Wo sich die Cyberkriminellen tummeln

Posted on Posted in Hacker News

Eine Abteilung des IT-Sicherheitsunternehmens Trend Micro beobachtet seit Jahren das Deep Web auf der Suche nach bislang unbekannten Bedrohungen für seine Kunden. Eine Studie zeigt teils beunruhigende Trends auf.

Das Fazit der Studie “Unter der Oberfläche: Das Deep Web erkunden”: Cyberkriminelle setzen verstärkt auf Anonymisierungswerkzeuge wie Verschlüsselung, Kryptowährungen und entsprechende Netzwerke, weil sie immer einfacher zu nutzen sind – auch für ihre Kunden. Und die Nachfrage nach Drogen und erbeuteten Kundendaten steigt.

01_deepweb_trend_micro

IT-Sicherheitsunternehmen müssen ihre Gegner kennen

Das Forward Looking Threat Research Team bei Trend Micro analysiert keine Malware oder Viren, sondern begibt sich auf die Suche nach denjenigen, die sie programmieren und anbieten, kaufen und einsetzen wollen. Und es beobachtet den Fortschritt der technischen Entwicklung, die die Cyberkriminellen nutzen. Sich bereits im Voraus mit möglichen Gefahren zu beschäftigen, ist inzwischen ein unerlässlicher Teil der Arbeit eines IT-Sicherheitsunternehmens. Beispielsweise unterhalten auch Sophos und Kaspersky ähnliche Abteilungen.

02_deepweb_trend_micro

Die Studie geht zunächst nochmals auf die Definition der Begriffe Deep Web und Dark Web ein. Das Deep Web umfasst jene Seiten, die weder von Google noch von Bing oder Yahoo indiziert werden. Diese Suchmaschinen zeigten nur fünf Prozent des tatsächlichen Inhalts des Internets an, sagte Darpas Hauptentwickler der Deep-Web-Suchmaschine Memex, Chris White, im April 2015 dem US-Fernsehsender CBS. Das Dark Web ist die Unterordnung des Deep Web und umfasst alternative Netzwerke wie das Tor-Netzwerk, Freenet oder das I2P-Netzwerk des Invisible Internet Project.

03_deepweb_trend_micro

Eigene Suchmaschine fürs Deep Web

Das Team bei Trend Micro nutzt für seine Recherchen eine eigene Suchmaschine mit dem Namen “Deep Web Analyzer”. Als Basis dient Apaches Elastic Search, die Crawler und Analysewerkzeuge wurden von den Experten selbst programmiert. Die Studie stützt sich dabei auf 38 Millionen Ereignisse, die in zwei Jahren gesammelt wurden. Die Ereignisse beinhalteten 576.000 URLs, von denen aber nur 244.000 HTML-Inhalte hatten. Jenseits von Webseiten mit Dateninhalten bevorzugen Nutzer des Deep Web jedoch laut Studie in erster Linie IRC (Internet Relay Chat), und zwar in der unverschlüsselten Version.

Englischsprachige Nutzer wollen Cannabis kaufen

Um eine mögliche geografische Verortung der Deep-Web-Benutzer zu erfassen, haben die Experten bei Trend Micro zunächst die Sprachen der beobachteten 3.454 verdächtigen Domänen analysiert. Bei fast zwei Dritteln war die Hauptsprache Englisch (62,36 Prozent). An zweiter Stelle liegt Russisch mit nur 6,6 Prozent, gefolgt von Französisch mit 5,5 Prozent. Deutsch wird auf 2,7 Prozent der erfassten Webseiten genutzt.

Anders sieht die Verteilung aus, wenn die URLs in den erfassten Domänen ausgewertet werden. Hier dominiert Russisch mit 41,4 Prozent vor Englisch mit 40,7 Prozent. Deutsch liegt mit 1,7 Prozent auf Platz 7. Die vollkommen andere Verteilung führen die Experten darauf zurück, dass derzeit ein großes russischsprachiges Forum im Deep Web aktiv ist, das auch im Tor-Netzwerk und über I2P gespiegelt wird. Dort seien aber kaum bösartige Aktivitäten zu verzeichnen.

Eine Zuordnung ist schwierig

Einen nachweislichen Schluss auf die Herkunft der Nutzer im Deep Web kann die Studie freilich nicht geben. Denn Englisch ist nach wie vor eine Art Amtssprache im Internet. Ohnehin sei es für die IT-Sicherheitsexperten aufgrund der gewährleisteten Anonymität schwierig, Benutzerprofile zu erstellen, heißt es in der Studie. Daher seien diese Analysen lediglich eine Einschätzung.

Warum sich viele Nutzer im Deep Web tummeln, soll eine Statistik zeigen, die die Experten bei Trend Micro mit Hilfe des Angebots der 15 populärsten Darknet-Märkte erstellten. Diese Liste erhielten die Forscher bei der als zuverlässig eingeschätzten Webseite Darknet Stats. Demnach will sich rund ein Drittel der Besucher dort Cannabis besorgen. Auch das Angebot von Cannabis auf den Webseiten beläuft sich auf etwa ein Drittel, getreu der ökonomischen Regel von Angebot und Nachfrage. Mit etwa einem weiteren Drittel liegt die Nachfrage nach Medikamenten an zweiter Stelle. An der Spitze der härteren Drogen liegt MDMA – weitläufig als Ecstasy bekannt – mit etwa 11 Prozent. LSD, Methamphetamine und Heroin teilen sich mit etwa 5,3 Prozent die folgenden Plätze mit gestohlenen oder gefälschten Paypal-Konten und Videospielen.

Schadsoftware, VPN-Dienste und pädophile Inhalte

Bei der Auswertung von Webseiten mit verdächtigen und illegalen Inhalten wollen die Forscher 8.707 Webseiten entdeckt haben. Das dort beobachtete Angebot besteht in erster Linie aus Infektionsvektoren – Schadsoftware – (33,7 Prozent) und dubiosen Proxy- oder VPN-Diensten (31,7 Prozent), aber auch pädokriminellen Inhalten (26,1 Prozent). Mit lediglich 4,8 Prozent liegt Hacking an vierter Stelle, gefolgt von pornografischen Inhalten mit Angriffsvektoren mit 2 Prozent. Weitere Angebote bestehen laut Studie aus bösartiger Adware (0,5 Prozent), Command-and-Control-Servern (0,3 Prozent) oder Phishing (0,3 Prozent). Um an diese Seiten zu gelangen, werden in erster Linie sogenannte Hidden Wikis im normalen Web – oder Surface Web – verwendet, die Links ins Deep Web oder Dark Web enthalten.

Technisches Wettrennen mit der Polizei

Inzwischen nutzen Cyberkriminelle bestehende Netzwerke wie Tor, um sie in die, für Schadsoftware benötigte Infrastruktur einzubauen. Im Tor-Netzwerk wurden bereits zahlreiche Command-and-Control-Server entdeckt. Allerdings nutzen viele solche Dienste auch, um eine Webseite ohne offizielle Domain-Registrierung aufzusetzen. Auch Kryptowährungen wie Bitcoin spielen nach wie vor eine große Rolle, um anonymisierte Zahlungen zu ermöglichen.

Die Forscher gehen jedoch davon aus, dass zukünftig mehr und mehr dezentralisierte Marktplätze in Kombination mit der Blockchain-Technologie entstehen werden. Gleichzeitig wird auch die Anonymisierung bei der Benutzung von Kryptowährungen forciert. Inzwischen gibt es im Deep Web zahlreiche Angebote, die Geldwäsche von und mit Bitcoins oder dergleichen anbieten. Die Experten warnen aber auch davor, dass Blockchain zunehmend für die Verbreitung von Schadsoftware genutzt werden wird.

Tummelplatz für Pädokriminelle

Für Aufregung sorgte auf dem Chaos Computer Congress Ende Dezember 2014 in Hamburg eine ähnliche Studie des IT-Experten Gareth Owen. Seiner Erhebung im Tor-Netzwerk zufolge, belegten Marktplätze für Drogen und Webseiten für Betrug die obersten Plätze. Das deckt sich mit der aktuellen Studie von Trend Micro. Allerdings sagte Owen auch, dass Seiten mit pädokriminellen Inhalten mit über 80 Prozent die am meisten besuchten im Tor-Netzwerk seien. Er räumte ein, dass seine Zahlen durchaus nicht so eindeutig ausfallen könnten, wie sie dargestellt wurden. Er könne beispielsweise nicht sagen, ob es sich bei den Besuchern tatsächlich um Menschen handele oder möglicherweise Bots oder andere Crawler. Außerdem habe er nur die Zugriffe auf den HTML-Inhalt registriert. Die Studie von Trend Micro bestätigt Owens Beobachtungen zumindest in Teilen.

Die Tor-Macher erklärten daraufhin, dass die von Owen präsentierten Daten nicht unbedingt repräsentativ seien. Es könnte beispielsweise sein, dass solche Seiten deshalb frequentierter seien, weil deren kleines, aber obsessives Publikum dort oft vorbeischaue. Eine weitere Möglichkeit sei, dass auch Strafverfolgungsbehörden die Seiten häufiger besuchen, um die Täter zu identifizieren. Auch sie zogen Crawler in Betracht. Dass dort auch Kriminelle ihre Dienste anbieten und Tor einen schlechten Ruf bescheren, ärgert Mitgründer Roger Dingledine maßlos: “Scheiß auf sie, sie sollten aus unserem Netzwerk verschwinden. Dafür ist Tor nicht gedacht und sie schaden uns allen.”

Digitale Verfolgungsjagd

Das Deep Web und Dark Web beschäftigt die Strafverfolgungsbehörden bereits seit längerem. Die US-Behörde Defense Advanced Research Projects Agency (Darpa) hat ebenfalls eine Suchmaschine entwickelt, die bislang unsichtbare Inhalte im Internet durchsuchen kann. Memex wird bereits erfolgreich von Strafverfolgungsbehörden in den USA angewendet, um gegen Kinderpornografie, organisierten Menschen- und Drogenhandel vorzugehen.

Auch Trend Micro habe bereits mit Strafverfolgungsbehörden wie Europol zusammengearbeitet, sagte der Senior Threat Researcher Rainer Link Golem.de. Es seien auch weitere Kooperationen im Gespräch, Details wolle er aber nicht nennen. Allerdings sei das Deep Web eine Herausforderung für Polizeibehörden, vor allem, weil es meist internationaler Kooperation bedürfe, um Täter weltweit zu ermitteln. Auch die Zuordnung sei schwierig, besonders wenn die Cyberkriminellen ins Tor-Netzwerk ausweichen. Zudem spiele die große Fluktuation der Marktplätze eine wesentliche Rolle. Dafür müsse die Polizei in der Lage sein, kriminelle Online-Aktivitäten akribisch zu dokumentieren. Und schließlich nutzten die Täter Verschlüsselung, da ihnen bewusst sei, dass sie und ihre Kunden beobachtet werden.

Legitimer Nutzen

Für IT-Sicherheitsunternehmen sind die Beobachtungen im Deep Web nützlich, um ihre Kunden zu schützen. Allerdings ist ihnen wohl auch bewusst, dass es legitime Gründe dafür gibt, in den Datenuntergrund zu gehen. Für Dissidenten, Whistleblower oder Menschen, die ihr Recht auf freie Meinungsäußerung in ihrem eigenen Land nicht wahrnehmen können, ist das Deep Web unerlässlich. Auch sie müssten die IT-Sicherheitsunternehmen schützen, heißt es in der Studie. Rainer Link betonte, dass die Studie keine politische Diskussion um Verschlüsselung nach sich ziehen solle. Nicht jeder, der verschlüssele, sei deshalb gleich verdächtig.

Quelle: Golem.de


 

Facebooktwittergoogle_plus