Intro a investigações na Deep Web

Levi
Levi
Nov 5 · 8 min read

A Deep Web têm sido de muitas formas algo que intriga ainda pessoas do mundo todo. O que acontece nesse lugar? Só existem coisas ruins ali? E o qual é o motivo pelo qual ela tem hoje tanto sucesso?

O objetivo desse post é na verdade dar uma visão geral de como as investigações nessa plataforma andam evoluindo e o que isso afeta na sua empresa em relação à segurança.

A Trend Micro (Empresa famosa de CyberSecurity) escreveu eu 2015 sobre a Pesquisa deles nesse campo. Eles demonstraram como a Deep Web funcionava, e como eles usaram um ferramenta própria deles para investigar a plataforma.

Na verdade eles têm até uma palestra gravada na BlackHat 2016 falando sobre essa pesquisa citada.

Essa Estatística mostra que baseado no usos dos domínios dos sites, o inglês era a língua mais usada, seguida pelo Russo.

Agora Baseado em Urls, a pesquisa mostra que a língua Russa era bem mais ativa ainda que o Inglês na prática.

Os produtos mais procurados variavam de drogas à contas de Video Games, note que em segundo, está itens farmacêuticos como o Ritalin e o Xanax. Além também de prescrições médicas.

A venda de passaportes também era comum, falsas identidades, jeitos fáceis de conseguir bitcoins, cartões de crédito e etc…

A venda de Ransomwares era comum também, que são normalmente enviados por e-mail e encriptam todos os computadores do sistema depois que alguém clica no link.

Outra Inovação de bandidos que a Trend Micro notou naquele ano,era que alguns sites mostravam as Estatísticas do crescimento de plantações drogas ao vivo.

Mas sendo sincero, isso todo mundo já sabe hoje em 2019. O acesso ao Tor é simples e as ferramentas de busca de .onions é mais simples ainda.

Como eu disse o foco desse post é em investigação, e agora falaremos sobre a pesquisa recente na área.

Normalmente pensamos que a rede Tor é totalmente anônima. E é mesmo, mas a verdade é que ultimamente ela tem sido cada vez mais dissecada, e a inovação na investigação nessa plataforma é extensa.

Nesse artigo publicado pela Univerdade do Arizona, o objetivo foi criar uma forma automatizada de mapeamento da Deep Web.

Eles usaram um crawler que basicamente é um programa que procura .onions automaticamente, eles classificavam (com Machine Learning) as informações de fóruns e marketplaces e os agrupavam em 2 databases que depois eram analisados.

O Resultado foi um mapeamento de como a rede de vendedores e usuários funcionava na prática, normalmente vendiam em mais de um marketplace e eram ativos em pelo menos um fórum.

A Pesquisa acima foi efetiva em prover um sistema que consegue detectar de certa forma, os usuários que poderiam ser líderes em potencial de plataformas.

Usando LDA, e técnicas de análise social eles foram precisos em notar quem poderia ter mais relevância e autoridade entre os usuários.

Essa tese acima não é focada na Deep Web, ela usa blogs de segurança, o Twitter e a Deep Web em si para coletar e agrupar informações de segurança de forma rápida e eficiente.

Veja como a Informação é agrupada de forma visualmente bela e sensível.

Usando LDA também para análise e crawlers para coleta de dados, a Univerdade da Califórnia do Sul, e o Georgia tech mapearam o conteúdo de diversos sites na Deep Web.

Eles usaram o LDA para dentro desse monte de coisa identificar e separar os tópicos de conteúdo de diversas plataformas.

Cada ponto nesse “mapa” representa um post que é colorido pelo seu tópico mais importante.

Na época da pesquisa o AlphaBay era a plataforma mais usada e famosa.

Ranking de plataformas mais “maliciosas” baseado em HMM ou Hidden Markov Model.

Tá, beleza, então o que isso tudo diz é que basicamente existem formas claras de se investigar a Deep Web, mas como que se faz isso na prática?

O Hunchly possue uma plataforma que pode ser bem interativa para iniciantes em investigações.

Eles possuem um passo a passo para a instalação da Virtual Machine deles e dão algumas dicas de como descobrir Ip’s de alguém com Cloudflare, como escanear .onions e etc..

Outro recurso bom para achar o Ip de .onions atrás de um cloudflare é o abaixo. Link.

Uma Plataforma de Investigação excelente é a SIXGILL, com certeza eles devem usar técnicas como as citadas acima mais talvez de forma mais profunda, além de uma forma simplificar o processo desgastante de fazer as suas próprias ferramentas.

Outras plataformas são a EchoSech e a Media Sonar.

Agora se você quiser fazer algo mais manual, recomendo essa palestra do Joel Fabiani no MindTheSeC:

Aproveitando esse slides, o Tails e o Qubes são sistemas operacionais focados em anonimidade.

Usar um VPN nunca vai ser suficiente, ter além disso uma rede segmentada, com um provedor de Internet Segmentado é bem eficiente.

Recomendo um vídeo do Hackersploit sobre segurança na rede tor.

Setup:

Lembrando que tanto Hackers quanto outras instituições usam seus nodes para usar eles contra os usuários, assim tirando a anonimidade.

Lembremos que no Paper original do Tor, eles diziam que para alguém ter uma melhor experiência, teria de usar seus próprios nodes para garantir sua segurança e anonimidade.

Ainda sim você vai precisar de ferramentas como crawlers entre outras, para isso veja esse artigo. Link.

Outro artigo que devo citar é sobre o tráfico de Orgãos na Deep Web.

A rede TOR de muitas maneiras tem uma grande vantagem para quem trafica orgãos. Pessoas com muito dinheiro que estão na fila de espera durante anos podem usar essa plataforma para encontrar vendedores com esquemas sofisticados de venda e compra.

Esses posts são de um fórum que mostra uma conversa que mostra como funciona a venda desses orgãos.

E necessário:

São necessários nesses esquemas os 4 itens acima, o que o artigo propõe é uma metodologia de investigação para descobrir esses elementos.

Eles usam as ferramentas abaixo para efetuar a metodologia acima.

O resultado foi uma investigação de certa forma precisa do mapeamento dessas vendas e divulgações sobre o assunto.

Resumo de tudo? Investigar a Deep Web é o dever das nações hoje, da polícia federal de diversos países , como também de entidades como o FBI, Interpol, Europol e etc..

Mas nós que trabalhamos na área de segurança da Informação devemos também ser ativos nesse meio, seja na área da saúde, SCADA ou o que for, investigar a rede TOR nos tornará melhores em mitigar ataques e prender quem não faz o que deve.

Para mais pesquisas sobre a Rede Tor:


Originally published at https://www.linkedin.com.

Levi

Written by

Levi

Uma Startup de Segurança da Informação na Área da Saúde

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade