Структура Даркнет, его акторы и принципы функционирования, торговые площадки вредоносного программного обеспечения теневого сегмента Интернет

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Введение

Конфиденциальность в сети является постоянным предметом обсуждения. Пристальное внимание со стороны частных корпораций и правительственных органов подтолкнуло людей искать более безопасные способы общения в Интернете. Это привело к созданию закрытых сетей внутри Интернета, которые получили название Даркнет.

Изначально создававшийся как технический эксперимент, во второй половине 2000-х гг. Даркнет быстро обрёл популярность в среде криминала: технически анонимная сеть хорошо подходила для незаметного для правоохранительных органов сбыта наркотиков и оружия; Даркнет подстраивался под развитие Интернета, обогащая свои каналы новыми нелегальными продуктами. Так, развитие цифровых технологий привело к появлению нового типа коммерческих преступлений - киберхакингу (внесению изменения в программное обеспечение с целью доступа к информации), спрос на который начал возрастать. Таким образом, администраторам торговых площадок в Даркнет пришлось озаботиться поиском новых профессионалов - не в сфере наркоторговли и оружия, но хакеров, способных разработать вредоносное программное обеспечение для совершения атак на частных лиц и организации.

Активное использование Интернета и освещение личной жизни в сети поставили под угрозу персональные данные юзеров. Аккаунты в социальных сетях и других сервисах, использующих для авторизации кабинеты пользователя, данные по кредитным картам, удостоверения личности, стали товаром, пользующимся не меньшим спросом на специализированных рынках теневого сегмента Интернета Даркнет, чем товары для совершения киберпреступлений.

Актуальность исследования. Тематика данного исследования представляется актуальной сразу в нескольких аспектах.

Во-первых, в практической области - актуальность данного явления подчеркивается постоянным ростом торговли вредоносным программным обеспечением (ПО) в сети Даркнет. Это явление, предположительно, влечет за собой трансформацию общественных отношений, в том числе, связанную с функционированием теневой экономики. Изучение социальной природы торговли в Даркнет может помочь не только академической науке, но и законотворчеству, правоохранительным органам и другим социальным сферам, в перспективе позволив выработать правильную стратегию работы в этой новой области.

Во-вторых, на примере торговли в Даркнет можно объективно (с применением количественных и качественных методов) оценить, работают ли в Даркнет классические теории теневой экономики. Попытаться ответить на вопрос, работают ли они в современной цифровой реальности. Также отдельным предметом интереса является вопрос о том, является ли Даркнет классическим рынком в привычном смысле слова, и насколько к нему применимы существующие теории рыночных отношений. Должна ли быть переписана теория теневых рынков в связи с появлением Даркнет.

В-третьих, актуальность данной работы связана с правовыми аспектами проблемы торговли вредоносным ПО. Обладая преступной природой, торговля вредоносным ПО, зачастую, не получает должного внимания со стороны законодательной и исполнительной власти. В основе этого аспекта проблемы лежит недостаточная информированность органов государственной власти и представителей общественности, отсутствие аналитической проработки данного вопроса.

В-четвертых, постоянный рост объемов торговли в Даркнет до сих пор не получил достаточного освещения в академической литературе на русском языке.

Объект исследования. Объектом исследования диссертационной работы является теневой сегмент Интернета - Даркнет. Руководствуясь акторно-сетевой теорией мы определяем Даркет как сеть гетерогенных элементов, объединенных набором общих практик. В данном контексте акторами будут являться одушевленные и неодушевленные объекты сети: пользователи, форумы, технические средства связи и другое.

Акторно-сетевая теория, получившая развитие в работах Мишеля Каллона, Брюно Латура и Джона Ло, является теоретической основой данной работы и будет подробнее освещена в главе 1.

Предмет исследования. Структура Даркнет, его акторы и принципы функционирования в общем, и торговые площадки вредоносного программного обеспечения теневого сегмента Интернет, в частности.

Цель исследования. Выявить структуру спроса и предложения товаров на площадках теневого рынка Интернет. Выяснить, можно ли считать теневые площадки товаров и услуг для киберхакинга Даркнета классическим теневым рынком.

Гипотеза исследования состоит в предположении, что по своему устройству и функционированию феномен Даркнет вписывается в концепцию свободного рынка в их привычном понимании. Теневые площадки Даркнет, торгующие вредоносным программным обеспечением, в свою очередь, действуют по законам теневой экономики.

Проверка выдвинутой гипотезы предполагает решение следующих задач:

Задачи исследования.

1. Выделить необходимую для дальнейшего исследования терминологию и обосновать её использование.

2. Изучить теоретические подходы к исследованию теневых рынков и их развития.

3. Изучить типы существующего вредоносного программного обеспечения.

4. Проанализировать структуру Даркнет и систему торговли в нём.

5. Проанализировать динамику площадок Даркнет.

6. Проанализировать «витрины» площадок Даркнет и доступные для покупки инструменты для совершения киберпреступлений.

7. Подтвердить или опровергнуть выдвинутую гипотезу.

Теоретическая база исследования. В силу функциональной и технологической схожести Интернета с Даркнет, при описании коммуникации теневых рынков были изучены следующие теории:

- акторно-сетевой анализ;

- функциональный анализ;

- теория свободного рынка;

- теория теневых рынков;

Изучив спектр работ по различным теориями мы приняли решение в ходе дальнейшего исследования отталкиваться и руководствоваться категориальным аппаратом акторно-сетевой теории Б. Латура и др.

В контексте данной работы Акторами мы будем считать торговые площадки, покупателей, продавцов. Системой взаимодействия - Даркнет.

В силу новизны исследуемого вопроса, эмпирическую базу исследования, по большей части, составляют исследования ведущих мировых антивирусных компаний - «Лаборатории Касперского», “TrendMicro”, “Symantec”, “McAfee”, а также данные, полученные из сети TOR (в т.ч. Даркнет) при помощи инструментов технического анализа данных, а также текст интервью эксперта «Лаборатории Касперского» Александра Нежельского.

Степень разработанности проблемы.

Для анализа исследуемой области потребовалось знакомство с несколькими большими пластами литературы.

Для того, чтобы понять историю вопроса, мы обратились к существующим подходам изучения теневых рынков. Наибольшую академическую разработку эта тема получила у таких зарубежных исследователей, как Д. Скапердес, Ф. Варесе, Е.В. Цукерман, С. Венкатеш, С. Левитт и другие.

В качестве теоретической парадигмы в исследовании была использована теория свободного рынка Хуана де Матьенсо, теория теневых рынков Г. Беккера, а также акторно-сетевая теория, в основе которой лежит концепция гетерогенной сети, состоящей из множества разнородных социальных и технических элементов, одинаково важных для данной сети. Среди авторов, работающих в рамках данной теории, можно выделить Б. Латура, М. Каллона, Джона Ло, В. Гарга и Р. Гринштадта.

Динамику развития Даркнет на протяжение нескольких лет отслеживали такие ученые, как С. Риос, Р, Муньоз, Г. Л'Гилльер, Х. Альварез, Ф. Агилера. Наряду с Г. Оуэном и Н. Сэвиджем они создали специальные программы для машинного анализа данных, с помощью которых смогли определить количество закрытых торговых площадок в сети Даркнет и следить за закрытием одних сайтов и открытием новых.

Среди исследований, освещающих проблему торговли в Даркнет, а также структуру данного сегмента Интернета, следует отметить аналитические работы таких международных антивирусных компаний, как «Лаборатория Касперского», “TrendMicro”, “Symantec”, “McAfee” и “BullGuard”.

Изученные группы исследований демонстрируют малую осведомленность друг о друге. В силу того, что проблема киберпреступности в теневой сети Интернета Даркнет возникла относительно недавно, исследований на данную тему в российской литературе крайне мало. Исследователи, работающие на стыке различных теорий, парадигм и дисциплинарных границ практически не обращаются к существующим работам по смежным темам. Так, к примеру, работы по изучению структуры Даркнет изредка цитируют работы, рассматривающие товарное предложение теневых площадок. Более того, рассмотренные исследования анализируют лишь один или несколько аспектов Даркнет, но не дают целостной картины и не предлагают способов для решения проблемы. Анализ литературы показал, что исследователи склонны называть Даркнет теневым рынком, однако, аналогия с классическими теневыми рынками, находящимися в открытом доступе, и выявление специфики Даркнет по отношению к открытым источникам незаконной торговли не освещаются подробно в литературе. Таким образом, мы имеем дело с метафорой, справедливость которой мы в своей работе опровергнем или докажем.

Методы и методики исследования. В ходе исследования были применены следующие методы и методики исследования:

- экспертное интервью со специалистом «Лаборатории Касперского» Александром Нежельским, занимающимся исследованием Даркнет;

- парсинг данных из сети Даркнет при помощи различных инструментов языка программирования Python;

- типологизация;

- периодизация;

- акторно-сетевой анализ;

- функциональный анализ.

Теоретическая и практическая новизна работы заключается в том, что данное исследование впервые в отечественной академической литературе предоставляет:

- полноценную картину устройства и функционирования Даркнет;

- понимание размеров Даркнет и его динамики;

- характеристики товарного ассортимента вредоносного ПО и ценовой диапазон на киберпреступные товары;

- ответ на вопрос о том, может ли Даркнет рассматриваться в качестве теневого рынка незаконной торговли.

1. Теневые рынки инструментов для киберпреступлений

В последние годы появился абсолютно новый тип преступлений - международная торговля незаконными товарами на теневых онлайн-рынках, также известных как криптомаркеты или даркмаркеты. Особенность теневых рынков заключается в том, что они обладают техническими инструментами, позволяющими обеспечить анонимность участников совершения сделок и, таким образом, являются хорошей средой для кибепрпеступного бизнеса. Поставщики и покупатели дополнительно защищают свою личность, маскируя свои IP-адреса, используя сеть TOR и оплачивая товары виртуальной криптовалютой. Эти технологии позволили гарантировать почти полную анонимность и превратили криптомаркеты в основное место незаконной торговой деятельности для киберпреступников.

Существующие исследования теневых рынков демонстрируют важность онлайн-площадок в контексте незаконного оборота товаров и услуг. Они также показывают, как анализ данных, доступных в Интернете, может выявить информацию о преступной деятельности. Такие знания, без сомнений, являются обязательными для разработки эффективной политики борьбы с анонимными рынками. Тем не менее, торговлю на теневых рынках трудно анализировать, основываясь только на цифровых данных. Следует разработать более целостный подход к расследованию данной проблемы, основывающийся на комбинации использования и интерпретации цифровых и физических данных в рамках единой модели исследования

В силу новизны и специфичности изучаемого явления, терминология, используемая для его описания, не стала устоявшейся для русскоязычного академического дискурса.

Частично терминология заимствована из академической теории теневых рынков, а также из акторно-сетевой теории, получившей освещение в работах Брюно Латура (“Об интеробъективности”) и других авторов. Также частично терминология данного исследования операционализирована из устоявшихся определений в интернет-среде.

Обоснование выбора теории. В качестве теоретической основы исследования была выбрана акторно-сетевая теория, поскольку именно она позволяет наиболее точно описать отношения в интерсубъективной среде человека и машины, а также рассматривает отношения как имеющие сетевую природу.

Акторно-сетевая теория (“Actor network theory” или “ANT”) возникла в середине 1980-х годов, прежде всего с работами Бруно Латура, а также Мишеля Каллона и Джона Лоу. ANT является концептуальной основой для изучения коллективных социотехнических процессов, уделяя особое внимание науке и технологической деятельности. ANT продвигает реляционную материальность, которая предполагает, что все сущности одинаково значимы по отношению друг к другу. Таким образом, Даркнет рассматривается в этой теории как сеть разнородных, гетерогенных элементов, реализованных в рамках множества разнообразных практик.

Принимая во внимание разнородные действующие элементы, теория ANT рассматривается как гетерогенное объединение текстовых, концептуальных, социальных и технических участников, называемых «акторами». «Волевой актор» для ANT, называемый «актантом», является любым актором, коллективным или физическим лицом, который может ассоциировать или отделять других акторов. То есть “актантом” в категориях ANT может являться лишь человек. Актанты считаются фундаментально неопределенными. Именно через сети, в которых они функционируют и с которыми они ассоциируются, актанты получают свой характер. Кроме того, сами актанты развиваются с развитием сети. Следовательно, порядок работы сети может быть нарушен с потерей какого-то одного или нескольких значимых акторов данной сети.

Дополнительным аргументом в пользу выбора этой теории послужило наличие в ее основе определения «информационного поля». Именно оно - в концепции Латура - изменяется в связи с деятельностью акторов - любых носителей информации. Так как информационное поле не ограничено, действия акторов не сводятся лишь к механическим воздействиям друг на друга - многочисленные связи между ними могут также рассматриваться в качестве акторов.

В рамках данного исследования в качестве сети мы будем рассматривать совокупность отношений вокруг Даркнет, а людей (пользователей), покупателей, продавцов, наряду с форумами и техническими средствами связи - как акторов данной сети. Единицей наблюдения, или элементом исследуемой совокупности, в отношении которого будет вестись непосредственное наблюдение и сбор информации, выберем торговые площадки Даркнет.

В ходе анализа мы также используем теорию свободного рынка, выдвинутую еще в XVI веке испанским юристом и экономистом Хуаном де Матьенсо. Большой вклад в ее усовершенствование сделала австрийская школа экономики в лице основных представителей К. Менгера, Л. Мизеса, Ф. Хайека и Г. Хоппе. Охарактеризовав свободный рынок как систему, которая саморегулируется, не прибегая к помощи внешних сил, австрийская школа сформулировала список признаков свободного рынка, который помог понять принципы работы Даркнет:

неограниченная конкуренция;

невозможность участников влиять на решение друг друга;

открытость информации (характеристика товаров, цена на них и их количество для продажи);

свободное участие на рынке и свободный выход из него;

абсолютная мобильность ресурсов.

абсолютная однородность продукции.

Еще одной теорией, выбранной нами для исследования, является теория теневых рынков Г. Беккера. До 1960-х годов было распространено мнение о том, что преступниками являются люди, принципиально отличные от нормальных членов социума, не контролирующие свое поведение и не задумывающиеся об аморальности своих действий. Беккер выработал принцип оптимизирующего поведения и впервые призвал считать экономических преступников рациональными людьми, продумывающими свои действия и стремящимися к корпоратизации своей деятельности - извлечению максимальной выгоды. Отметим, что в работе слово «рынок» будет употребляться в двух значениях:

1) рынок как общая метафора структуры производства и распространения вредоносного ПО;

2) рынки как отдельные торговые площадки.

Как мы убедились в ходе разбора теорий и неконвенциональной терминологии, акторно-сетевая теория, теории свободных и теневых рынков соответствуют предмету и задачам данной работы, поэтому строить свой анализ мы будем исходя из них.

Исследование теневых рынков вредоносного программного обеспечения начнем с определения киберпреступности.

Существует несколько альтернативных подходов к данному явлению. Однако наиболее простое и понятное определение киберпреступности дал канадский специалист по анализу данных и безопасности в сети Сэмьюэль МакКуэйд, описав киберхакинг как использование компьютеров или других электронных устройств через информационные системы, такие как организационные сети или Интернет, для облегчения незаконного поведения.

Исходя из работ, существующих по теме теневых рынков вредоносного ПО, исследователи склонны применять комплексный подход к анализу данного явления, предполагающий взаимодействие разнохарактерных факторов в процессе его развития.

Важной составляющей исследований теневых рынков является описание такого явления, как корпоратизация преступности - перехода к мотивам прибыли и принятие организационной структуры традиционного бизнеса преступными деятелями.

В течение нескольких лет был проведен ряд исследований, посвященных развитию преступных групп с корпоративной или коммерческой точки зрения. Работы Джойса Скапердеса, Федерико Варесе и Е.В. Цукерман сделали очевидным факт, что со временем многие преступные группы решились на корпоратизацию незаконной деятельности, отчасти по причине стремления к монетизации преступлений.

Одним из достойных внимания примеров криминальной корпоратизации, стоящих у истоков развития теневых рынков, является кейс уличных банд. Эти группировки, хоть и поверхностно, но являются важной моделью, схожей с киберпреступностью, поскольку, в отличие от более чисто ориентированных на бизнес групп - таких как, к примеру, мафии, - уличные банды часто выступали в качестве социальных и политических организаций, но в большинстве случаев с течением времени развились в корпоративные коммерческие организации.

Тщательные исследования такого рода социальных объединений были проведены Судхиром Венкатешем и Стивеном Левиттом в серии публикаций “Theory and Society”. В своей статье “Are we a family or a business?” History and disjuncture in the urban American street gang” Венкатеш и Левитт обратились к вопросу о корпоратизации чикагских уличных банд, в частности широко известных «Черных королей». В частности, они обнаружили, что «Черные Короли», как и другие банды в городе, постепенно перестали заниматься социальной деятельностью и незначительными преступлениями и правонарушениями. Со временем они стали напоминать организованную преступную сеть, которая была заинтересована в укреплении своей позиции на рынке запрещенных товаров (в данном случае кокаина) в городе до такой степени, что начала вести письменный учет проданных ими наркотиков:

«В прошлом разрозненный коллектив соседей, местные фракции «Черных Королей» стали частью интегрированной иерархии, в которой члены содержали офисы и имели конкретные роли, а каждый составной элемент был привязан к общей организации через торговые марки и фидуциарную ответственность».

Увеличивающийся объем продаж означал, что для бизнеса требовалось много общественных и частных мест города - как и в случае с многочисленными интернет-площадками Даркнет. Ряду уличных банд удалось успешно преобразовать соседние районы в места по продаже наркотиков, что потребовало значительного уличного присутствия в квази-общественных местах. В таких городах, как Чикаго, структура крупных банд обеспечивала знакомство с социальной динамикой и, соответственно, удовлетворительные объемы продаж по нескольким городским кварталам с вовлечением участников других сообществ, которые постепенно предоставляли доступ к более высокопоставленным лидерам, включая новых авторитетных поставщиков, которые позволяли удовлетворять растущий спрос.

Эволюцию киберпреступности обобщил один из старших агентов ФБР (имя которого не упоминается) в интервью для книги Стивена Левитта и Стефана Дабнера «Фрикономика», подчеркнув, что киберпреступность зародилась, чтобы стать организованной. По его словам, в начале 90-хх такие преступления, как нарушения работы веб-серверов, отказы в обслуживании, вторжение в сеть, совершались лишь как акты вандализма, но не как средство монетизации. Он также сделал верное предположение, что раз через 15 лет персональные данные станут ценными, а люди активно будут афишировать личную жизнь в социальных сетях, киберпреступность неизбежно будет мигрировать в Интернет, потому что именно туда - с постоянным развитием электронной коммерции - перемещаются и денежные потоки.

Изначальное происхождение хакинга было связано по большей части с интеллектуальным любопытством, чем с прибылью. Первые хакеры были студентами Массачусетского технологического института, где они начали экспериментировать с подсистемами университета. В этом контексте определение «хакер» не имело никаких негативных коннотаций, которые оно вызывает сегодня. Хакером был человек, который делал интересную и творческую работу на высоком уровне интенсивности. По мере того, как хакерство распространялось на другие университетские вычислительные центры, появилась культура открытости и совместного пользования, предполагавшая, что доступ к компьютерам должен быть неограниченным.

В 1980-х годах большинство вредоносных программ было создано из научного любопытства или по ошибке. Возможно, самым известным примером был вредоносный червь, выпущенный в 1988 году Робертом Моррисом, аспирантом Корнеллского университета. Созданный им зловред проник в компьютеры университета, создав хаос в учебном заведении. Действия Морриса, по всей видимости, не были преднамеренными, так как после произошедшего Моррис пытался уведомить зараженных пользователей о том, как остановить вредоносные действия червя.

Однако в тех же 1980-х годах наряду с «безвредными» хакерами, главной мотивацией которых было интеллектуальное удовлетворение, начали возникать хакеры в том значении, в котором их определяют в современном обществе, такие как Кевин Поульсен и Кевин Митник, с намерениями, подразумевающими выгоду или социальный эффект. Процесс разработки ими вредоносного ПО был схож с действиями студентов Массачусетского технологического института, однако, получив результат, Поульсен и Митник стали применять свои способности в личных корыстных целях.

В 1990-х и начале 2000-х годов вредоносное ПО стало еще более мощным и разрушительным. Однако мотивы создания вредоносных программ, по-видимому, были основаны главным образом на ошибках и кибер-эквивалентах вандализму, чем на прибыли.

Курс на коммерческую киберпреступность, далекую от простого интереса и экспериментов, начал появляться в конце XX века. Интернет-кража данных кредитных карт была одной из первых крупных успешных мишеней для хакеров. Значительная часть ранних историй взлома и киберпреступности произошла в Соединенных Штатах, однако, послужило примером для многих хакеров из других стран по всему миру и стало крупным бизнесом.

Так, в 2001 году большая группа русскоговорящих киберпреступников встретилась в ресторане в Украине, чтобы обсудить пути укрепления бизнеса. Вдохновленные такими прототипами, как “Counterfeit Library” - британская доска объявлений (прототип онлайн-форума), где могли встречаться онлайн-преступники, обмениваться информацией и торговать данными кредитных карт, эта русскоязычная группа стремилась разработать сайт, который позволил бы им собираться в Интернете и вести бизнес. Результатом встречи под руководством украинца под псевдонимом “Script” (от англ. «скрипт» или «шрифт», «сценарий») стало создание Международного Альянса кардеров, но, что еще важнее, сайта под названием “Carderplanet”. Этот сайт стал рынком незаконных онлайн-товаров и услуг, в том числе данных кредитных карт, личной информации, скомпрометированных аккаунтов от онлайн-магазинов, поддельных удостоверений личности, аренды украденных адресов для незаконного приобретения товаров. Он также обеспечил ощущение целостности и причастности к одному делу в киберпространстве для киберпреступников по всему миру.

“Carderplanet” был откровенно корпоративным, время от времени даже присваивая себе названия мафий, такие как “Capo” - для обозначения глав разных рангов членов в иерархии. Чтобы присоединиться к сайту в качестве продавца, киберпреступники должны были доказать незаменимость своих продуктов или услуг на рынке, а иногда даже продемонстрировать свою работу в действии.

“Carderplanet” послужил источником вдохновения для других подобных форумов. Первым крупным англоязычным форумом такого масштаба был “Shadowcrew”. После его закрытия появился ряд других, более мощных форумов, таких как “DarkMarket” и “CardersMarket”. После них появились “Ghostmarket”, “Kurupt.su” и многие другие. Все они обладали главной общей функцией - безопасным - для своего времени - обменом незаконными товарами и услугами.

Исходя из вышесказанного, произошла не просто корпоратизация киберпреступности, но создание виртуальных сообществ с особыми правилами. На основе анализа, можно выделить три ключевых пункта, которые повлекли за собой данные явления:

1) архитектура Интернета эволюционировала, став более подходящей для коллаборации киберпреступных сообществ.

Известный американский хакер Кевин Митник в своей книге «Призрак в сети» делится разговором с бывшим хакером (имя не называется), который одним из первых действовал в Британии в 1980-х годах до того момента, когда хакинг был криминализирован. Сотрудничество с его соратниками по киберкриминальному бизнесу было минимальным, состоящим из встреч раз в несколько месяцев для обсуждения дальнейших действий и обмена результатами. На данном этапе альтернатив для развития киберпреступности как бизнеса было мало, поскольку инфраструктура Интернета не была развита так, как сейчас, а о создании распространенных в наши дни киберфорумов и тем более зашифрованных чатов даже не шло речи.

Вероятно, корпоратизация киберпреступности в 1980-х годах зависела, хотя бы частично, от коммуникационных ресурсов, что постепенно дало толчок к жизненно важному для киберпреступного мира развитию IRC-каналов (анонимизирующих общение) и зашифрованных форумов.

2) увеличение интернет-безопасности в последние годы, как это ни парадоксально, могло снизить желание у хакеров взломать более сложно организованную систему ради интереса. Необходимое развитие подтолкнуло киберпреступное сообщество к сотрудничеству с большим количеством заинтересованных в прибыли профессионалов.

3) наконец, возможно, наиболее важным толчком к корпоратизации стал массовый сдвиг финансовых и бизнес-операций в интернет-пространство, а также распространение личных данных пользователей в сети, что давало шанс на финансовую прибыль для киберпреступников.

Вышеупомянутый агент ФБР при обсуждении киберпреступности приводил пример знаменитого грабителя банка Вилли Саттона. Когда Саттона спросили, почему он ограбил банки, он ответил: «Там есть деньги». По аналогии с этим примером, по словам агента ФБР, сейчас все деньги находятся в сети и доступ к ним крайне легок для людей, которые знают, как их украсть.

Говоря о методах исследования структуры Даркнет, его динамики и количества скрытых сайтов в теневой сети, исследователи склонны руководствоваться методом «кролинга», подразумевающий парсинг данных - автоматический сбор информации с целью ее последующего анализа. В работах обычно предоставлены лишь результаты анализа, однако, не показан алгоритм, который был использован для кролинга данных. Так, исследователи проекта “Artemis” при помощи созданного им скролера, получили список из 60 тысяч URL-адресов. В течение нескольких лет они запускали скролер, чтобы отследить статистику Даркнет - закрытие одних площадок и появление новых.

Испанские исследователи С. Риос, Р, Муньоз, Г. Л'Гилльер, Х. Альварез и Ф. Агилера сосредоточили свое внимание на узких сообществах Даркнета со специфическими темами, такими как экстремизм, терроризм и исламские форумы, обнаружив около 7 тысяч сайтов данной тематики в TOR.

В своем недавнем исследовании Г. Оуэн и Н. Сэвидж использовали 40 различных кролеров в течение 6 месяцев для сбора публикаций на скрытых сервисах и количества обращения к ним. Результатом стало обнаружение 80 тысяч уникальных скрытых сервисов, что на сегодняшний день является самым большим показателем, зафиксированным в литературе.

Наконец, относительно свежее исследование американского стратегического исследовательского центра RAND, основанное на многочисленных экспертных интервью, дало представление о структуре торговых площадок Даркнет. Исследователи отметили, что каждый сайт, устроенный одинаковым образом, имеет четкую иерархию. Эти форумы, как правило, вертикально структурированы. Хотя площадки отличаются друг от друга наполнением и товарным ассортиментом, стандартная модель выглядит следующим образом:

администратор, который отвечает за сайт, является самым важным звеном цепи;

модераторы, которые поддерживают порядок и следят за исполнением правил на площадках;

остальные участники разных рангов - от хакеров, наполняющих товарный ассортимент площадок, до покупателей и обычных интересующихся, - исходя из которых определяются их статус и привилегии. Так, подняться на ранг выше можно, продемонстрировав надежность, работоспособность и ценность для высших членов сайта.

Таким образом, киберкриминальные форумы демонстрируют, что то, что началось как индустрия, сосредоточенная на хакерах и тех, кто имел широкие познания в области компьютерных технологий, переросло в огромную систему, включающую широкий круг людей, выполняющих различные функции. Безусловно, хакеры элитных уровней продолжают существовать и пользоваться спросом - они стали более профессиональными, а хакерская этика для многих потеряла смысл, когда речь заходит о прибыли.

Однако другие игроки, очевидно, имеют разную степень опыта в киберпреступном мире. Некоторые продают код, написанный другими, некоторые используют этот код. Другие модерируют сайты и каналы связи, где происходит криминальная торговля. Есть те, кто управляет ботнетами (компьютерными сетями), есть ответственные за «бэкэнды» - внутреннюю архитектуру программы (код), а есть специальные люди, занимающиеся обналичиванием электронных денег. Но существуют некоторые роли, которые не предполагают даже минимальных знаний компьютера. По иронии судьбы, такие люди, как правило, занимают руководящие позиции в кибер-криминальных предприятиях.

Таким образом, можно утверждать, что так же, как успешное распространение кокаина сделало из гангстеров нелегальных бизнесменов, постепенно развитие Интернета, утверждение электронной коммерции и личных данных в сети дало толчок к образованию теневых рынков и корпоратизации киберпреступности.

Рассмотрев подходы к изучению Даркнет, мы увидели, что ни один из исследователей до настоящего времени не использовал акторно-сетевую теорию, теории свободных и теневых рынков для анализа структуры и функционирования Даркнет. Следовательно, данное исследование можно считать новаторским для академической литературы в рамках исследования теневого рынка Даркнет.

Термин “Deepweb” («глубокая паутина») используется исследователями для обозначения класса контента в Интернете, который по разным техническим причинам не индексируется поисковыми системами. Среди различных стратегий для обхода поисковых роботов наиболее эффективными для злонамеренных акторов являются так называемые «темные сети». “Darknets” относятся к классу сетей, целью которого является гарантировать анонимный и беспрепятственный доступ к веб-контенту сайтов, в частности к:

динамическим веб-страницам: динамически генерируемых HTTP-запросами;

заблокированным сайтам: которые явно запрещают искателю перемещаться и извлекать их содержимое, используя, например, CAPTCHA - "Completely Automatic Public Turing Test to Tell Computers and Humans Apart" -- полностью автоматический тест Тьюринга для различения компьютеров и людей;

несвязанным сайтам: страницам, не связанным с какой-либо другой страницей, не позволяющим потенциально достичь их через обычный веб-поиск;

частным сайтам: страницам, требующим регистрации и авторизации входа / пароля;

контенту без содержания HTML: закодированному в другом формате, доступ к которому осуществляется через Javascript или Flash;

сетям с ограниченным доступом: контенту на сайтах, недоступных из общедоступной инфраструктуры Интернета.

К последнему пункту относятся:

сайты с доменными именами, зарегистрированными в альтернативной от Интернета доменной системе;

“Darknets” (теневые сети) и альтернативные инфраструктуры маршрутизации - сайты, размещенные в инфраструктуре, для которой требуется специальное программное обеспечение для доступа к поставщику контента. Примерами таких систем являются скрытые службы TOR или сайты, размещенные в сети “Invisible Internet Project” (I2P). Эти сайты обычно идентифицируются нестандартным доменным именем, которое требует использования того же программного обеспечения для доступа к ним.

«Даркнет» (от англ. «темная сеть») - это набор технологий, используемых для обмена цифровым контентом. Основу существования Даркнет составляют площадки торговли запрещенными товарами и цифровыми услугами. Развитие Интернета и электронная революция - в частности, появление новых электронных девайсов и увеличение объема памяти и функционала, а также создание социальных сетей и других интернет-ресурсов, способствующих распространению личных данных пользователей в сети, - подтолкнули создателей теневых рынков к сотрудничеству с хакерами. С момента своего появления в 1997 году хакерские рынки постоянно развивались и эволюционировали, подстраиваясь под современные тенденции. В первой половине 2000-х годов продавцы (или как их называют словом, заимствованным из английского языка, «вендоры») были сосредоточены на товарах и услугах, связанных с кредитными картами, операции по которым начинали все более плотно входить в жизнь, замещая наличный расчет. Затем они расширили ассортимент до учетных данных появившейся электронной коммерции (E-Commerce), а также аккаунтов от социальных сетей, быстро набирающих популярность.

Употребляя термин «черный рынок», авторы релевантных исследований подразумевают не столько рынок, сколько международный коллектив квалифицированных и неквалифицированных единомышленников - поставщиков, продавцов, потенциальных покупателей и посредников для товаров или услуг, связанных с цифровыми преступлениями, - который варьируется от простого до чрезвычайно сложного (в плане легкости процедуры регистрации, поиска необходимых товаров и совершения покупок).

Французский исследователь Франсуа Паже в работе “Cybercrime and Hacktivism, Sunnyvale” указал, что черные рынки стали появляться ввиду того, что становилась все более очевидным возможность заработать много денег при относительно низких инвестициях. Развитие Интернета и анонимных каналов связи позволило единомышленникам объединяться для обмена опытом, обеспечивая более легкий доступ сначала к различным запрещенным химическим препаратам и оружию, а затем и к инструментам для мошенничества. Риски на онлайн-рынках по сравнению с оффлайновыми криминальными рынками были низкими, по крайней мере на первоначальном этапе, поскольку правоохранительные органы были плохо осведомлены об их существовании и о методах слежения за ними.

В наши дни некоторые из рынков все еще посвящены одному продукту или специализированным услугам, в то время как другие предлагают ряд инструментов для полного цикла атаки. Первоначально задумывавшиеся как места сбыта наркотиков и оружия, витрины теневых рынков постепенно освободили место для других незаконных товаров, таких как цифровые услуги (для мошенничества и хакинга) и персональные данные, которые несут меньшие риски для продавцов и покупателей, в отличие от наркотиков и оружия, и могут обеспечить большую прибыль.

Некоторые подпольные организации достигают до 80 тысяч участников из разных частей света, что приносит сотни миллионов долларов. Рынки с небольшим количеством игроков также приносят не меньшую прибыль - они хороши для заказчиков, ориентированных на атаки на конкретные специфические системы, компании или отдельных жертв.

Доход рынка формирует его репутацию - администраторы стараются сформировать штат из проверенных высококвалифицированных вендоров, способных предложить уникальный качественный товар. Такие рынки особенно труднодоступные - чтобы попасть на них потенциальные участники проходят многоуровневую проверку, имеют собственные гайдлайны и правила, несоблюдение которых карается штрафами.

Торговлю на черном рынке ведут опытные хакеры, обладающие разным уровнем мастерства. Большинство из них добывают любые из запрошенных покупателями товаров. Зачастую игроки разных уровней мастерства поддерживают друг друга. Например, высококвалифицированные игроки могут продать или просто отдать «лишние» для их рынка товары менее квалифицированным продавцам, не имеющим технических возможностей для того, чтобы проделать столь изощренные операции, для дальнейшей эксплуатации и сбыта.

Несмотря на сложные описания функционирования Даркнета, практически любой компьютерно-грамотный человек может выйти на рынок, по крайней мере, в качестве покупателя, и найти доступные товары - учетные данные, кредитные карты, базы данных, самоучители по использованию Интернета для получению заработка и другие вещи для мошенничества. Опытным программистам в помощь предлагают специальные сервисы для использования программного обеспечения, благодаря которым можно самостоятельно создавать и использовать варианты вредоносных программ.

По оценкам некоторых экспертов, в середине 2000-х годов примерно 80% участников черного рынка были фрилансерами - людьми, основным местом работы которых не был Даркмаркет. Остальные 20% являлись представителями преступных организаций. На сегодняшний день ситуация имеет тенденцию развиваться в обратную сторону - все больше участников получают полноценную рабочую ставку на темном рынке, охватывая торговые уровни различного доступа, объединяясь с другими, подобными себе, чтобы достичь больших целей с максимальной выгодой. Исходя из сказанного выше можно предположить сохранение тенденции к росту участников теневых рынков, а следовательно, и к развитию продуктового ассортимента теневых площадок, в частности, и всего Даркмаркета, в целом.

На сегодняшний день используются три основные сети для предоставления анонимности как на стороне клиента, так и на стороне сервера - TOR, I2P и Freenet. Следует отметить, что последние две анонимные сети еще не достигли такого же уровня доверия среди пользователей, что и TOR, но уже обладают достаточными техническими характеристиками, которые сделать их жизнеспособными альтернативами в ближайшем будущем - на случай, если сеть TOR станет слишком ненадежной для пользователей. Рассмотрим каждую из них более подробно.

TOR.

Сеть TOR (“The Onion Router” или “луковичный маршрутизатор”) была первоначально разработана военно-морской исследовательской лабораторией США. Она позволяет передавать анонимные сообщения и зашифрованные запросы так, чтобы трафик мог быть скрытым от средств сетевого наблюдения.

Чтобы воспользоваться сетью TOR, пользователю необходимо установить программное обеспечение - браузер TOR, которое действует как прокси-сервер. Он скрывает связь с сервером в Интернете, выбирая несколько случайных узлов ретрансляции. Перед входом в сеть каждый запрос рекурсивно зашифровывается с использованием открытого ключа для каждого выбранного узла. В последних версиях протокола TOR была введена новая функциональность, позволяющая размещать целые сайты на узлах TOR, делая их незаметными - что дало жизнь сотням сайтов с нелегальной продукцией.

I2P. программный контент вредоносный

I2P (“The Invisible Internet Project”) был разработан как анонимный одноранговый (P2P) распределенный уровень связи, который может запускать любой традиционный интернет-сервис. Он был разработан в 2003 году как эволюция сети Freenet, целью которой является запуск нескольких сервисов поверх HTTP. В то время как TOR изначально предполагал анонимное подключение к Интернету и был позже расширен до общих скрытых сервисов, исключительная цель I2P - предоставить пользователям возможность незаметно размещать службы (например, IRC, Web, mail, и bittorrent).

Основным принципом TOR является создание схем (зашифрованных путей через случайный набор узлов, выступающий в роли посредника для связи со скрытой службой). I2P, со своей стороны, вводит виртуальные туннели. Каждый узел в сети I2P является маршрутизатором. Он создает и поддерживает пул входящих и исходящих виртуальных путей. Например, если узел A хочет отправить сообщение узлу B, он направляет сообщение одному из своих исходящих туннелей вместе с информацией, необходимой для доступа к одному из входящих туннелей B.

Информация о входящих туннелях хранится, как и в TOR, в децентрализованной сетевой базе данных. Таким образом, нет центральной точки отказа. Каждое сообщение шифруется с использованием нескольких уровней: двухточечное шифрование между отправителем и получателем, транспортное шифрование между маршрутизаторами в сети и сквозное шифрование в туннелях. Интересное наблюдение: TOR использует схему шифрования, называемую «луковой маршрутизацией», в то время как зашифрованная маршрутизация, используемая в I2P, известна как «чесночная маршрутизация.

Freenet.

Freenet («Свободный интернет») существует с 2000 года и может считаться предшественником I2P. В отличие от I2P, каждый узел сети Freenet отвечает за подмножество ресурсов, доступных в сети, и обслуживает их совместно, когда он получает запрос. Кроме того, узлы поддерживают список соседних узлов, обычно известных и доверенных соседей, для повышения безопасности - так называемый «принцип малого мира». Узлы и данные идентифицируются ключом, обычно обозначаемым хэш-значением. При поиске ресурса запрос будет перемещаться по всем соседям узла в порядке предпочтения (то есть к узлам, ключ которых ближе всего к ключу ресурсов).

Freenet более подходит для обслуживания статического контента и не справляется с динамически создаваемыми веб-страницами или другими формами интернет-услуг (например, IRC, почтой, форумами). Это, однако, не означает, что Freenet не может быть подходящей платформой для размещения простых торговых площадок или обмена информацией, связанной с вредоносными действиями.

Несмотря на то, что все вышеупомянутые системы имеют потенциал для поддержки незаконной торговли любого рода, на сегодняшний день единственная сеть, которая, похоже, завоевала доверие у администраторов теневых рынков, - это TOR. Причина этого может быть связана с тем фактом, что ТOR - более зрелая и более развитая сеть, чем два ее конкурента.

Подобно многочисленным онлайн-магазинам, находящимся в Интернете, сеть TOR содержит определенное количество сайтов (торговых площадок), информацию о которых можно найти в официальном открытом источнике DeepDotWeb. Это новостной сайт, посвященный событиям, происходящим на теневых рынках с подробными интервью и отзывами о рынках Darknet, товарах и услугах, а также рейтингом торговых площадок, их адресами (луковыми маршрутизаторами, доступ к которым можно получить лишь из TOR-браузера) и новостями о появлении новых единиц и закрытии существовавших ранее.

На каждом рынке имеется полностью оперативное решение для электронной коммерции с различными разделами / категориями, корзинами покупок, управлением выпиской и оплатой, а также депонирование. Все они поддерживают криптовалюты, такие как биткойн, лайткойн и эфир.

Структура и принципы работы функционирующих рынков будут рассмотрены нами во второй главе. Здесь следует сказать о родоначальнике теневых рынков. Без сомнения, самой известной и самой мощной площадкой являлся “Silk Road”. «Шелковый путь» был не просто форумом для общения, но первым оформленным сайтом, который каталогизировал товары в разные разделы и предоставляет рейтинги продавцов и руководства для покупателей о том, как безопасно совершать покупки. Это пока единственный рынок, который был широко изучен исследователями. Данные университета Карнеги-Меллона в Питтсбурге показывают, что в 2012 году «Шелковый путь» имел доход в размере $22 млн., а число его пользователей удвоилось менее чем за полгода.

Рис. 1. Главная страница «Шелкового пути»

По состоянию на 2 октября 2013 года «Шелковый путь» больше не был активен. Росс Уильям Ульбрихт, являвшийся владельцем и главным администратором рынка, был арестован Федеральным Бюро Расследований (ФБР) в публичной библиотеке в Сан-Франциско во вторник, 1 октября. Его обвинили в незаконной торговле наркотиками, а также взломе компьютеров и отмывании денег. Ульбрихт также обвинялся в заказном убийстве пользователя “Silk Road”, который угрожал опубликовать идентификаторы личности тысяч пользователей сайта.

ФБР заявило, что также конфисковало биткойнов примерно на $3,6 млн. По данным ФБР, за два с половиной года своего существования сайт произвел продажи на сумму более 9,5 миллионов биткойнов и собрал комиссионные по этим продажам в размере более 600 тысяч биткойнов. На момент ареста Ульбрихта это составляло примерно $1,2 млрд. в виде продаж и $80 млн. в виде комиссии.

Рис. 2. Главная страница «Шелкового пути» после закрытия

Помимо труднодоступных теневых рынков существуют серые форумы Даркнет, также торгующие хакерскими товарами и услугами, но расположенные в открытом Интернете.

За всю историю существования были отмечены 8 крупнейших хакерских форумов: Blackhat World, Darkode, Hack Forums, Hell, Nulled, Antichat, Carders и L33tCrew:

Blackhat World. Blackhat World фокусируется на методах поисковой оптимизации (SEO). Форум запустился в октябре 2005 года и по-прежнему активен, хотя за последнее десятилетие потерял популярность и снизил активность.

Darkode. Darkode специализировался на кибер-криминальных изделиях, в том числе спамовых службах, программах-вымогателях и скрытых ботнетах. Форум был закрыт в июле 2015 года совместными усилиями американских правоохранительных органов.

Hack Forums. Hack Forums охватывает широкий спектр вопросов, связанных с кибербезопасностью, таких как криптографические программы (программное обеспечение, используемое для скрытия вирусов), кейлогеры, серверное «стресс-тестирование» («отказ от обслуживания») и инструменты взлома. Форум начал свое существование в 2007 году и по-прежнему активен.

Hell. Hell («Ад») был подпольным форумом, организованным в качестве скрытого агента сети TOR. Он был посвящен мошенничеству с кредитными картами, взломам и нарушениям данных.

Nulled. Nulled позиционировал себя как сообщество, специализировавшееся на утечках данных и инструментах для нарушения данных. Форум был взломан в мае 2016 года, и полная база данных форума была вынесена в публичный доступ.

Не англоговорящие форумы. К данной категории можно отнести Antichat, Carders и L33tCrew. Carders и L33tCrew были форумами на немецком языке, которые специализировались на украденных кредитных карточках и других финансовых счетах. В то время, как первый был разоблачен и закрыт, второй перенес свои данные в TOR и стал полноценным теневым рынком. Antichat - русскоязычный форум, не уступающий теневым рынкам, расположенным в TOR. В отличие от других форумов, Antichat не специализируется на одной теме, а охватывает широкий спектр подпольных вопросов, связанных с киберпреступностью, таких как взлом паролей, выведение средств с украденных банковских карт и счетов, схем заработка в Интернете, а также предлагает различные хакерские товары и услуги.

Магазины цифровых товаров и услуг Даркнета идут в ногу со временем, следя за обновлениями продукции на традиционных IT-рынках. Выход новых операционных систем (ОС) задает для хакеров Даркнета дополнительные задачи по поиску уязвимостей в них - чтобы предложить покупателям самые свежие инструменты для атак. Создавая новые инструменты, разработчики склонны сосредотачиваться сначала на старых, проверяя, например, смогут ли они обойти последнее обновление антивируса и атаковать как можно больше пользователей. Взяв за основу прежний материал, хакеры даркмаркетов затем дополняют уже имеющиеся программы, находя подходы к новым ОС.

Отдельные части рынка цифровых услуг реагируют на внешние события, не только в области техники (к примеру, выпуск новых операционных систем), но и на стихийные бедствия. Такие новости часто используются в фишинг-кампаниях (занимающихся вирусной спам-рассылкой - например, «нажмите эту ссылку, чтобы сделать пожертвование пострадавшим от землетрясения на Гаити»), тем самым увеличивая число потенциальных жертв. Однако внешние события могут сказываться негативно на уровне продаж. Так, беспорядки в определенной части мира могут вывести людей из рынка. Например, некоторые продавцы данных кредитных карт египетских банков оказались вне игры во время беспорядков в стране.

Несмотря на негативные примеры, черный рынок устойчив. Он действует как традиционный рынок: прибыль формирует предложение, побуждая продавцов идти не только в ногу с инновациями и постоянно меняющимися технологиями, но и с потребностями покупателей. Независимо от того, новый ли товар для потребителя или традиционный - от мобильных устройств до облачных решений - ему будут предложены уникальные инструменты для атак любого типа.

Еще одним аспектом устойчивости является способность черных рынков быстро реорганизовываться в связи с недавним увеличением количества закрытий, которые мало влияют на состав черного рынка. В то время, как одна из торговых площадок устраняется, другая появляется на его месте в течение нескольких дней. Потеряв единицу, рынок возвращается в норму, восстанавливая баланс более мощным и менее доступным магазином.

Несколько факторов - по выводам американского исследователя Даркнет Д. Мартина - объясняют недавнее увеличение количества закрытий:

За последние 10 лет правоохранительная деятельность улучшилась: цифровые технологии, автоматизация труда и сотрудничество правоохранительных органов на международном уровне повысили производительность рабочего процесса, сделав правоохранительные органы более сильными.

Подозреваемые в киберпреступлениях идут по более крупным целям (и, таким образом, привлекают больше внимания). Примерно с 2002 года атаки перешли от одноразовых к таргетированным атакам на компании. Когда предприятия начали понимать, что являются целями, они стали более плотно работать с правоохранительными органами.

...