Кон­цепция «сеть поверх сети» появи­лась далеко не вче­ра. Еще в середи­не прош­лого десяти­летия «Хакер» писал о луковой и чес­ночной мар­шру­тиза­ции в лице Tor и I2P и даже пуб­ликовал обзо­ры соот­ветс­тву­юще­го соф­та в руб­рике Sharowarez, но нас­тоящий инте­рес к ним в общес­тве появил­ся на вол­не извес­тных инфо­пово­дов и гром­ких разоб­лачений пос­ледне­го вре­мени. Что же пред­став­ляют собой дар­кне­ты? Кто там живет? Чем они инте­ресу­ются, чем дышат, что покупа­ют и что про­дают? Поп­робу­ем разоб­рать­ся с этим по‑хакер­ски: с помощью сни­фера и пря­мого пог­ружения.

warning

Вся информа­ция пре­дос­тавле­на исклю­читель­но в озна­коми­тель­ных целях. Ни редак­ция, ни автор не несут ответс­твен­ности за любой воз­можный вред, при­чинен­ный матери­ала­ми дан­ной статьи.

 

Малварь и даркнет

Все боль­ше вре­донос­ного ПО (мобиль­ных и дес­ктоп­ных тро­янцев) уме­ет работать со сво­ими C&C-сер­верами, рас­положен­ными в Tor. Пре­иму­щес­тва по срав­нению с клас­сичес­ким под­ходом в управле­нии бот­нетом налицо: не нуж­но заботить­ся о попада­нии домена в блек‑лис­ты про­вай­деров, прак­тичес­ки нецеле­сооб­разно (нецеле­сооб­разно — это не синоним «невоз­можно») иден­тифици­ровать бот‑мас­тера, а так­же, в силу архи­тек­туры дар­кне­та, нель­зя «вык­лючить» сер­вер.

Так, одним из пер­вых работать с Tor начал бан­ков­ский тро­ян ZeuS, раз­работ­чики которо­го тянули вмес­те со сво­им злов­редом ути­литу tor.exe. Внед­ряя ее в про­цесс svchost.exe, зло­деи тем самым ини­цииро­вали защищен­ное соеди­нение сво­его детища с коман­дным сер­вером. При­чины понят­ны — вряд ли кто‑то при­бежит и обес­точит твой сер­вер или того хуже — возь­мет под кол­пак.

Административная панель одного из ботнетов
Ад­минис­тра­тив­ная панель одно­го из бот­нетов

Спус­тя пол­года пос­ле появ­ления Tor-бот­нетов фун­кци­онал работы с onion-домена­ми начина­ет внед­рять­ся в мобиль­ные тро­яны, при­чем теперь вирусо­писа­тели перес­тали исполь­зовать пол­ностью готовые Tor-кли­енты, а внед­ряют свои реали­зации и изме­няют уже име­ющиеся решения.

Фрагмент исходного кода одного из мобильных зловредов
Фраг­мент исходно­го кода одно­го из мобиль­ных злов­редов

Та­ким обра­зом, мно­гие onion-домены на нас­тоящий момент пред­став­ляют собой не что иное, как средс­тво адми­нис­три­рова­ния того или ино­го бот­нета.

Герои даркнета

По­доб­но Цукер­бергу и его Facebook, дар­кне­ты име­ют сво­их геро­ев. На стра­ницах нашего жур­нала мож­но было про­читать о Рос­се Уиль­яме Уль­брих­те и его про­екте Silk Road, посети­тель которо­го мог заказать любое «средс­тво дос­тавки на тот свет» — начиная от нар­котиков и закан­чивая ору­жием.

По­пуляр­ность про­екту при­нес­ли мас­шта­бы его биз­неса, одна­ко это не зна­чит, что пло­щад­ка была единс­твен­ной в сво­ем роде. С каж­дым объ­явле­нием о зак­рытии Silk Road, как гри­бы пос­ле дож­дя, появ­лялись аль­тер­нативы в виде неболь­ших магази­нов, про­дающих зап­рещен­ные вещес­тва. Более того, научен­ная «шел­ковым» опы­том груп­па анар­хистов‑раз­работ­чиков пред­ста­вила кон­цепцию магази­на DarkMarket, которая лишена недос­татков, при­сущих тра­дици­онным магази­нам дар­кне­та. Одна­ко дан­ной децен­тра­лизо­ван­ной пло­щад­ке еще толь­ко пред­сто­ит наб­рать ауди­торию, в то вре­мя как зна­читель­ная часть Tor-поль­зовате­лей уже вно­сит вклад в эко­сис­тему сущес­тву­ющих пло­щадок.

 

Система мониторинга onion-доменов

Каж­дый резидент сети может пре­дос­тавить свои вычис­литель­ные ресур­сы для орга­низа­ции Node-сер­вера — узло­вого эле­мен­та сети, который выпол­няет фун­кцию пос­редни­ка в информа­цион­ном обме­не кли­ента сети. Сущес­тву­ет два типа узлов в дан­ном дар­кне­те: про­межу­точ­ные и выход­ные (так называ­емые exit node). Пос­ледние явля­ются край­ним зве­ном в опе­рации рас­шифров­ки тра­фика, а зна­чит, пред­став­ляют собой конеч­ную точ­ку, которая может стать каналом утеч­ки инте­рес­ной информа­ции.

На­ша задача весь­ма спе­цифич­на: необ­ходимо соб­рать сущес­тву­ющие и, что самое глав­ное, акту­аль­ные onion-ресур­сы. При этом нель­зя пол­ностью доверять­ся внут­ренним поис­ковикам и катало­гам сай­тов, ведь акту­аль­ность содер­жащей­ся в них информа­ции, а так­же ее пол­нота оставля­ет желать луч­шего.
Од­нако решение задачи агре­гации акту­аль­ных сай­тов лежит на повер­хнос­ти. Для того что­бы сос­тавить спи­сок недав­но посещен­ных onion-ресур­сов, необ­ходимо отсле­живать факт обра­щения к ним. Как мы уже говори­ли, exite node явля­ется конеч­ной точ­кой на пути сле­дова­ния зашиф­рован­ных пак­тов, а зна­чит, мы можем сво­бод­но перех­ватывать пакеты HTTP/HTTPS-про­токо­лов Tor-поль­зовате­ля, который занима­ется сер­фингом в тра­дици­онном «вебе».

Из­вес­тно, что HTTP-пакет может содер­жать информа­цию о посещен­ных ранее ресур­сах. Дан­ные находят­ся в заголов­ке зап­роса Referer, который может содер­жать URL источни­ка зап­роса. В тра­дици­онном «вебе» дан­ная информа­ция помога­ет веб‑мас­терам опре­делить, по каким зап­росам в поис­ковых сис­темах и с каких сай­тов перехо­дят поль­зовате­ли под­кон­троль­ного веб‑ресур­са.

В нашем слу­чае дос­таточ­но про­бежать­ся по дам­пу перех­вачен­ного тра­фика регуляр­ным выраже­нием, содер­жащим стро­ку onion.

 

Пассивная система мониторинга

О кон­фигури­рова­нии exit node написа­но огромное количес­тво дос­тупных ста­тей, поэто­му здесь мы не будем заос­трять вни­мание на про­цес­се кон­фигура­ции выход­ного узла, а отме­тим лишь самое важ­ное.
Во‑пер­вых, в кон­фигура­цион­ном фай­ле torrc необ­ходимо задать полити­ку Exit Policy, раз­реша­ющую переда­чу тра­фика по всем пор­там. Дан­ная нас­трой­ка не явля­ется какой‑то магичес­кой манипу­ляци­ей и все­го лишь дает надеж­ду «уви­деть» что‑нибудь инте­рес­ное на нет­риви­аль­ном пор­ту.

>> ExitPolicy accept *:*

По­ле Nickname не несет никакой смыс­ловой наг­рузки, поэто­му единс­твен­ная рекомен­дация в дан­ном слу­чае — не исполь­зовать ком­про­мети­рующие наз­вания ноды (нап­ример, WeAreCapturingYourTraffic) и не исполь­зовать цифр, которые могут натол­кнуть на мысль о целой сети подоб­ных нод (нап­ример, NodeNumber3).
Пос­ле запус­ка Tor-сер­вера необ­ходимо дож­дать­ся завер­шения про­цеду­ры заг­рузки сво­их коор­динат на сер­вер дирек­торий — это поможет нашей ноде «заявить» о себе всем учас­тни­кам дар­кне­та.

Exit node в процессе своего функционирования
Exit node в про­цес­се сво­его фун­кци­они­рова­ния

Пос­ле того как мы под­няли выход­ной узел и уже начали про­пус­кать через себя тра­фик Tor-юзе­ров, необ­ходимо запус­тить сни­фер пакетов и ловить про­ходя­щий тра­фик. В нашем слу­чае в роли сни­фера выс­тупа­ет tshark, который слу­шает интерфейс #1 (на нем висит Tor) и любез­но скла­дыва­ет дамп в файл dump.pcap:

>>tshark –i 1 –w dump.pcap
Tshark ловит пакеты, которые проходят через exit node в открытом виде
Tshark ловит пакеты, которые про­ходят через exit node в откры­том виде

Все опи­сан­ные дей­ствия сле­дует про­вес­ти для как мож­но боль­шего количес­тва сер­веров, что­бы соб­рать боль­ше инте­рес­ной информа­ции. Сто­ит отме­тить, что дамп рас­тет доволь­но быс­тро и его необ­ходимо пери­оди­чес­ки забирать для ана­лиза.

 

Активная система

Преж­де чем перей­ти к резуль­татам, получен­ным в про­цес­се фун­кци­они­рова­ния пас­сивной сис­темы монито­рин­га, рас­ска­жем о кон­цепции активной сис­темы. До текуще­го момен­та в воз­духе витала идея перех­вата про­ходя­щих дан­ных через выход­ные узлы Tor. В этом слу­чае сис­тема име­ет пас­сивную кон­цепцию сбо­ра информа­ции, и ее опе­рато­ры вынуж­дены доволь­ство­вать­ся теми резуль­татами, которые попадут в их «сети». Одна­ко о внут­ренних ресур­сах дар­кне­та мож­но получить куда боль­ше информа­ции, если для ее сбо­ра исполь­зовать кон­цепцию активной сис­темы монито­рин­га.

Обя­затель­ным усло­вием для нор­маль­ного обме­на информа­цией с внеш­ними интернет‑ресур­сами через exit node явля­ется обя­затель­ное наличие отве­та от веб‑сер­вера, который наша выход­ная нода дол­жна в обя­затель­ном поряд­ке дос­тавить до Tor-поль­зовате­ля. В про­тив­ном слу­чае, если через ноду идут толь­ко зап­росы к веб‑сер­верам, оста­ющиеся без отве­та, мы можем сде­лать вывод, что име­ет мес­то DDoS-ата­ка.
Ос­новная суть активной сис­темы зак­люча­ется в воз­можнос­ти орга­низа­ции MITM-ата­ки: мы можем перенап­равлять поль­зовате­ля на под­кон­троль­ный нам веб‑ресурс или добав­лять свой код в содер­жимое отве­та с целью спро­воци­ровать утеч­ку какой‑либо информа­ции из бра­узе­ра кли­ента.

Те­ма деано­ними­зации поль­зовате­ля и опи­сание ее тех­ник тре­буют отдель­ной статьи, но мож­но сде­лать вывод, что ряд ее тех­ник могут помочь в получе­нии информа­ции об акту­аль­ных ресур­сах. Задача нет­риви­аль­ная, и подой­ти к ее решению мож­но раз­ными спо­соба­ми. В дан­ном слу­чае все зависит от фан­тазии вла­дель­ца exit node. Нап­ример, мож­но исполь­зовать тех­ники соци­аль­ной инже­нерии и спро­воци­ровать (от име­ни адми­нис­тра­ции зап­рашива­емо­го ресур­са) резиден­та дар­кне­та отпра­вить какую‑либо информа­цию о себе и посещен­ных ресур­сах. В качес­тве аль­тер­натив­ного средс­тва мож­но попытать­ся заг­рузить на сто­рону жер­твы какую‑либо «полез­ную наг­рузку».

Тра­дици­онные веб‑тех­нологии так­же могут помочь в решении дан­ной задачи. Нап­ример, cookies, которые вла­дель­цы веб‑сай­тов исполь­зуют для получе­ния ста­тис­тичес­кой информа­ции о посети­телях. Необ­ходимо отме­тить, что cookies обла­дают огра­ничен­ным вре­менем жиз­ни и, кро­ме того, поль­зователь может уда­лить их в любой момент. По этой при­чине раз­работ­чики идут на раз­личные улов­ки, что­бы повысить вре­мя жиз­ни и объ­ем информа­ции, хра­нимой в cookie-фай­лах.

Од­ним из спо­собов явля­ется исполь­зование хра­нили­ща Flash, в таком слу­чае информа­ция хра­нит­ся в LSO-фай­лах (local shared objects), которые схо­жи с cookie-фай­лами и тоже хра­нят­ся локаль­но на компь­юте­ре поль­зовате­ля. Кро­ме того, сущес­тву­ет еще более мощ­ный инс­тру­мент для работы с cookies — JavaScript-биб­лиоте­ка evercookie. Дан­ная биб­лиоте­ка пре­дос­тавля­ет воз­можность соз­давать труд­ноуда­ляемые cookies путем исполь­зования одновре­мен­но обыч­ных HTTP-cookie, LSO-фай­лов и тегов HTML5. И всю эту информа­цию мож­но извлечь активной сис­темой монито­рин­га.

Осторожно: биг дата

В течение 24 часов неп­рерыв­ного перех­вата тра­фика на выход­ной ноде обра­зует­ся дамп раз­мером 3 Гб. Каль­куляция: 10 нод * 3 Гб * 7 дней = 210 Гб. Если хочешь поучас­тво­вать в про­цес­се раз­бора накоп­ленной информа­ции — пиши мне на элек­трон­ную поч­ту.

 

Пауки темных сетей

Итак, получив в свое рас­поряже­ние огромный дамп, сле­дует занять­ся его ана­лизом на пред­мет onion-ресур­сов. Бег­лое чте­ние дам­па «по диаго­нали» поз­волило сос­тавить катего­рии веб‑при­ложе­ний дар­кне­та и, соот­ветс­твен­но, вывес­ти пси­холо­гичес­кий пор­трет типич­ного Tor-поль­зовате­ля.

Сто­ит отме­тить, что за сут­ки (буд­ний день) неп­рерыв­ного перех­вата тра­фика дамп одной ноды вырас­тает до 3 Гб. А зна­чит, прос­то открыть его Wireshark’ом не получит­ся — прог­рамма прос­то подавит­ся таким боль­шим фай­лом. Для ана­лиза дам­па необ­ходимо раз­бить его на фай­лы раз­мером не более 200 Мб (опре­деле­но эмпи­ричес­ким путем). Для это­го вмес­те с Wireshark идет ути­лита editcap:

>> editcap –c 200000 input.pcap output.pcap

В дан­ном слу­чае зна­чение 200 000 — чис­ло пакетов в одном фай­ле.
При ана­лизе дам­па наша задача зак­люча­ется в поис­ке строк, содер­жащих подс­тро­ку «.onion». С боль­шой долей веро­ятности мы будем находить внут­ренние ресур­сы Tor.

Пример попавшего в логи onion-ресурса
При­мер попав­шего в логи onion-ресур­са
Пример содержательного заголовка Referer
При­мер содер­жатель­ного заголов­ка Referer

Итак, чем же инте­ресу­ются поль­зовате­ли дар­кне­тов? Из попав­ших в наши сети onion-ресур­сов мы сос­тавили неболь­шой спи­сок.

  • Адалт, интимные услу­ги

Пор­ногра­фии, ресур­сов с девуш­ками лег­кого поведе­ния и все­воз­можных форумов по уве­личе­нию «физичес­ких» харак­терис­тик мно­го как во внеш­ней сети, так и внут­ри дар­кне­та. Как говорит­ся, без ком­мента­риев.

Ресурс, предлагающий услуги интимного характера
Ре­сурс, пред­лага­ющий услу­ги интимно­го харак­тера
  • По­лити­ка

Ока­зыва­ется, здесь тоже инте­ресу­ются полити­кой! В нашем дам­пе ока­залось дос­таточ­но боль­шое количес­тво укра­инских веб‑ресур­сов, рас­положен­ных во внеш­ней сети.

  • Зап­рещен­ный кон­тент

Ак­тивно посеща­лись все­воз­можные матери­алы о конс­трук­ции зап­рещен­ных девай­сов (бом­ба), опи­сание пси­хот­ропных веществ с воз­можностью их при­обре­тения. Логич­но: ред­кий инди­вид сер­фит пос­редс­твом дар­кне­та клас­сичес­кие внеш­ние веб‑ресур­сы.

 

Маркеты

Дар­кне­ты и их веб‑ресур­сы пред­став­ляют собой нас­тоящий базар все­воз­можных про­тиво­закон­ных товаров. Оби­лие мар­кетов с нар­котика­ми и ору­жием про­явля­ется не толь­ко в виде ссы­лок, ведущих с внеш­них интернет‑ресур­сов в дар­кнет, но так­же и в реферер‑заголов­ках Tor-юзе­ров.

Девиз типичного Tor-маркета: нет средств, чтобы купить, — сделай сам!
Де­виз типич­ного Tor-мар­кета: нет средств, что­бы купить, — сде­лай сам!

Эти ресур­сы пред­лага­ют не толь­ко раз­лично­го вида химичес­кие соеди­нения, но и матери­ал для пок­лонни­ков сери­ала «Во все тяж­кие» — тех, кто любит «мас­терить» нар­котики сво­ими руками. При­чем соз­датели подоб­ных пло­щадок пре­дос­тавля­ют сво­им кли­ентам сер­вис не хуже, чем какой‑нибудь AliExpress, — сущес­тву­ет сис­тема ски­док для пос­тоян­ных кли­ентов и воз­врат денеж­ных средств за некачес­твен­ный товар. Так­же здесь есть некое подобие тран­закци­онных кодов для отсле­жива­ния ста­туса заказа.

Поп­робу­ем посетить клас­сичес­кий рынок дар­кне­та. Пос­ле недол­гой про­цеду­ры регис­тра­ции, где у нас зап­рашива­ют исклю­читель­но логин и пароль, мы попада­ем в панель управле­ния сво­им «крип­товалют­ным» сче­том. Интерфейс мар­кета устро­ен таким обра­зом, что­бы поль­зователь не отвле­кал­ся на пос­торон­ние эле­мен­ты управле­ния и нас­лаждал­ся оби­лием пред­ложений все­воз­можных «ниш­тяков».

Каталог товаров типичного дарк-маркета
Ка­талог товаров типич­ного дарк‑мар­кета

На­иболь­шее количес­тво позиций наб­люда­ется в катего­риях с нар­котичес­кими вещес­тва­ми, рецеп­тами и некими абс­трак­тны­ми «Digital Goods» — заг­лянем сюда. Сор­тиру­ем по убы­ванию цены и видим, что самым дороги­ми товара­ми в этой катего­рии выс­тупа­ют укра­ден­ные базы акка­унтов. Тут есть из чего выб­рать: от дорогих бан­ков­ских учет­ных записей (сто­имость базы око­ло тысячи дол­ларов) до недав­но утек­ших баз от онлайн‑сер­висов.

Дорогостоящие представители Digital Goods
До­рогос­тоящие пред­ста­вите­ли Digital Goods
Фидбек для «Цифровых товаров»: осторожно, кидалы!
Фид­бек для «Циф­ровых товаров»: осто­рож­но, кидалы!

Кста­ти говоря, на «утек­шие» акка­унты Yahoo и Google име­ются весь­ма положи­тель­ные отзы­вы — а это зна­чит, что народ, который их при­обре­тает, неком­петен­тен в воп­росах информа­цион­ной безопас­ности. Инвай­ты на дру­гие ресур­сы, сом­нитель­ные и «сек­ретные методи­ки заработ­ка в интерне­те» — все это доволь­но неп­лохо монети­зиру­ется.

Дру­гой мар­кет встре­тил нас сом­нитель­ным интерфей­сом и все той же катего­рией Digital Goods, где обна­ружи­лась под­катего­рия с инте­рес­ным наз­вани­ем 0day, в которой… ока­зались те же самые «новые сек­ретные рецеп­ты». Вывод: в тра­дици­онных дар­кет‑мар­кетах прак­тичес­ки отсутс­тву­ют акту­аль­ные кибер­кри­миналь­ные пред­ложения.

Такие вот «зиродеи»…
Та­кие вот «зиродеи»…

При­меча­телен тот факт, что на некото­рых круп­ных пло­щад­ках есть прог­раммы воз­награж­дения за най­ден­ные уяз­вимос­ти (bug bounty). Прав­да, качес­тво репор­тов никакое — в основном «баги» носят ско­рее визу­аль­ный харак­тер. Кро­ме того, форумы магази­нов перепол­нены сооб­щени­ями: «Ано­нимен ли я, если покупаю у вас drugs со сво­его iPad?»

Сре­ди мусора и флу­да встре­чают­ся пред­ложения по отмы­ванию денег. Как гла­сит опи­сание сер­висов: поль­зователь перево­дит свои бит­коины и за неболь­шой про­цент вла­дель­цы сер­виса рас­пре­деля­ют эти день­ги на мно­жес­тво под­кон­троль­ных кошель­ков, ини­циируя тем самым мно­жес­тво тран­закций.

Для тех, кто жела­ет под­нять свой собс­твен­ный мар­кет в дар­кне­те, но при этом ничего не понима­ет в про­цес­се раз­работ­ки веб‑при­ложе­ний, на прос­торах интерне­та фор­миру­ются груп­пы раз­работ­чиков, которые спе­циали­зиру­ются как раз на подоб­ных услу­гах. Сто­имость раз­работ­ки ресур­са для дар­кне­та не силь­но отли­чает­ся от рыноч­ных цен на типовые интернет‑магази­ны, одна­ко тут есть своя спе­цифи­ка. Нап­ример, опла­та этим раз­работ­чикам про­исхо­дит исклю­читель­но пос­редс­твом крип­товалю­ты.

Услуги разработчиков веб-приложений для даркнета
Ус­луги раз­работ­чиков веб‑при­ложе­ний для дар­кне­та
 

Закрытые ресурсы

До­воль­но час­то нам попада­лись раз­личные зак­рытые для глаз обыч­ного посети­теля ресур­сы. Мож­но толь­ко гадать о кон­тенте, спря­тан­ном за ними: воз­можно, это оче­ред­ной форум или мар­кет, воз­можно, это админка какого‑нибудь бот­нета. Очень ред­ко зак­рытый ресурс спра­шивал имя и пароль — чаще мы прос­то натал­кивались на ошиб­ку 404, но при этом в логах фик­сирова­лись недав­ние перехо­ды по внут­ренним скрип­там веб‑ресур­са.

Пример закрытой площадки
При­мер зак­рытой пло­щад­ки
 

Эксплойты, трояны

В наших логах не ока­залось ни одно­го ресур­са дан­ной темати­ки. Одна­ко вот как ком­менти­рует дан­ную ситу­ацию пред­ста­витель «зак­рытого сооб­щес­тва спе­циалис­тов по информа­цион­ной безопас­ности»:

«Дар­кне­ты вооб­ще и Tor в час­тнос­ти не прив­несли никаких изме­нений в стан­дар­тные кибер­кри­миналь­ные биз­нес‑про­цес­сы. Пло­щад­ки, на которых про­дает­ся мал­варь, экс­плой­ты к уяз­вимос­тям, спло­ит‑паки и т. п. по‑преж­нему оста­лись во внеш­ней сети. Поп­росту незачем ухо­дить в дар­кне­ты — это отсе­кает пла­тежес­пособ­ную ауди­торию и кли­ентов, усложня­ет сер­вис. Раз­работ­чики вре­донос­ного ПО жела­ют мак­сималь­но упростить свою ком­муника­цию с заказ­чиками, и в этом про­цес­се Tor — неудоб­ный и сом­нитель­ный инс­тру­мент. Толь­ко с точ­ки зре­ния фун­кци­они­рова­ния мал­вари дар­кнет выс­тупа­ет хорошим средс­твом сох­ранения админки бот­нета.

Что каса­ется кар­динг‑пло­щадок, то кар­деры — люди очень жад­ные и ленивые. Зачем ухо­дить в дар­кнет, если дос­таточ­но огра­ничить дос­туп к кон­тенту стан­дар­тны­ми средс­тва­ми веб‑движ­ков? Или ввес­ти член­ский взнос за учас­тие в форуме? Уяз­вимос­ти нулево­го дня уже труд­но най­ти не толь­ко в дар­кне­те, но и на зак­рытых пло­щад­ках в тра­дици­онном вебе. Экс­плой­тос­тро­ите­ли теперь работа­ют в коман­дах и нап­рямую с кон­крет­ными заказ­чиками, так что им теперь вряд ли не нуж­ны форумы и уж тем более дар­кне­ты».

