تحلیل و بررسی اینترنت سیاه و معرفی صنعت نوظهور بدافزار

دكتر امين گلستاني

مشاور و مدرس حوزه استراتژي فناوري اطلاعات و ارتباطات

—————————————

---

معرفی فضای تاریک اینترنت

نرخ فراوانی داده در شبکه‌های عمومی عصر دیجیتال و اطلاعات، چنان رشد فزاینده‌ای بخود گرفته که کمتر اطلاعاتی را در آن نمی‌توان یافت. این اطلاعات از طریق شبکه گسترده جهانی یا ابر اینترنت توسط موتورهای قدرتمند جستجو در اختیار کاربران قرار می‌گیرد. جالب است بدانیم این خیل انبوه اطلاعات که در معرض دسترس و نمایش قرار گرفته فقط ۴ تا ۱۰ درصد کل اطلاعات واقعی موجود در فضای سایبر است. فضای سایبر به مثابه یک کوه یخی بزرگ و غول‌آسا است که ۹۶ درصد آن دور از دسترس و دید موتورهای جستجو قرار دارد و به این بخش، فضای تاریک اینترنت، اینترنت سیاه، دارک نت، دارک وب، اینترنت زیرزمینی، دیپ وب و یا وب تاریک گفته می‌شود. ظرفیت این فضا معادل ۵۵۰ برابر وب کنونی قابل دسترس را تشکیل داده و به عبارتی در اینترنت حدود ۸ میلیارد صفحه وجود دارد که در وب تاریک این میزان به بیش از ۷٫۹ زتابایت اطلاعات می‌رسد. با این توصیف می‌توان اینترنت را به دو بخش اصلی Surface وDeep  تقسیم‌بندی نمود که هر بخش، ساز و کار معماری و طراحی متفاوتی را در ذخیره‌سازی، انتقال و فراخوانی اطلاعات پیشه کرده است.

محتویات فضای تاریک

در فضاهای تاریک اینترنت، سرویس‌های مخفی در دو گروه عمده به کاربران ارائه می‌شود:

الف) سرویس‌های دیپ وب (Deep Web):

این فضا با اینکه دور از دسترس عموم قرار گرفته است اما لزوماً شامل اطلاعات و اقدامات مجرمانه و خلاق قانون و اخلاق نمی‌باشد، بسیاری از سازمان‌ها از این فضا جهت حفظ امنیت اطلاعات خود اعم از پست‌های الکترونیک و پایگاه‌های اطلاعات محرمانه استفاده می‌کنند، حتی بسیاری از داده‌های شخصی در ابر و بانکداری آنلاین نیز در این فضا وجود دارند اما بدلیل نحوه متفاوت رمزنگاری و شاخص‌گذاری، از چشم موتورهای جستجو مخفی می‌باشند.

ب) سرویس‌های دارک وب (Dark Web):‌

متاسفانه در این بخش از اینترنت انواع و اقسام اقدامات مجرمانه، غیراخلاقی، خلاف قانون و مفسدانه به چشم می‌خورد. خرید و فروش مواد مخدر، اعضای بدن انسان، سلاح، مواد منفجره، جعل اسناد، پولشویی، ارز تقلبی، سرقت، آدم‌ربایی، استخدام مزدور و قتل، تبادل ابزار هک و نفوذ، من جمله متداول‌ترین فعالیت‌های این فضا است. تشکیل تالارهای گفتگو میان هکرها، قاچاقچیان و فروشندگان تسلیحات دور از چشم مجریان قانون در این فضا به یکی از فعالیت‌های پردرآمد و رایج تبدیل شده است. بطوریکه در مارس سال جاری میلادی، باج افزار Karmen در انجمن وب تاریک به قیمت ۱۷۵ دلار رسماً تبلیغ و به فروش می‌رسید.

بررسی‌ها حاکی از این موضوع است که حملات به گوگل و لاکهیدمارتین ریشه در دارک نت داشته و شبکه‌های عظیم Silkroad، Agora، Evolution، SecureDrop و Globaleakd به عنوان خرده فروشان مواد مخدر و کالاهای غیرمجاز دراین فضا بشدت و جدیت مشغول کسب و کار هستند ضمنا فروشندگان اطلاعات محرمانه و جاسوس‌های بین‌المللی نیز از همین بستر برای پوشش و استتار خود بهره‌ می‌برند.

مرورگر و جستجوگرها

بهترین موتورهای جستجو قادر به کاوش فقط ۱۶ درصد از اطلاعات موجود در وب هستند و ۸۴ درصد دیگر اطلاعات از دید آنها پنهان و در فضاهای تاریک قرار گرفته است چراکه روش‌های رمزنگاری و ایندکس کردن اطلاعات در فضای تاریک اینترنت متفاوت است.  متداول‌ترین موتورهای جستجو در این فضا را می‌توان به قرار ذیل نام برد:

Torch, DuckDuckGo, Onion URL Repository, WWW Virtual Library, Uncensored Hidden WiKi, NotEvil, Parazite, Torlinks, Grams, Touchgraph, Start Page, Ahmia.fi, Yippy, Memex, Onion.city, Freebase, IceRocket, Sorfwax, DDG, Stumpedia, IXQuick, Onion.to

شبکه‌های پشتیبانی کنندۀ این جستجوگرها عمدتا از پروتکل Rendezvous جهت پنهان‌سازی طرفین ارتباطات استفاده می‌کنند در بیشتر متدولوژی‌های فضای تاریک، آدرس سرویس کاربران از طریق درهم‌سازی (Hashing) کلید عمومی با الگوریتم SHA-1 و درهم‌سازی۱۰ کاراکتر (۸۰ بیت) اول آن با الگوریتم Base32 بدست می‌آید که یک رشته (String) 16 کاراکتری است و ترجمه و شناسایی این نوع آدرس‌دهی برای سایر موتورهای جستجو قابل شناسایی و کنکاش نمی‌باشد از طرفی، ساده‌ترین مسیر ارتباطی بین کاربر و سرور از طریق توزیع پخشی بین حداقل ۶۰۰۰ سرور تعریف می‌شود که عملا کشف و رهگیری را غیر ممکن می‌سازد.

پایگاه‌های اطلاعاتی LexisNexis معمولا در فضای تاریک کاربرد دارد و عموما آدرس‌های دامنه در این فضا به شکل‌های .Onion نوشته می‌شود. یکی از معروف‌ترین شبکه‌های جستجوگر، سرویس Tor است این نام به اختصار از کلمات The Onion Router اقتباس شده است و علت انتخاب این نام نیز بدلیل استفاده از الگوهایی با عملکرد لایه‌ای و رمزنگاری پیازی شکل است که در دسته‌بندی الگوهای ناشناختگی قرار دارد لذا آیکن پیازی که بخشی از آن به رنگ بنفش نمایش داده می‌شود، علامت همین سرویس و تداعی کننده لایه‌های متعدد برای رسیدن به هسته اصلی است. شبکه تور در حال حاضر بیش از ۴۵۰۰ سرور در سراسر جهان دارد و از تنظیمات امنیتی فوق محرمانه و سطح بالا برخوردار است. نحوه ارتباطات این شبکه بعضاً Bridge Relays بوده و قابلیت اجرا بر سیستم‌عامل‌های ویندوز، مک OSX و لینوکس را دارد در حال حاضر نیز این شبکه بدنبال توسعه بر سیستم‌عامل‌های آندروید و آیفون می‌باشد. راجردینگلدین یکی از مدیران این شبکه و سرپرست پروژه تور اذعان دارد این شبکه با هدف حفظ حریم شخصی کاربران تولید شده است. در حقیقت، برای اولین بار آزمایشگاه تحقیقاتی نیروهای دریایی آمریکا برای ایجاد کانال امن تبادل مکالمات دولتی اقدام به طراحی تور نموده است و این موضوع چنان در فضای تاریک کاربرد پیدا نموده است که در سال ۲۰۱۳ این مرورگر، ۱۵۰ میلیون بار دانلود شده و به ۲٫۵ میلیون کاربر در روز خدمات ارائه داشته است.

موتورهای جستجوی زیادی در حال تولید و رقابت با تور هستند I2P و Ichidan و اکنون Loopix که توسط محققین دانشگاه لندن تولید شده را می‌توان از مهمترین این رقبا برشمرد. بنا به گزارش مرکز پژوهش‌های کنگره آمریکا، در سال ۲۰۰۵ آمار کاربران اینترنت در سطح جهان یک میلیارد نفر و در سال ۲۰۱۰ این آمار به ۲ میلیارد نفر و در سال ۲۰۱۴ از مرز ۳ میلیارد نفر تجاوز نموده است لذا در ژوئن ۲۰۱۵ به قطعیت اعلام شد که بیش از ۴۰ درصد جمعیت جهان دسترسی به اینترنت دارند حال اینکه این تعداد، کاربران شناخته شده در فضاهای مشهود اینترنت هستند اما با رشد بی‌رویه بازارها و موتورهای جستجوگر، قطعا تعداد کثیری از کاربران در فضاهای تاریک به مبادله و معامله مشغول خواهند بود بطوریکه می‌توان نرخ رشد درآمد چند میلیون دلاری در ماه را در فضای تاریک معادل ۳۰ درصد میانگین سال دانست.

پیدایش صنعت جدید بدافزار

بازارهای عظیمی من‌جمله Tolinks, Torshops, Touchka, Valhalla, Silkroad, Dream Market با ارائه بیش از ۴۵۰۰۰ نوع محصول و خدمات در حال جذب کاربر می‌باشند که متداول‌ترین محصولات، باج‌افزار و بدافزارهای مهاجم، سارق و مخرب می‌باشند. به گفته سایت خبری DarkwebNews  در فضای تاریک بیش از ۶۳۰۰ بازار در حال فروش باج‌افزار Ransomeare هستند و جمعاً ارزش فروش بدافزارها از ابتدای سال ۲۰۱۶ بالغ بر ۲۴۹۲۸۷ دلار به ۶۲۳۷۲۴۸ دلار یعنی نرخ رشدی معادل ۲۵۰۲ درصد ثبت شده است و این رشد بصورت مستمر در حال افزایش بدون توقف است تا جائیکه در طی سال گذشته، فروش بدافزارها در فضای تاریک به مرز یک بیلیون دلار رسید. تالارهای مخفی گفتگو میان هکرها و تبادل اطلاعات و ابزارهای نفوذ و حمله در فضای تاریک چنان داغ شده که شاهد پیدایش صنعت جدیدی به نام صنعت بدافزار می‌باشیم و این موضوع موجب نگرانی کشورها و دولت‌ها شده است بطوریکه به‌منظور کنترل تعاملات فضاهای تاریک بسیاری از نهادها وارد شده‌‌اند و بخش‌های تحقیقاتی ویژه‌ای را بدین منظور ایجاد نموده‌اند که بطور مشخص، آژانس امنیت ملی آمریکا (NSA) برنامه‌ای به نام Xkeyscore تولید کرده که ورود و فعالیت کاربران فضای تاریک را تحت پیگرد قرار دهد لذا هرگونه کاوش و برقراری تعامل در این فضا با اهداف خلاف و مغایر قوانین می‌تواند تبعات گران قیمتی را بهمراه داشته باشد. ضمن اینکه بهتر است بدانیم تعداد مهاجمین سایبری با دانش فنی فناوری اطلاعات سطح بالا در این فضا بسیار زیاد است و درصورت عدم رعایت ملاحظات امنیتی و دانش ناکافی سایبر می‌توان ناخواسته قربانی اهداف شوم این افراد شد.

در راستای همین اقدامات Guardian Group اعلام نمود که یکی از بازارهای بزرگ فضای تاریک به نام AlphaBay با نیم میلیون کاربر، مورخ ۱۳ ژوئیه ۲۰۱۷ کشف و تعطیل شد. AlphaBay ده برابر بزرگتر از بازار معروف Silkroad  بود که بین ۶۰۰۰ تا ۸۰۰۰ دلار در روز تراکنش مالی داشت. عمده روش انجام معاملات در فضای تاریک از طریق پول دیجیتالی بیت کوین و دارک کوین و سیستم پرداخت Liberty reserve است. شرط‌بندی و قربانی گرفتن نیز در این فضاها بازارهای متعددی دارد که  Cryptolocker یکی دیگر از ابزارهای معروف قربانی گرفتن در فضای تاریک است و این پیشرفت و رشد سرسام‌آور در ارائه خدمات مجرمانه می‌تواند عواقب و تبعات جبران‌ناپذیری را در حوزه امنیت فناوری اطلاعات و ارتباطات جهانی بدنبال داشته باشد، بنابراین رصد و تدوین اطلاعات در خصوص تبعات منفی و خسارات چنین اقداماتی جهت مدیریت و کنترل خسارات این صنعت نوظهور توسط دولت‌ها امری حیاتی و یک الزام اجتناب ناپذیر خواهد بود.