docDeep Web und Cybercrime
download 
Report Transcription
Deep Web und Cybercrime
Deep Web und Cybercrime Nicht allein TOR Autor: incenzo Ciancaglini, V Marco Balduzzi, Max Goncharov, und Robert McArdle Forward-Looking Threat Research Team Trend Micro | Deep Web und Cybercrime Inhaltsverzeichnis Zusammenfassung.........................................................................................................................3 Einführung......................................................................................................................................3 Überblick über vorhandene Deep Web-Netzwerke........................................................................5 TOR....................................................................................................................................5 I2P......................................................................................................................................6 Freenet...............................................................................................................................7 Alternative Domain Roots...................................................................................................7 Cyberkriminalität im TOR-Netzwerk...............................................................................................9 TOR-Marktplatz – ein Überblick..........................................................................................9 Private Angebote in TOR..................................................................................................14 Vergleich mit den russischen Untergrundmarktplätzen................................................................16 Überwachung des Deep Web.......................................................................................................18 Weitere Forschung zum Thema...................................................................................................19 Schlussfolgerung..........................................................................................................................20 HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar. Trend Micro | Deep Web und Cybercrime Zusammenfassung Der Begriff Deep Web bezeichnet eine Klasse von Inhalten im Internet, die aus verschiedenen technischen Gründen von den Suchmaschinen nicht indiziert wird. Das nutzen böswillige Akteure aus. Eine ihrer effizientesten Strategien, die Crawler der Suchmaschinen zu umgehen, ist die Nutzung so genannter „Darknets“. Dies ist eine Klasse von Netzwerken, die darauf ausgerichtet ist, einen anonymen und nicht nachvollziehbaren Zugriff auf Webinhalte zu gewährleisten. Das Deep Web wird häufig ausschließlich mit The Onion Router (TOR) in Verbindung gebracht, doch gibt es weitere Netzwerke, die Anonymität und Verschleierung gewährleisten können. Zu den bekanntesten zählen Darknets (TOR, I2P und Freenet) und alternative Top Level Domains (TLDs), auch “betrügerische TLDs” genannt. Die Sicherheitsforscher von Trend Micro haben analysiert, wie bösartige Akteure diese Netzwerke für den Austausch von Gütern nutzen. Auch hat das Team die vorhandenen Marktplätze im Deep Web und die dort feilgebotenen Waren untersucht. Aufgrund der großen Vielfalt der verfügbaren Waren konzentrierten sich die Forscher auf diejenigen, die bei den Cyberkriminellen auf das größte Interessse stoßen. Sie verglichen deren Preise mit denen in traditionellen Marktplätzen, vor allem den russischen Internet-Untergrundforen. Schließlich zeigen die Sicherheitsforscher einige Techniken auf, die für ein proaktives Monitoring dieser verborgenen Teile des Internets angewendet werden können. Einleitung Der Begriff Deep Web wird seit einigen Jahren für Internet-Inhalte verwendet, die von Suchmaschinen nicht aufgefunden werden können. Dazu gehören • Dynamische Webseiten: Seiten, die als Folge einer http-Anfrage dynamisch generiert werden. • Blockierte Sites: Sites, die einen Crawler explizit daran hindern, darauf zuzugreifen und Inhalte mit CAPTCHAs, Pragma No-Cache http-Header oder ROBOTS.TXT-Einträgen zu entnehmen. • Nicht verbundene Sites: Seiten, die mit keiner weiteren Seite verlinkt sind, und dadurch Crawler möglicherweise daran hindern sie zu erreichen. • Private Sites: Seiten, für deren Zugang eine Registrierung oder Anmeldung/ Passwortauthentifizierung erforderlich ist. • Nicht-HTML/Kontextuelle/Scripted Inhalte: Inhalte, die in einem anderen Format codiert sind und auf die mit Javascript oder Flash zugegriffen wird, oder die kontextabhängig sind (z.B. ein bestimmter IP-Bereich oder History-Eintrag). • Netzwerke mit eingeschränktem Zugang: Inhalte auf Webseiten, die nicht aus der öffentlichen Internetinfrastruktur zugänglich sind. 3 Trend Micro | Deep Web und Cybercrime Der letzte Punkt weist zwei Arten der Einschränkung auf, die zwei unabhängige Kategorien darstellen: • Sites, deren Domänenname in einer anderen Domain Name System (DNS)-Root (z.B. betrügerische TLDs) registriert sind. Dies sind Webseiten, deren Host-Namen über einen von der Internet Corporation für Assigned Names and Numbers (ICANN)-unabhängigen Registrar angemeldet wurden.1 Standard-Domänennamen folgen einer Namenshierarchie, die von der ICANN koordiniert wird. Die Institution ist für die Definition von Standard-TLDs zuständig (z.B. .com, .edu, .gov, etc.) und auch für die Koordination der Zuweisung von Domänennamen. StandardDNS werden der von der ICANN festgelegten Namenshierarchie gemäß synchronisiert und können alle Domänennamen innerhalb des ICANN-Bereichs auflösen. Es lassen sich aber auch Verbindungen zu bestimmten DNS-Servern herstellen, die zusätzliche Namespaces verwalten, die die ICANN nicht anerkennt. So können Domänennamen registriert werden, die nicht den ICANN-Regeln folgen, etwa eine NichtStandard-TLD. Die Auflösung dieser Domänennamen erfordert einen bestimmten DNSServer, dessen Einsatz einige Vorteile bieten kann, etwa eine einfache und manchmal nicht nachzuvollziehende Möglichkeit, neue Domänennamen zu registrieren. • Darknets und alternative Routing-Infrastrukturen: Sites, die in einer Infrastruktur gehostet werden, die eine bestimmte Software benötigt, um den Content Provider zu erreichen. Beispiele solcher Systeme sind TORs verborgene Dienste oder Sites, die im Invisible Internet Project (I2P)-Netzwerk gehostet werden. Diese Sites werden im Allgemeinen auch von einem Nicht-Standard-Domänennamen identifiziert, der den Einsatz derselben Software erforderlich macht, um für einen zu routenden Endpunkt aufgelöst zu werden. Dass diese Sites von Crawlern nicht erfasst werden, ist nicht technischen Einschränkungen gechuldet. Crawler können einen alternativen DNS-Namen auflösen, indem sie Verbindung zu einem der spezifischen, öffentlich zugänglichen DNS-Server aufnehmen. Die TOR- und I2PSoftware agieren als SOCKS-Proxy, sodass ein Crawler auf die Inhalte zugreifen kann. Der einzige Informationsabfluss aus Darknets an Suchmaschinen geschieht nur über Gateway-Services wie tor2web. Der Dienst bietet eine Clearnet-Domäne, über die ein direkter Zugriff auf Inhalte möglich ist, die in verborgenen Diensten gehostet werden. 2 1 http://www.icann.org/ 2 http://www.tor2web.org/ 4 Trend Micro | Deep Web und Cybercrime Überblick über vorhandene Deep Web-Netzwerke Drei Hauptnetzwerke werden heutzutage dafür genutzt, Anonymität sowohl auf Client- als auch auf Serverseite zu gewährleisten -- TOR, I2P und Freenet. Die letzteren beiden sind nicht so beliebt wie TOR, doch sie bieten nützliche technische Funktionen, die sie in nächster Zeit zu gangbaren Alternativen reifen lassen, etwa falls das TOR-Netzwerk für Nutzer zu unsicher wird.3 TOR Das TOR-Netzwerk wurde 2002 vom US Naval Research Laboratory entwickelt. Es ermöglicht anonyme Kommunikation, indem es ein Netzwerk aus freiwilligen Knoten (derzeit mehr als 3.000) nutzt, die für das Routing verschlüsselter Anfragen zuständig sind. So kann der Verkehr vor Netzwerküberwachungs-Tools versteckt werden.4 Um das TOR-Netzwerk zu nutzen, muss ein Anwender Software installieren, die als SOCKS-Proxy agiert. Die TOR-Software versteckt die Kommunikation auf einem Server im Internet, indem sie eine Reihe von zufälligen Relay-Knoten wählt, um einen Kreislauf zu erzeugen. Alle Anfragen werden mit einem öffentlichen Schlüssel jedes gewählten Knotens rekursiv verschlüsselt, bevor sie ins Netzwerk kommen. Wenn sie dann von Relay zu Relay weitergeleitet werden, so wird nacheinander jede Verschlüsselungsschicht für den nächsten Relay aufgelöst, bis ein Exit-Knoten erreicht ist und die entschlüsselte Anfrage ihr Ziel erreicht hat. Dieser mehrschichtige Verschlüsselungsmechanismus bietet folgende Vorteile: • Ein Server, der eine Anfrage vom TOR-Netzwerk erhält, betrachtet diese als einen Request, der vom letzten Knoten im TOR-Kreislauf ausgegeben wurde (das ist der Exit-Knoten). Es gibt keine einfache Möglichkeit, die Anfrage zu ihrem Ursprung zurückzuverfolgen. • Jeder Knoten innerhalb des Kreislaufs kennt nur den vorausgegangenen und den nächsten Knoten, kann aber den Inhalt nicht entziffern und auch nicht dessen letztes Ziel finden. • Der einzige TOR-Knoten, der die entschlüsselte Anfrage sehen kann, ist der ExitKnoten, doch auch dieser kennt den Ursprung der Anfrage nicht, sondern nur den vorletzten Knoten. 3 http://nakedsecurity.sophos.com/2013/08/05/freedom-hosting-arrest- and-takedown-linked-to-tor-privacy-compromise/. 4 https://metrics.torproject.org/ 5 Trend Micro | Deep Web und Cybercrime In neueren Versionen des TOR-Protokolls gibt es eine Funktionalität, die es ermöglicht, ganze Sites auf TOR-Knoten zu hosten und sie damit „unsichtbar“ zu machen. Die Dienste, die im TOR-Netzwerk laufen, werden als „verborgene Services“ bezeichnet. Bei diesem Ansatz werden die Kontaktinformationen für den Zugriff auf einen verborgenen Dienst in Form eines Rendezvous-Knotens gespeichert, der als Mittler fungiert, und ein Verschlüsselungs-Key in einer Distributed Hash Table (DHT) kommt hinzu. Die DHT ist eine Form von verteiltem DNS, die einen .onion-Hostnamen in die benötigte Kontaktinformation umwandelt. In diesem Fall wird sowohl die Client- als auch die Server-IP-Adresse vor Dritten versteckt, die etwa versuchen, den Verkehr zu analysieren oder zu blockieren. Die tatsächlichen Standorte werden sogar voreinander versteckt. I2P I2P ist als verteilter anonymer Peer-to-Peer (P2P)-Kommunikations-Layer konzipiert, auf dem jeder herkömmliche Internet Service laufen kann. I2P gibt es seit 2003 und das Netzwerk stellt eine Weiterentwicklung des Freenet dar, das es erlaubt, mehrere Dienste auszuführen (neben http). Während TOR ursprünglich darauf ausgerichtet war, Anonymität für die Verbindung mit einem Internet Service (z.B. WWW) zu gewähren, und sich erst später für generell verborgene Services ausgeweitet hat, ist I2Ps einziges Ziel, Nutzern eine Möglichkeit zu bieten, Services im Verborgenen zu hosten (IRC, Web, Mail und bittorrent). TORs Hauptkonzept ist das Erstellen von Kreisläufen (z.B. verschlüsselte Pfade über ein zufälliges Set von Knoten, um entweder einen Exit-Knoten zu erreichen, der als Proxy dient, oder um einen Rendezvous-Punkt zu erreichen, der als Mittler in der Kommunikation mit einem verborgenen Service dient). I2P wiederum führt die virtuellen Tunnels ein. Jeder Knoten in einem I2P-Netzwerk ist ein Router. Er erstellt und unterhält einen Pool von nach innen und nach außen gerichteten virtuellen Pfaden. Will beispielsweise Knoten A eine Nachricht an Knoten B senden, so routet er die Nachricht an einen der nach außen gerichteten Tunnel zusammen mit den erforderlichen Informationen für einen der nach innen gerichteten Tunnel des Knoten B. Die Informationen über die nach innen gerichteten Tunnel sind, ähnlich wie in TOR, in einer DHT gespeichert , die als dezentralisierte Netzwerkdatenbank dient. So existiert kein zentraler Point-of-Failure. Jegliche Kommunikation ist über mehrere Schichten verschlüsselt: Point-to-Point-Verschlüsselung zwischen Sender und Empfänger, Transportverschlüsselung zwischen den Routern im Netzwerk und End-to-End in den Tunneln. Während TOR ein Verschlüsselungsschema namens “Onion Routing” nutzt, nennt man das verschlüsselte Routing in I2P “Garlic Routing”. Die versteckten Sites (Torrent Tracker oder anonyme Mail-Server), auch “eepsites” genannt, die im I2P-Netzwerk gehostet werden, können entweder über einen Hash-Wert oder einen Domain Name mit der .i2p TLD identifiziert werden. 6 Trend Micro | Deep Web und Cybercrime Freenet Freenet gibt es seit 2000, und es gilt als Vorgänger von I2P. Doch anders als I2P enthält es eine reine DHT in Form eines unstrukturierten übergelagerten Netzwerks. Das bedeutet, dass jeder Knoten für ein Unterset an vorhandenen Ressourcen zuständig ist und diese gemeinsam bedient, wenn er eine Anfrage erhält. Darüber hinaus unterhalten die Knoten eine Liste von Nachbarsknoten, die üblicherweise bekannt und vertrauenswürdig sind. Das Prinzip nennt sich “Small World Principle”. Knoten und Daten werden über einen Schlüssel identifiziert, der normalerweise über einen Hash-Wert repräsentiert wird. Wenn eine Anfrage eine Ressource sucht, so geht sie über alle Nachbarn eines Knotens und zwar in der Reihenfolge der Präferenz (z.B. zu Knoten, deren Schlüssel dem Ressourcenschlüssel am nächsten ist). Aufgrund seines Ansatzes ist Freenet für die Verarbeitung von statischen Inhalten besser geeignet und kann mit dynamisch generierten Webseiten oder anderen Formen von Internetdiensten (z.B. IRC, Mail usw.) weniger gut umgehen. Im Vergleich zu I2P und TOR bietet Freenet weniger Flexibilität hinsichtlich der gehosteten Dienste, weil das Netzwerk lediglich statische Inhalte, ohne etwa Server-seitiges Scripting, zur Verfügung stellt. Auch ist die Auswahl an Diensten, die darauf implementiert werden können, eingeschränkt. Das heißt jedoch nicht, dass Freenet keine geeigenete Plattform für das Hosting einfacher Marktplätze oder für den Austausch informationsbezogener bösartiger Aktivitäten darstellt. Alternative Domain Roots Alternative Domain Roots, auch bekannt als “betrügerische TLDs”, sind eine Netzwerkklasse, die DNS-Domänen nutzt, die nicht unter der Kontrolle der ICANN stehen (anders als traditionelle .dot/.net/.org Domänen). Domänen, die innerhalb einer solchen TLD registriert sind, müssen einen dedizierten Name-Server nutzen. Andererseits ist, abhängig von der Institution, die die DNS-Root betreibt, die Registrierung eines Domänennamen für einen böswilligen Akteur viel weniger kompliziert als bei .bit-Domänen, deren Registrierung einem P2P-Paradigma folgt. Im Gegensatz zu TOR bieten alternative DNS-Domänen keine besondere Form der Anonymität. Dennoch bieten sie klare Vorteile für böswillige Akteure, wie einen gewissen Schutz vor Domain-Sinkholing, flexibleres Domänenmanagment und die Möglichkeit, dem Suchmaschinen-Crawling zu entgehen. Zwar ist es für eine Suchmaschine technisch möglich, eine Site auf einer alternativen DNS zu durchkämmmen (z.B. einfach durch die Nutzung seines DNS-Servers), doch passiert das üblicherweise nicht. Falls es doch vorkommt, werden die Ergebnisse den Nutzern, die keine Rechte für die konfigurierten DNS-Server haben, nicht präsentiert. 7 Trend Micro | Deep Web und Cybercrime Das Forscherteam konnte folgende aktive alternative DNS Roots identifizieren: • Namecoin: ist verantwortlich für die .bit-TLD. Sie beruht auf einer P2P-Infrastruktur und arbeitet nach denselben Prinzipien wie Bitcoins. Ein Client, der auf die Domänen zugreifen will, hat entweder einen dedizierten DNS-Client oder nutzt einen der online verfügbaren Gateway DNS-Server. Weitere Informationen zu .bitTLD wird ein nächstes Forschungspapier von Trend Micro liefern.5 • Cesidian Root: ist ein alternativer DNS, den eine Privatperson aus Italien betreibt, der TLDs wie .cw, .ispsp, .5w und .6w anbietet.6 Ursprünglich sollte er die parapolitische Vision von Herrn Tallini unterstützen, der auch der selbsternannte Gouverneur von United Micronations Multioceanic Arcipelago (UMMOA) ist.7 Abgesehen von diesem folkloristischen Aspekt umfasst Cesidian Root ein Netzwerk aus mehr als 30 DNS-Servern weltweit mit IPv4 und IPv6. • Namespace.us: Diese Organisation bietet 482 alternative TLDs, wie etwa .academy,.big und .manifesto. Es gibt sie seit 1996, und sie wurde gegründet, um die beschränkte Anzahl der damals verfügbaren TLDs zu erweitern. Außerdem bot sie einen schnelleren Prozess für die Domänenregistrierung sowie anderer auf Domänen bezogener Dienste an.8 Nachdem der Versuch, die eigenen TLDs in die DNS-Root-Zone zu integrieren, 1990 fehlgeschlug, etablierte sich die Organisation als alternativer Anbieter von Domänennamen und bietet eigene DNS-Server, die sowohl deren TLDs als auch die offiziellen von ICANN auflösen. 5 6 7 8 http://dot-bit.org/Main_Page http://cesidianroot.net/ http://www.foxnews.com/tech/2012/03/02/cesidian-root-bizarre-peek-at-world-wide-weird/ http://namespace.us 8 Trend Micro | Deep Web und Cybercrime • OpenNIC: Dieses Projekt besteht aus einem Netzwerk von DNS-Servern, die von Privatpersonen und Freiwilligen betrieben werden, die eine DNS-Infrastruktur anbieten wollen, die neutral, unabhängig von Regierungen und Organisationen sowie demokratisch und für jeden zugänglich ist.9 Jeder kann einen Computer als Tier-2 DNS-Server anbieten. Einzige Bedingung ist die Einhaltung einer strikten Policy bezüglich Sicherheit, Performance und Anonymisierung.10 Neben dem Angebot eines Netzwerks von DNS-Servern für die Standard ICANN DNS-Root liefert dieser DNS-Provider auch einen alternativen Namensraum mit 14 TLDs und Unterstützung für vier alternative TLDs von NewNations. Das ist eine Organisation, die Domain Roots für bestimmte politische Organisationen etwa der Tibeter oder Kurden anbietet. Cyberkriminalität im TOR-Netzwerk Trotz der Tatsache, dass alle beschriebenen Systeme das Potenzial haben, illegale Geschäfte jeglicher Art zu unterstützen, scheint TOR das einzige zu sein, das sich im Untergrundmarkt der Beliebtheit erfreut. Der Grund dafür mag damit zusammenhängen, dass TOR ausgereifter und in seiner Entwicklung weiter ist als die Konkurrenz. Auch wurde das Netzwerk von Organisationen wie Electronic Frontier Foundation als erste Wahl bei Antizensur-Tools bestätigt. TOR Marktplatz – ein Überblick Das TOR-Netzwerk umfasst zwei Hauptmarktplätze und dazu zwei weitere, die nicht mehr aktiv sind. Auch beinhaltet es eine Vielfalt an kleinen Sites, die Einzeldienste anbieten. Jeder Marktplatz umfasst eine voll funktionsfähige E-Commerce-Lösung mit verschiedenen Segmenten, Einkaufswagen, Abmeldemanagement, Bezahl- und Treuhanddiensten. Alle unterstützen digitale Währungen wie Bitcoins und Litecoins. 9 http://www.opennicproject.org/ 10 http://www.opennicproject.org/opennic-policies/dns-operation-policy/ 9 Trend Micro | Deep Web und Cybercrime Silk Road ist der wahrscheinlich unrühmlichste von allen, der in den letzten Jahren für viele Negativschlagzeilen gesorgt hat.11 Er bietet Warenkataloge in verschiedenen Bereichen (Bild 1) und hat Verkäuferbewertungen und Käuferanleitungen für einen sicheren Einkauf. Es ist bisher der einzige Markt, der von den Forschern ausführlich analysiert worden ist. Eine kürzlich veröffentlichte Untersuchung der Carnegie-Mellon University zeigt, dass 2012 der Umsatz bei 22 Millionen Dollar lag und sich die Zahl der Nutzer in weniger als sechs Monaten verdoppelt hatte.12 Es stellte sich zudem heraus, dass die Zahlen viel zu niedrig geschätzt waren. Bild 1: Silk Road: Hauptseite 11 http://www.theatlantic.com/technology/archive/2011/06/libertarian-dream-a-site-where-you-buy- drugs-with-digital-dollars/239776/ http://www.gq-magazine.co.uk/comment/articles/2013-02/07/silk-road-online-drugs-guns-black- market/viewall http://www.forbes.com/sites/andygreenberg/2012/08/06/black-market-drug-site-silk-road-booming-22-million-in-annual-mostly-illegal-sales/ 12 http://arxiv.org/pdf/1207.7139v1.pdf 10 Trend Micro | Deep Web und Cybercrime Seit dem 2. Oktober 2013 ist Silk Road nicht mehr aktiv, und der Besitzer und Hauptadministrator Ross William Ulbricht wurde vom FBI verhaftet und als “Dread Pirate Roberts” angeklagt. Die Anklage gibt eine Reihe von Einzelheiten zum Betrieb des Marktplatzes preis, etwa zum Drogenhandel, Computer-Hacking oder zur Beihilfe zur Geldwäsche.13 Ulbricht ist auch des Mordauftrags an einem anderen Silk Road-Nutzers verdächtig, der damit gedroht hatte, die Identität tausender von Nutzern zu veröffentlichen. Das FBI gab zudem an, Bitcoins im Wert von circa 3,6 Millionen Dollar beschlagnahmt zu haben. Bitcoin-Transaktionen sind öffentlich, daher kann diese Transaktion in den BitcoinBlock Chains beobachtet werden.14 Bitcoins sind eine sehr flüchtige Währung und ihr Wert sank nach dieser Schließung, wird sich aber wahrscheinlich schnell wieder erholen. Dem FBI zufolge sind über die Site in ihrem zweieinhalbjährigen Bestehen Verkäufe im Wert von mehr als 9,5 Millionen Bitcoins getätigt und Provisionen in Höhe von mehr als 600.000 Bitcoins kassiert worden. Zur Zeit der Anklage waren dies etwa 1,2 Milliarden Dollar und Provisionen von 80 Millionen Dollar. 13 http://www.scribd.com/doc/172768269/Ulbricht-Criminal-Complaint 14 http://blockchain.info/address/1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX 11 Trend Micro | Deep Web und Cybercrime Bild 2: Silk Road-Hauptseite nach der Schließung Atlantis war bis vor Kurzem der wichtigste Konkurrent von Silk Road und bot dieselbe Funktionalität mit günstigerer Verkaufsprovision und Unterstützung mehrerer Währungen an.15 Auch dieses Forum wurde am 20. September 2012 geschlossen.16 Einem Posting auf Facebook zufolge hatte die Schließung “Sicherheitsgründe, die nicht in der Entscheidungsbefugnis” des Marktplatzes lagen. “Wir haben schreckliche Neuigkeiten. Leider muss Atlantis seine Tore schließen. Aus Sicherheitsgründen, die nicht unserer Entscheidungsbefungnis liegen, haben wir keine andere Wahl, als den Betrieb einzustellen. Sie können uns glauben, dass wir dies nicht tun würden, wenn es nicht hundertprozentig erforderlich wäre. Der Dringlichkeit wegen ermöglichen wir allen Nutzern, noch eine Woche lang ihre Währung abzuziehen. Nach der Schließung gibt es keine Möglichkeit mehr, die Münzen (Coins) wiederzuerlangen. Das Geld, das auf den Konten übrigbleibt, wird einer Wohlfahrtsorganisation im Bereich Drogen ihrer Wahl gespendet.” 15 https://atlantisrky4es5q.onion/ 16 https://www.facebook.com/AtlantisMarket/posts/421945931244529 12 Trend Micro | Deep Web und Cybercrime Es ist nicht ganz klar, warum Atlantis geschlossen wurde, doch deutet sich an, dass die Polizei diese Deep Web-Marktplätze immer mehr unter Druck setzt. Nach der Schließung dieser beiden Schwergewichte, erfahren Märkte wie Black Market Reloaded (Bild 3) mehr Aufmerksamkeit. Der Marktplatz ist weniger auf Drogenhandel fokussiert (es gibt sie aber auch hier), sondern eher auf den Handel mit digitalen Waren und Services. Sheep Marketplace (Bild 4) mit einem eingeschränkteren Warenangebot ist der einzige, der seine Waren auf einer Seite darstellt, die von außerhalb des TORNetzwerks zu erreichen ist und auch von Suchmaschinen indiziert wird. Transaktionen können hier nicht stattfinden.17 Bild 3: Black Market Reloaded: Hauptseite 17 http://sheepmarketplace.com 13 Trend Micro | Deep Web und Cybercrime Bild 4: Sheep Marketplace: Hauptseite TORs private Angebote Es gibt noch zwei weitere Site-Kategorien, die anonymen Handel unterstützen. Die erste hat Untergrundnachrichten-Boards (z.B.Underground Market Boards 2.0), wo Interessenten Kleinanzeigen für jede Art von Ware oder Dienst posten und finden können. Die andere Kategorie besteht aus privat betriebenen Sites, die bestimmte Arten von Waren anbieten. Einige davon bestehen lediglich aus einer Präsentationsseite mit Preisen und Kontaktinformationen für anonyme Bestellungen und Anfragen, während andere wiederum ein vollständiges Auftrags- und Zahlmanagementsystem für automatische Bestellungen umfassen. Die Warenvielfalt auf diesen Seiten ist recht breit gefächert und beinhaltet so ziemlich alles, was für illegale Aktivitäten erforderlich ist (Drogen, Waffen, Auftragsmörder). Dieses Papier behandelt jedoch lediglich diejenigen Angebote, die mit Cyberkriminalität in Zusammenhang stehen. 14 Trend Micro | Deep Web und Cybercrime Tabelle 1 gibt einen Überblick über einige der angebotenen Waren mit ihren Preisen. Kreditkartenpreise beziehen sich, falls nicht anders angegeben, auf eine voll funktionsfähige Karte mit allen für eine Transaktion erforderlichen Daten (z.B. Besitzername, Gültigkeit, Autorisierungscode usw.).18 Tabelle 1: Preise verschiedener Warentypen Site-Name Adresse Warentypus Kosten CloneCard http://kpmp444tubeir wan.onion/board/ int/ src/1368387371226. jpg EU/US-Kreditkarten 1 BTC 126 $ Mister V http://wd5pbd4odd7j mm46.onion/ EU-Kreditkarten 54–100 $ CC-Planet Fullz http://tr36btffdmdmavbi.onion EU/US-Kreditkarten 40 $ 54 $ CC 4 ALL http://qhkt6cqo2dfs2 llt.onion/ EU/US-Kreditkarten 25–35 € 33–47 $ Cloned credit cards http://mxdcyv6gjs3tvt 