Про­цесс «гуг­ления» внут­ри торов­ских onion-ресур­сов дал нес­коль­ко ссы­лок на про­дав­цов бан­ков­ско­го тро­яна ZeuS, одна­ко все эти ссыл­ки находи­лись внут­ри круп­ного мар­кета, который, наряду с тро­янцем, про­дает нар­котики и тому подоб­ный стафф.

 

Не Tor’ом единым

Тех­нологи­чес­кая суть дар­кне­та сво­дит­ся к орга­низа­ции допол­нитель­ного сетево­го уров­ня, который работа­ет поверх IP-про­токо­ла. Все это дает воз­можность осу­щест­влять ано­ним­ную переда­чу дан­ных (Tor) и в ряде слу­чаев ано­ним­но раз­мещать свое веб‑при­ложе­ние (I2P).

Сто­ит отме­тить, что Tor боль­ше ори­енти­рован на сох­ранение ано­ним­ности учас­тни­ка информа­цион­ного обме­на, в то вре­мя как I2P и Freenet боль­ше под­ходят для реали­зации ано­ним­ного хос­тинга. «Диг­герам» кон­тента в дар­кне­тах нель­зя оставлять без вни­мания I2P и неболь­шую ано­ним­ную пирин­говую сеть Freenet, ведь это нас­тоящий «тихий омут».

 

I2P

Пос­ле уста­нов­ки Java-кли­ента I2P на стра­нице 127.0.0.1:7658 появ­ляет­ся «заг­лушка» для локаль­ного сай­та. Для того что­бы дан­ный сайт стал виден всем учас­тни­кам это­го дар­кне­та, нуж­но нас­тро­ить тун­нель. Для адре­сации внут­ри сети исполь­зуют­ся иден­тифика­торы, пред­став­ляющие собой Base64-стро­ки. Для сопос­тавле­ния труд­ночита­емо­го иден­тифика­тора с уни­каль­ным име­нем нашего про­екта (нап­ример, project.i2p) необ­ходимо зарегис­три­ровать для дан­ного иден­тифика­тора домен­ное имя. Пусть тебя не сму­щает отсутс­твие сис­темы домен­ных имен — ее поп­росту нет, так как она сама по себе была бы «узким гор­лышком» в работе сети.

DNS здесь реали­зован в виде рас­пре­делен­ной сис­темы хра­нения хеш‑таб­лиц. Пос­ле того как будет соз­дан уни­каль­ный адрес (в его уни­каль­нос­ти поз­воля­ет убе­дить­ся внут­ренний сер­вис), мож­но акти­виро­вать про­ект. Информа­ция о про­екте дол­жна быть вне­сена в рас­пре­делен­ные адресные хра­нили­ща, пос­ле чего она рас­простра­нит­ся меж­ду все­ми поль­зовате­лями сети. Имен­но дан­ный факт упро­щает сбор информа­ции о внут­ренних ресур­сах.

 

Выход на свет

Не при­нимай близ­ко к сер­дцу утвер­жде­ния об абсо­лют­ной ано­ним­ности в дар­кне­те: все боль­ше иссле­дова­ний доказы­вают, что ано­ним­ность в Tor и ему подоб­ных сетях — это прос­то аль­тер­натива дру­гим средс­твам убе­речь­ся от вни­мания «соседа». Дар­кнет в нас­тоящее вре­мя лишь надеж­да для анар­хистов (и жела­ющих уве­личить свой «девайс»), рынок для нар­команов и поле для иссле­дова­ний.

С помощью пас­сивной сис­темы монито­рин­га мы смог­ли опре­делить целевую ауди­торию дар­кне­та, нем­ного покопа­лись в акту­аль­ном кон­тенте и наш­ли отправ­ную точ­ку для активной сис­темы монито­рин­га, которая, в свою оче­редь, име­ет шан­сы твер­до отве­тить на воп­рос, сущес­тву­ет ли ано­ним­ность в дар­кне­те.

Благодарность

Спа­сибо Ами­рану Гебено­ву за помощь в кон­фигури­рова­нии и адми­нис­три­рова­нии опи­сан­ной сис­темы монито­рин­га.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии