In onze vorige blogpost besproken wij hoe cybercriminelen te werk gaan. De cyber kill chain toonde ons dat er verschillende stappen zijn te identificeren die in de gemiddelde aanval worden doorlopen. Natuurlijk werd het dark web hier genoemd, maar wat is het dark web eigenlijk? Is het echt een duistere en mysterieuze ontmoetingsplek voor criminelen van alle soorten en maten? Of is dit wat kort door de bocht, en zijn er nuances te vinden?
Hoog tijd om deze vragen te beantwoorden: In deze blogpost leggen wij uit wat het dark web is, hoe het werkt, en waarvoor het wordt gebruikt. Daarnaast nemen we de proef op de som en nemen zelf een kijkje in deze mysterieuze wereld. Op het dark web kun je van alles aantreffen. Wij leggen de focus echter op cyberveiligheid en daaraan gerelateerde onderwerpen omdat deze voor de gemiddelde organisatie het meest relevant zijn: Van alles wat er op het dark web te vinden is, loopt u hiervan de grootste kans om ermee geconfronteerd te worden. Daarnaast sluit dit natuurlijk goed aan bij de expertise van onze eigen organisatie.
Deep web versus dark web, wat zijn nou eigenlijk de verschillen? Zijn die er überhaupt wel? De termen dark web, darknet en deep web, worden vaak door elkaar gebruikt. Daarom beginnen we met een korte uitleg over deze verschillende termen. De termen zijn namelijk wel aan elkaar gerelateerd, maar geen synoniemen van elkaar.
Het deep web is een term die simpelweg duidt op het deel van het internet dat niet vrij doorzoekbaar is met standaard zoekmachines als Google. Het deep web is naar inschatting wel 25 tot zelfs 500 maal groter dan het zogenoemde surface web, dit is het deel van het web dat wel doorzoekbaar is met zoekmachines. Daarom wordt het web vaak vergeleken een ijsschots, hierbij bevindt zich ook verreweg het grootste deel onder het oppervlak! Het idee is dus dat het deep web beschikbaar is via internet, maar alleen voor degene die nadrukkelijk toegang hebben, bijvoorbeeld met een gebruikersnaam en wachtwoord. Je kunt hierbij denken aan bedrijfsdata of streaming services. Het deep web gaat dus niet per se over illegale praktijken, maar is wel noodzakelijk voor het functioneren van onze hedendaagse maatschappij!
Een darknet is een netwerk in het bestaande internet (of een ander netwerk) en kan alleen benaderd worden via speciale software, encryptie, configuraties, of autorisatie. Een darknet gebruikt vaak zelfs een eigen communicatieprotocol. Typische voorbeelden van darknets zijn friend-2-friend (F2F) netwerken die gebruikt worden voor onder andere het delen van bestanden en ‘anonymity proxy networks’ zoals TOR. TOR is een afkorting voor The Onion Router en waarschijnlijk het meest populaire darknet.
The onion router (TOR) stelt toegang tot een ongecensureerd web en de anonimiteit van gebruikers centraal. TOR is een open netwerk dat bedoeld is voor anonieme communicatie. Om gebruik te maken van dit netwerk heb je de TOR-browser nodig. Dit is een speciale dark web browser, gebaseerd op Firefox en werkt net als andere browsers zoals Safari, Internet Explorer en Chrome. Om de anonimiteit van gebruikers te verhogen wordt alle communicatie echter versleuteld (encrypted) in een aantal lagen of schillen, vergelijkbaar met een ui. Daarnaast wordt de informatie via omwegen gestuurd (routed). Zo kun je in Nederland bijvoorbeeld via Duitsland, China en Australië een webpagina openen die is gehost in Amerika. De dark web browser TOR zorgt er dan voor dat de Amerikaanse pagina ‘denkt’ dat je uit Australië komt. Ook kan je internetprovider niet zien welke site jij bezoekt. De TOR-browser maakt het dus veel moeilijker om je te traceren bij het bezoeken van het (surface) web. Daarnaast maakt deze extra beveiliging het mogelijk om gebruik te maken van services die draaien op het TOR netwerk; .onion websites. De .onion extensie vervangt de gebruikelijke web-extensies zoals .com en .nl. Van dit soort websites zijn de operators (degene die de website runnen) anoniem en ze zijn alleen met een TOR-(achtige) dark web browser te bezoeken.
Het dark web bestaat uit de diensten die draaien op een darknet en vormt een onderdeel van het deep web, omdat zij verborgen zijn van de standaard zoekmachines.
In het begin van deze blogpost hadden we het al even over criminele activiteiten en het dark web. De anonimiteit die gebruikers kunnen genieten in het TOR-netwerk faciliteert inderdaad veel criminele activiteiten. Een van de meest bekende functies van dit netwerk is misschien wel het hosten van digitale marktplaatsen waar illegale waren worden verhandeld. Hierbij kun je bijvoorbeeld denken aan drugs, kant-en-klare of op maat gemaakte malware, hack-diensten, of bestanden vol met gehackte gebruikersnamen en wachtwoorden en gestolen creditcard gegevens.
Maar het dark web wordt niet alleen gebruikt door criminelen. Doordat je internetactiviteit wordt omzeild (en verhuld) voor je internetprovider, kun je anoniem surfen en informatie uitwisselen. TOR wordt daarom ook veel gebruikt door bijvoorbeeld journalisten, klokkenluiders en activisten. Het merendeel van de financiering van TOR schijnt overigens van Amerikaanse staatsinstanties te komen!
Voor we verder gaan met het verslag van ons eigen bezoek aan het dark web, willen we graag nog even aandacht vestigen op het feit dat het woord cybercrimineel absoluut geen synoniem is voor hacker. Al sluiten de termen elkaar niet wederzijds uit, hackers zijn lang niet altijd cybercriminelen, en cybercriminelen zijn lang niet altijd hackers! Hackers zijn mensen die sterk gebiologeerd zijn van een bepaald onderwerp en proberen – vaak spelenderwijs – om iets te gebruiken op een manier waarvoor het niet bedoeld is. Vaak hebben we het dan over IT-gerelateerde zaken, maar dit hoeft helemaal niet. Zo is het hacken van synthesizers of zelfs IKEA meubulair erg populair onder bepaalde communities. Wanneer hacken wel in combinatie met IT is, kan het bijvoorbeeld gaan om het inbreken in computersystemen. Als dit voor kwaadaardige doeleinden is, valt het onder cybercrime. Maar het gebeurt ook juist veel voor goedaardige doelen. Organisaties laten hun IT-omgeving bijvoorbeeld bewust hacken door red-teams; hackers die de digitale infrastructuur van organisaties proberen binnen te dringen om te kijken hoe het is gesteld met de veiligheid. Cybercriminelen hoeven dus helemaal geen hackers te zijn, zij kunnen bijvoorbeeld heel eenvoudige tools gebruiken om illegale activiteiten uit te voeren op internet. Ook mensen die illegale waren verhandelen op het internet vallen binnen de categorie cybercrimineel.
Natuurlijk waren wij erg nieuwsgierig en hebben wij zelf ook even een kijkje genomen. Het eerste dat opvalt is dat de internetadressen niet uit normale woorden bestaan maar uit series van schijnbaar willekeurige letters en cijfers. We worden ook meteen gebombardeerd met tientallen reclames voor illegale handel zoals creditcard gegevens en aantrekkelijk geprijsde, maar op zeer dubieuze wijze verkregen giftcards van allerlei bedrijven. Uiteindelijk zijn we na kort onderzoek terecht gekomen op een populaire marktplaats. Hier treffen we inderdaad nog meer illegale handel aan, waaronder veel verschillende soorten malware. Als je deze malafide software wilt kopen reken je af in cryptocurrency, vooral Bitcoin en Monero lijken veel geaccepteerde varianten. Hoewel ons via advertenties wel lijsten werden aangeboden van onbetrouwbare verkopers, blijft het voor ons een grote vraag in hoeverre je zeker kunt zijn van de levering van de illegale waren nadat deze betaald zijn.
We concentreren ons voor dit blog op het cyber-gerelateerde aanbod: Wat ons direct opvalt is dat je dit aanbod op een spectrum zou kunnen plaatsen van goedkoop tot duur. Hierbij zijn verschillende verbanden aan te wijzen. Zo lijken hogere prijzen gepaard te gaan met hogere inspanning van de leverancier. Dit lijkt weer gepaard zal gaan met een lager kennisniveau van de opdrachtgever; een bedreven hacker kan met weinig geld relevante informatie vinden voor de eerste fasen van zijn aanval. Zij (of hij) kan bijvoorbeeld grote bestanden kopen met combinaties van email adressen en wachtwoorden, om te kijken of hier werknemers van een organisatie in voorkomen. Ook code van verschillende malware is beschikbaar, deze code kan worden gebruikt om een uiteindelijke aanval te creëren. Aan het andere uiterste van het spectrum kan iemand zonder enige vaardigheden een cyberaanval volledig door een aanbieder laten aanvallen; cybercrime as a service. Hiertussen zitten ook nog stappen zoals kant-en-klare malware, waar nog wel enige kennis voor vereist is. Hier kunnen we een interessante link leggen met de vorige blogpost over de cyber kill chain: Hoe minder vaardigheden een opdrachtgever heeft, hoe meer van de stappen van de cyber kill chain deze zal uitbesteden, en hoe meer dit ook zal kosten. Sommige diensten die worden aangeboden zijn rondweg schrikbarend, zo kun je voor een paar honderd euro iemands leven laten verpesten (letterlijk vertaald uit “ruin someone’s life”). Denk aan identiteitsfraude, of het plaatsen van kinderporno op iemands pc. Grofweg zou je het aanbod in kunnen delen in 3 categorieën: losse informatie, kant-en-klare malware en cybercrime as a service.
In dit stuk hebben we gelezen dat verscheidene termen gebruikt worden om verschillende – aan elkaar verbonden – delen van het internet te beschrijven, dat hackers niet altijd cybercriminelen zijn, en cybercriminelen niet altijd hackers. Ook hebben we besproken voor welke activiteiten darknets zoals TOR worden ingezet.
Tenslotte hebben we een kleine greep besproken van wat er te vinden is op het dark web en het cyber-gerelateerde aanbod ingedeeld in verschillende categorieën.
De belangrijkste take-away van deze post is dat cybercrime dus echt niet alleen voorhanden is voor superintelligente en kwaadwillende hackers, maar dat het dark web aanbod faciliteert voor iedereen met kwaad in de zin, met verschillende niveaus aan skillsets. We hebben de laatste tijd al een exponentiële toename waargenomen in cybercrime, het lucratieve karakter en de steeds grotere beschikbaarheid zullen dit helaas eerder verergeren dan verminderen.