5u.onion/products. html EU/US-Kreditkarten 40 € 54 $ NSD CC Store http://4vq45ioqq5cx7 u32.onion EU/US-Kreditkarten 10 $ 10 $ Carders Planet http://wihwaoykcdzab add.onion/ EU/US-Kreditkarten 60–150 $ 60–150 $ HakPal http://pcdyurvcdiz66 qjo.onion/ PayPal-Konten 1 BTC für 1.000 $ 26 $ für 1.000 $ Onion identity http://abbujjh5vqtq77 wg.onion/ Gefälschte IDs/ Reisepässe 1.000 - 1.150 € (ID) 1.352 - 1.555 $ (ID) 2.500 - 4.000 € 3.380 - 5.400 $ (Reisepass) (Reisepass) US-Staatsbürgerschaft http://ayjkg6ombrsah bx2.onion/ silkroad/home USStaatsbürgerschaft 10.000 $ 10.000 $ Gefälschter USFührerschein http://en35tuzqmn4lo fbk.onion/ Gefälschter USFührerschein 200 $ 200 $ UK -Reisepässe http://vfqnd6mieccqy iit.onion/ UK -Reisepässe 2.500 £ 4.000 $ GuttembergDrucke http://kpmp444tubeir wan.onion/board/ int/src/1366833727802.jpg Falschgeld 1/2 des Geldwerts 1/2 des Geldwerts Qualitativ hochwertige Euro-Replika http://y3fpieiezy2si n4a.onion/ Falsche EuroBanknoten 500 € f. 2.500 CEUR 676 $ f. 2.500 CEUR 1.000 € f. 3.000 CEUR 1.352 $ f. 3.000 CEUR 1.900 € f. 6.000 CEUR 2.570 $ f. 6.000 CEUR Gefälschte USDollars http://qkj4drtgvpm7e ecl.onion/ Falsche USBanknoten 600 $ f. 2.500 CUSD 600 $ f. 2.500 CUSD 2.000 $ f. 5.000 CUSD 2.000 $ f. 5.000 CUSD Rent-a-Hacker http://2ogmrlfzdthnw kez.onion/ Hacking Services 200 - 500 € 270 - 676 $ TOR Web developer http://qizriixqwmeq4 p5b.onion/ Webentwicklung 1 BTC pro Stunde 126 $ pro Stunde 40–80 € Normalisierte Kosten Die vierte (Kosten) und fünfte (Kosten in Dollar) Spalte zeigen die Preise für den Fall, dass die Services mit ihrem ursprünglichen Wert auf der Site gefunden werden. Die Forscher haben die Preise in Dollar angegeben, um sie vergleichbar zu machen. 18 1 € = 1,35 $, 1 BTC = 126 $ 15 Trend Micro | Deep Web und Cybercrime Es ergaben sich die folgenden Preisspannen: • Kreditkarten kosten zwischen 10 $ (NSD CC Store) und 150 $ (Carders Planet). • PayPal-Konten gibt es für126 $ (1 BTC) für ein 1.000 $-Konto (HackPal). • Gefälschte Dokumente kosten zwischen 200 $für einen gefälschten USFührerschein (USA Fake DL) bis zu 5.400 $ für einen falschen US-Reisepass (Onion Identity), und schließlich 10.000 $ für eine US-Staatsbürgerschaft (USA Citizenship). • Die Preise für Falschgeld hängen von der erworbenen Summe ab und liegen zwischen 0,24 $ pro gefälschtem Dollar (600 $ für 2.500 falsche Dollar bei Counterfeit USD) und der Hälfte des Werts des Falschgelds (Guttemberg-Drucke). • Es gibt auch Serviceangebote für 126 $ die Stunde für einen Webentwickler (TOR Web developer) bis zu 676 $ für verschiedene Hacking Services (z.B. Botnets, Social Engineering, Diebstahl von Kontoanmeldeinformationen usw.) (Rent-aHacker). Vergleich mit russischen Untergrundmarktplätzen Bei dem Vergleich geht es um eine Gegenüberstellung der obigen Preise mit denen für die gleichen Waren in russischen Untergrundforen. Anders als die Sites im TOR-Netzwerk, sind die Foren im russischen Untergrund über das Internet erreichbar (d.h. es bedarf keiner Darknet-Software oder eines betrügerischen TLD DNS-Servers), doch kann die Mitgliedschaft auf vertrauenswürdige Personen beschränkt werden. Die Analyse zeigte, dass für digitale Waren (z.B. Kreditkartennummern, PayPal-Konten, Entwicklungsdienste und Malware), Untergrundforen sehr umfangreiche Angebote für Waren und Transaktionen führen. Eine Erklärung dafür wäre die größere Zahl von potenziellen Nutzern, weil der Zugriff keine zusätzliche Darknet-Software erfordert und auch ein niedrigeres Anonymitätsnivieau bietet. Die höhere Anonymität des TOR-Netzwerks ist für die Verkäufer von Nutzen, da sie nicht erwischt werden können, doch auf der anderen Seite hat sie auch ihre Nachteile, denn sie können keine Reputation aufbauen und pflegen – das aber ist von essenzieller Bedeutung für den Handel mit sensiblen Waren. Ein Beispiel dieses Nachteils ist die Tatsache, dass TOR-Domänennamen häufig betrügerisch nachgeahmt werden. Die fehlende Kontrolle in der Domain Name Registration und das Prinzip der „chiffrierten“ .onion-Domänennamen verschärfen das Problem noch. 16 Trend Micro | Deep Web und Cybercrime Die Tabelle 2 zeigt Beispiele für Preise aus den Untergrundforen für dieselben digitalen Waren wie die im TOR-Netzwerk in Tabelle 1. Der Vergleich zeigt folgendes: • Kreditkarten kosten zwischen 2 $ (Eintrag 4) und 120 $ (Eintrag 2), das heißt der durchschnittliche Preis ist viel niedriger als der auf TOR-Sites (68,8 $ auf TOR-Sites versus 23,7 $ in Untergrundforen). • In russischen Untergrundforen werden mehr geklaute Konten und Kontoinformationen verkauft als auf TOR-Sites, wobei die Preise vergleichbar sind (126 $ für ein 1.000 $-Konto auf TOR-Sites versus 100 $ für ein 1.000 –2.000 $-Konto in Untergrundforen). • Andere Waren wie etwa gefälschte Dokumente und Falschgeld scheinen in den Untergrundforen nicht angeboten zu werden, oder sind zumindest schwerer zu finden als im TOR-Raum. Tabelle 2: Beispiele von Angeboten mit Preisen im russischen Untergrundd Prs Adresse Warentypus Kosten http://forum.prologic.su/index. php?showtopic=7468 US-Kreditkarten 2,5 $ http://xek.name/showthread. php?t=10519 US-Kreditkarten EU-Kreditkarten 25 - 40 $ 70 - 120 $ http://r00t.in/showthread. php?t=18510’ US-Kreditkarten EU-Kreditkarten 2-3$ 10 $ http://brute.name/threads/8643/ US-Kreditkarten EU-Kreditkarten 2-3$ 8-9$ http://carding.cc/showthread. php?t=6030 Kreditkarten-Scans 14 $ http://exploit.in/forum/index. php?showtopic=38917’ PayPal-Konten 2 - 15 $ http://carding.cc/showthread. php?t=2548 PayPal-Konten 10 $ für 0 - 200 $-Konto 20 $ für 20 - 200 $-Konto 50 $ für 200 - 1.000 $-Konto 100 $ für 1.000 - 2.000 $-Konto 150 $ für 3.000 - 4.000 $-Konto http://brute.name/threads/8643/ PayPal-Konten 200 $ für 2.000 $-Konto 500 $ für 8.000 $-Konto 1.000 $ für 15.000 $-Konto http://www.xaker.name/forvb/ showthread.php?t=21284 Russische Reisepässe 250 $ 17 Trend Micro | Deep Web und Cybercrime Monitoring des Deep Web Das Deep Web im Allgemeinen und das TOR-Netzwerk im Speziellen bieten Cyberkriminellen eine sichere Plattform für eine Vielfalt von illegalen Aktivitäten: von anonymen Marktplätzen über sichere Kommunikationsmittel bis zu einer nicht nachverfolgbaren und schwer auszuschaltenden Infrastruktur für Schadsoftware und Botnets.19 Aus diesem Grund wird es für die Sicherheitsbranche immer wichtiger, die Aktivitäten in den Darknets zu überwachen und zu verfolgen. Das sind heutzutage TOR-Netzwerke, aber künftig durchaus auch andere Technologien (in erster Linie I2P). Doch aufgrund des Designs erweist sich das Monitoring von Darknets als Herausforderung. Um diese zu meistern, muss sich die Arbeit der Sicherheitsforscher von Trend Micro künftig auf folgende Bereiche konzentrieren – wobei einige davon bereits in den Deep Web-Monitoringsystemen abgedeckt sind: • Mapping des Verzeichnisses für verborgene Services: Sowohl TOR als auch I2P nutzen eine Domänendatenbank, die auf einem verteilten System „DHT” beruht. Eine DHT besitzt Knoten, die im System miteinander die Verantwortung für die Speicherung und Wartung eines Subsets der Datenbank übernehmen, und zwar in Form eines Schlüsselwert-Stores. Dank dieses Prinzips der Verteilung der Domain Resolution der verborgenen Dienste ist es möglich, Knoten in der DHT aufzusetzen, um Anfragen, die von einer bestimmten Domäne kommen, zu überwachen.20 Damit lässt sich eine partielle Sicht auf die Domänendatenbank erzielen und laufende Anfragen lassen sich inspizieren. Auch wenn die Sicherheitsforscher dabei nicht herausfinden können, wer versucht, auf einen bestimmten verborgenen Service zuzugreifen, so können die Sicherheitsforscher statistisch abschätzen, welche neuen Domänen an Beliebtheit zulegen. Je mehr solcher Knoten aufgesetzt werden, desto besser die statistische Einsicht in die Anfragen im Netzwerk. • Monitoring der Kundendaten: Ein Sicherheitsanbieter kann auch von der Analyse von Webdaten der Kunden profitieren, die Verbindungen zu Nicht-Standarddomänen suchen. Abhängig vom Level des Loggings auf Kundenseite, ist das Tracking von DarknetVerbindungen nicht immer besonders ertragreich, doch kann es gute Einblicke in die Aktivitäten auf den Sites geben, die mit betrügerischen TLD-Domänen gehostet werden. Diese Einblicke erfordern nicht notwendigerweise die Überwachung der Kunden selbst. Die Ziele der Webanfragen (d.h. Darknet-Domänen) sollten am interessantesten sein, und nicht wer sich dahin verbindet. • Monitoring von Social Sites: Sites wie Pastebin werden häufig für den Austausch von Kontaktinformatioen und Adressen von neuen verborgenen Services genutzt. Deshalb sollten sie unter ständiger Beobachtung stehen, um Nachrichten zu finden, die neue Deep Web-Domänen enthalten. • Monitoring von verborgenen Services: Die meisten heutigen verborgenen Services sind sehr schnelllebig, werden häufig schnell wieder eingestellt und später unter einem neuen Domänennamen wieder aufgenommen. Dafür ist es sehr wichtig, einen Snapshot von jeder neuen Site anzufertigen, sobald sie entdeckt wird. Dieser Snapshot dient einer späteren Analyse oder dem Monitoring der Online-Aktivitäten. Beim Crawling 19 http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/ 20 http://donncha.is/2013/05/trawling-tor-hidden-services/ 18 Trend Micro | Deep Web und Cybercrime von verborgenen Services im Fall des Verdachts auf laufende bösartige Aktivitäten ist folgendes zu beachten: Anders als beim Crawling im „offenen” Internet, wo für diese Aktion jede zu einer Site gehörenden Ressource herausgelöst wird, ist dies im Deep Web nicht ratsam, da dort die Gefahr besteht, automatisch illegales Material herunterzuladen, wie etwa Kinderpornographie. • Semantische Analyse: Sobald die Daten für einen verborgenen Service vorhanden sind, kann der Aufbau einer semantischen Datenbank mit diesen wichtigen Informationen dabei helfen, künftige illegale Aktivitäten auf der Site zu verfolgen und diese mit böswilligen Akteuren in Beziehung zu setzen. • Marktplatz-Profiling: Schließlich besteht eine weitere nützliche Aktion darin, die Transaktionen auf Deep Web-Marktplätzen zu profilen, um Informationen über die Verkäufer, Nutzer und Art der angebotenen Waren zu erlangen. Weitere Arbeiten zum Thema TOR und das Deep Web im Allgemeinen, ist der Industrie und der IT-Gemeinde seit mehreren Jahren bekannt. Das erste Papier, das das Deep Web beschreibt, erschien 2001 unter dem Titel „Deep Content.” Hier versucht Berman das versteckte Internet zu beziffern, indem er die 60 bekanntesten und größten Deep Web-Sites vorstellt. Diese umfassen circa 50 TB Daten, etwa vierzigmal mehr als die bekannte Web-Oberfläche, und sie tauchen in einer Vielfalt von Domänen auf, von wissenschaftlichen über rechtliche bis zu solchen für den Handel. Die Autoren schätzen die Gesamtzahl der Datensätze oder Dokumente innerhalb dieser Gruppe auf etwa 85 Milliarden. Google hat auch versucht, an diese beachtliche Masse an Inhalten heranzukommen. Beispielsweise hat der Konzern ein Abfragesystem für HTML-Seiten vorgeschlagen, wobei die Ergebnisse in einen Index einer Suchmaschine eingefügt werden.21 Andere, wie Kosmix, haben ebenfalls versucht das Deep Web zu durchforsten Kosmix nutzte mit „Federated Search“ einen neuen Ansatz dafür, der sich von einer Suche in einem konventionellen Web erheblich unterscheidet. Schließlich zeigten die Autoren in „Trawling for TOR Hidden Services: Detection, Measurement, Deanonymization” Schwachstellen auf, sowohl im Design als auch in der Implementierung der verborgenen Services in TOR.22 Ihr Ansatz ermöglichte die Vermessung des Deep Web durch das Ent-Anonymisieren eines Teils seines angeblich anonymen Verkehrs. Neuerdings konzentrieren Sicherheitsforscher ihr Interesse auch darauf, die bösartige Nutzung des versteckten Internets aufzudecken. Pierluigi und andere beschreiben das Projekt Artemis, dessen Ziel es ist, quelloffene Intelligenz aus dem Deep Web zu sammeln.23 Die Autoren verwandten große Mühe darauf zu erforschen, wie Cyberkriminelle das Deep Web für ihre ungesetzlichen Aktivitäten nutzen. Dieselben Autoren präsentieren das Deep Web auch in einer allgemeineren Form in „Diving in the Deep Web”.24 21 http://dl.acm.org/citation.cfm?id=1454163 22 http://www.ieee-security.org/TC/SP2013/papers/4977a080.pdf 23 http://resources.infosecinstitute.com/project-artemis-osint-activities-on-deep-web/ 24 http://resources.infosecinstitute.com/diving-in-the-deep-web/ 19 Trend Micro | Deep Web und Cybercrime Schlussfolgerung Das Deep Web, vor allem Darknets wie TOR, stellt böswilligen Akteuren Möglichkeiten für den anonymen Austausch von legalen oder illegalen Waren zur Verfügung, Das Forschungspapier stellt die Ergebnisse einer Analyse verschiedener Netzwerke dar, die den anonymen und nicht nachvollziehbaren Zugriff auf Inhalte des Deep Webs gewährleisten. Die Sicherheitsforscher kommen zu dem Ergebnis, dass heute TOR das Hauptnetzwerk für kommerzielle cyberkriminelle Aktivitäten ist. Das Deep Web hat seine Tauglichkeit für das Hosting von C&C-Servern für Botnetze wie auch für den Handel mit Drogen und Waffen bewiesen, doch die herkömmlichen cyberkriminellen Waren wie Schadsoftware oder Exploit Kits werden dort seltener gehandelt. Verkäufer können ihre Reputation aufgrund der Anonymität nicht pflegen. Dies wird als Nachteil empfunden, weil der Händler keine „Kundenbindung“ aufbauen kann. Die Tatsache, dass keine Aktivitäten im unkonventionellen Deep Web zu beobachten sind, bedeutet nicht, dass tatsächlich nichts passiert. Die Aktivitäten sind lediglich schwieriger zu entdecken, gemäß den Prinzipien im Deep Web. Auch hier gilt, dass eine kritische Masse notwendig ist, um erfolgreich zu sein. Manche Sites, für die eine Entdeckung schwerwiegende Folgen haben kann (etwa im Bereich Kinderpornografie), sind nur zu bestimmten Zeiten Online und haben für den Handel lediglich ein bestimmtes Zeitfenster zur Verfügung. Das Bekanntwerden von landesweiten Überwachungsaktivitäten des Internets sowie die kürzlich erfolgten Verhaftungen von Hintermännern hinter kriminellen Sites im Deep Web zeitigen Folgen. Es wäre nicht verwunderlich, wennn der kriminelle Untergrund sich in weitere Darknets oder private Netzwerke aufsplittet und damit die Aufgabe der Ermittler weiter erschwert. Beispielsweise bedeutet die Schließung des Silk Road-Marktplatzes einen schweren Schlag für den Untergrundhandel mit illegalen Waren. Doch besitzt das Deep Web das Potenzial, eine steigende Zahl an bösartigen Diensten und Aktivitäten zu hosten. Deshalb wird es wohl nicht lang dauern, bis neue große Marktplätze entstehen. Das heißt, Sicherheitsforscher müssen auch weiterhin aufmerksam sein und neue Wege finden, bösartige Dienste schnell zu erkennen. 20 Über TREND MICRO Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. http://www.trendmicro.de/ http://blog.trendmicro.de/ http://www.twitter.com/TrendMicroDE TREND MICRO DEUTSCHLAND GMBH Central & Eastern Europe Zeppelinstraße 1 85399 Hallbergmoos Tel: +49 811 88990-700 Fax: +49 811 88990-799 www.trendmicro.com ©2014 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.
