想了解网络犯罪?到暗网去吧

时间:2015-08-17 10:29 来源:安全牛 作者:nana 点击:

网络罪犯钟爱暗网,因为在那里无法追踪他们或识别他们的身份。

 

 

了解你的敌人——知道他想干什么,他能干什么,他会对你造成怎样的伤害的最佳方法,就是监视他。

据一些网络犯罪专家所说,更简单高效地做到这一点的方法之一,就是出没于坏人干坏事的地方——暗网。

在Dark Reading的一篇近期文章中,SurfWatch实验室创始人兼首席架构师杰森·波兰希奇断言道:“绝大多数公司手头都已拥有依托其已有IT和网络安全团队开展低成本高回报的暗网情报活动的工具。”

这种数据挖掘活动,他写道,可以在一天之内投入运行。

IT圈子里都知道,暗网是一个兴旺的网络犯罪市场,可以提供多种漏洞利用代码、黑客雇佣服务、被盗个人数据和知识产权、垃圾邮件和网络钓鱼活动、内部威胁雇佣和其他更多黑暗服务。

得益于其随机性、匿名性和加密性,暗网也是犯罪分子从事不法活动的一个相对安全的地方。

但仅仅因为难于追踪单个罪犯并不意味着就不可能监视他们的行为。波兰希奇写道,暗网就是那个“找出可能已经被盗或被用来危害你的数据,改善你的整体安全态势来堵住漏洞”的地方。

真的这么容易吗?

KNOS计划共同创始人兼恶意软件专家凯文·迈克李维认为,“容易”这个词并不确切。但“可能”肯定是可以的。

他说道:“大多数管理人员都会觉得干这事儿是‘浪费时间’而不愿去做,但这样真的很有效。”

 

 

凯文·迈克李维,KNOS计划共同创始人

他说这就是他前一份工作所做的事情之一——“跟到坏人的老巢,这样就能先一步在他们发功之前弄清他们在谋划什么。但这又是料敌先机中最为耗费时间的部分之一。”

企业安全初创公司ThreatStream首席研究员尼古拉斯·阿尔布莱特同意这种观点。“很多人都觉得这些网络迷雾重重,但靠着简单的指南,任何人都能在看完一集《机器人先生》的时间内学会在这些网络里冲浪。”

“监视中最困难的部分是真正学会去看哪儿。这些晦暗网络中的很多站点都会周期性地更换地址或者下线。但是,一旦识别出一小撮此类网站,它们通常都会指引你找到别的。”

在劳动密集且不是总能产出有用情报上,他也与迈克李维观点一致。在“漫漫”长日里,“你可能看不到任何价值。”他说,“而且,这一活动要求分析员总在电脑前。部署‘工具’去干这活儿没有效果。爬虫机器人会被检测到,而且通常会被清除。”

 

 

弓峰敏,安全公司Cyphort共同创始人兼首席战略官

其他人则对普通IT部门从事有效暗网监视心存疑虑,即使已经拨了这份预算。“收集原始信息本身不是平常琐事。”Cyphort公司共同创始人兼首席战略官弓峰敏博士说:“从原始数据中提炼出威胁情报也没那么简单。因此,尽管做这件事有好处,普通IT部门却不能有效为之。”

这是因为,普通IT员工没有这份专业技能,“而且想加快速度也是不容易的。”这需要对威胁和数据挖掘的深入理解,门槛可不低。

弗雷德·托切特,电子邮件和网页安全公司AppRiver安全分析师。他就不那么犹豫,但他表示,分析得越深入,对专业技能的要求就越高。

“最初的高水平研究应该可以被任何熟知Tor(洋葱头路由器)实现技术的研究团队轻易执行下来。一旦对Tor的实现机制和使用方法有了基本的了解,暗网就几乎任你傲游了,尽管比普通互联网要慢上许多。”

 

 

弗雷德·托切特,电子邮件和网页安全公司AppRiver安全分析师

“而一旦研究越过被动范畴,进入到试图找寻甚至购入样本,事情就会变得花费高昂了。”他说,“基于具体的商家,有时候会有免费的样本供应,但并不总是这样。至此,同样的工具和专业技能便会成为分析样本的必需品了。”

无论觉得容易或困难,大多数专家都认为,企业为获取威胁情报而监视暗网尚未成为主流。“我注意到技术研究员和开发者将之作为安全威胁监视的补充方式提出,但作为企业自身采取的行动还不太常见。”弓峰敏说。

不过,随着更多的工具让在暗网冲浪更方便,这种状况有望发生改变。

胡阿·努尔米在Tor博客上写道,他自2010年起便致力于开发Ahmia——一个Tor隐藏服务站点的开源搜索引擎。

还有埃里克·米肖,网络和物理安全专业公司Rift Recon首席执行官,同时也是上周才成立的主推“暗网谷歌”搜索引擎的DarkSum共同创始人兼首席执行官。

米肖与弓峰敏观点一致,财富100开外的大多数公司都不能对暗网进行有效监视。但他表示,采用像DarkSum这样对暗网进行索引的搜索引擎,就能做到。“我们令暗网监视轻而易举。”他说道。

迈克李维说他已经做到了这一点。“真正需要做的,就是部署几台机器根据感兴趣的关键字列表爬取Tor网络数据,然后顺其自然。”

“一旦结果被送入来源与内容数据库,人工分析师就可以启动Tor浏览器来检查爬虫爬取的数据了。关键字越多,结果越庞杂,你用于翻找数据的人手越多,大海捞到针的机会也就越大。”

当然,暗网索引也不是静态的。如迈克李维指出的,Tor网络上的站点“常常几小时或几天就换一次地址,因此你得反复爬取以搜寻那些感兴趣的网站,因为他们很可能在你上次爬取过后又换了地址。”

米肖同意此观点,但也表示,跟上地址的变化是有可能的。尽管不愿谈及他的公司所用的技术,“我们真的干得漂亮”,他说。

值不值得花费时间和金钱进行暗网监视也是论战的一个议题。弓峰敏主张,尽管作为一个安全‘层级’很有用,却不是那么容易可以做好的。“这需要高级基础设施和技术技巧,而这两者都不是能够轻易部署的。企业IT部门独立完成这事儿并不是特别至关重要或者承担得起的。”

而且他还认为,“任何东西都不能代替对你自身网络和资产的直接监视。”

但米肖称,随着暗网监视越来越简单和便宜,它将成为安全操作中的必备一环。“企业被吓到了,因为他们知道,如果他们不积极主动,他们将对数据泄露负责。”

“如果你仅仅是被动防御,等待你的将是糟糕的一天。”

(责任编辑:腰编辑)