут же появятся новые. Самый радикальный вариант — это аналог китайского файерволла: с его помощью в стране заблокировали многие зарубежные ресурсы. Есть также технология DPI для глубокого анализа и фильтрации пакетов трафика [5]. Ее очень дорого внедрять, но если это сделать, провайдеры смогут распознавать и блокировать весь подозрительный трафик. Но тогда пользователи просто перейдут в I2P, а потом — еще куда-то, и все потраченные ресурсы будут впустую. Что ждет даркнет в будущем? Артур Хачуян уверен: «Главная проблема XXI века — это свобода слова. Даже президент США теперь не может свободно высказываться — не хочу сейчас давать оценку его словам, но по факту сначала его выпилили из Twitter, потом из других социальных сетей. То есть, сегодня вы не можете сделать свободное СМИ: вас либо выпилят с платформ распространения контента — YouTube, «ВКонтакте», неважно, — либо, если это сайт, его заблокируют. Домен отключат, IP-адреса забанят, а условный Amazon отключит вас от своих серверов. Именно поэтому сейчас так активно развиваются сети вроде I2P. Все, что нужно сделать сейчас независимому СМИ, — это в течение года объяснять читателям, что им нужно поставить клиент I2P с распределенным DNS, который невозможно заблокировать. Поэтому объём подобных сетей будет только расти». Например, в даркнете представлено издание ProPublica, специализирующееся на журналистских расследованиях Ася Зуйкова