Schlagwortarchiv für: Darknet

How to explore the Darknet

The darknet is the dark side of the internet. It offers opposition and whistleblowers the possibility of secure communication, but it is also used for illicit trafficking in drugs, weapons and identity cards. Researchers of the BFH are investigating this marketplace and analyzing the sales, as our author Emmanuel Benoist writes.

We are a team of the RISIS institute of the BFH-TI, and we are conducting research on the Darknet markets. We use all possible traces, from crawling of the web site to blockchain analyze of the Bitcoin transactions to evaluate the transactions on the Darknet.

Hashish, MDMA, Cocaine, counterfeited notes, credit card numbers or fake passports, Darknet markets offer plenty of illegal goods. Forensic investigators and researchers want to know exactly what happends on those networks. We want to see what is sold, who are the sellers, what is their turnover, and how the markets work. Therefor, we need to gather data about the exchanges and to analyze them to measure the turnover of the different Darknet markets and sellers.

Bitcoin is the method of payment

Sellers and buyers on Darknet markets use mainly crypto-currencies like Bitcoin. Since the blockchain of Bitcoin is totally public, anybody can see any transaction done using Bitcoin. The researchers have tried to follow money transfer from one person to a market and then to a seller. Even in Bitcoin, where all the transactions are publicly accessible, this is not possible since anybody can create as many Bitcoin accounts as they want. So in reality, buyers and sellers do use anonymization techniques (for instance tumblers) to hide the sources and destinations of transactions. Persons active in the Darknet will try not to reuse the same account twice, they will create new accounts each time the anonymity could be endangered. Following transactions directly is hence not possible.

By visiting the sites, we can see the mass of offers. On Dream Market, the largest of the Darknet markets, there are 86’000 offers for drugs, more than 60’000 digital goods (data, ebooks, hard core pornography, tutorials for hackers, \dots), and around 6000 offers for services (fraud, fake IDs, counterfeit notes, \dots). Having an overview and finding the best sellers and what they sell is not possible. The amount of pages is way too large to be covered manually.

BFH’s RISIS department developed systems to visit automatically all pages of the most important Darknet markets. We faced difficulties, since markets do use anti-crawling measures. We have to solve captchas at the login (sometimes even before the login). We have to limit the number of visits per minute, otherwise, the site will kick our user out, or even ban this account for a long time.

Figure 1: Statistics showing the transactions per hour on Wall Street Market

We are looking for information on the turnover of the different sellers and the quantity of goods they sell. This information is normally not accessible directly. We can evaluate with different means the different turnovers. Reputation mechanisms play a central role in Darknet markets, where each buyer should evaluate the seller for each transaction. On some sites, this is mandatory, on other ones, this is only optional. Afterward, any user can see the number of transactions of a user and the number of evaluations, the buyers can also read the evaluations of items directly. Crawling the pages gives us access to that information: for each seller, their reputation, their number of transactions and for each item the different reviews. We will use this information to try to evaluate the turnover of sellers. We use the following figures: for each item sold, the number of comments; for each a user, the number of transactions and the number of comments. Using a simple proportional calculation, we can guess the number of transactions for each item. Since we know the price of the items, we can evaluate for each item the turnover. We can find for each market and each category, which sellers and which items have the larges turnover. We have found that reputation plays a central role and that a small number of actors play a central role in each of the categories, and that most of the big sellers are active mainly in one single category.

When most transactions take place

We have seen that following Bitcoin transfers is useless because of the different anonymization techniques used by Darknet users. We found a solution to mark transactions. On some Darknet markets, to compensate the lack of trust, people use multisig transactions. A multisig transaction is created by three persons (vendor, buyer, market) using their public keys. It needs the use of two of the corresponding private keys to release the money, since two of the tree persons need to sign the corresponding transaction. The Darknet market «Wall Street Market» offers this possibility. We succeeded in following some keys that are reused. With some more investigations, we found some addresses used to collect the fees payed for each transaction. We can now see all the transactions of this market and analyze them. We have the turnover of this market for all Bitcoin transactions. We can make statistics to see at what time or which day the more transactions are done. The statistic presented hereunder shows that the transactions are not evenly distributed over the day. The transactions are overrepresented during the day time in Europe with a peek in the evening. This contradicts our first intuition, where we supposed that a large part of the transactions are done on the west coast of the USA (since everything in the IT-world starts on the west coast). We were surprised to see that according to the actual values of the transactions, the largest part of the transactions is done in the European time zone.

Further research needed

We are looking for more information. Some transactions are using another cryptocurrency Monero. Monero has been designed for its privacy preserving properties. Following transactions in Monero will be much more difficult than in Bitcoin. We are still investigating to see if some information can be leaked out of Monero. We also need long time data to show trends in the Darknet market industry.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Le Darknet et ses dangers

Les sites de marché du Darknet proposent tous types de biens et services illégaux (drogue, faux papiers, contrefaçons, données, blanchiment d’argent). Sur ces sites, les utilisateurs sont très sensibles à leur anonymat et à leur sécurité. L’absence de cadre législatif a été compensée par la mise en place de technologies de protection: Tor et le Bitcoin pour l’anonymat, le développement d’une identité virtuelle spécifique au Darknet (sur plusieurs sites) pour augmenter la fiabilité des vendeurs, la mise en place de mesures de sécurité drastiques pour protéger les ordinateurs. Ces mesures peuvent être adaptées dans l’Internet publique pour améliorer la sécurité et la protection de la sphère privée.

Il existe une partie d’Internet qui n’est pas accessible avec un navigateur normal. C’est le Darknet et on y trouve toute sorte de biens illégaux. On peut y acheter de la drogue, des faux papiers, des contrefaçons, des numéros de cartes de crédit ou des malwares. Pour accéder à cette partie d’Internet, les utilisateurs prennent beaucoup de précautions, car ils sont conscients des dangers encourus.

Le premier danger est de se faire identifier. Vu l’aspect illégal des biens échangés, les acteurs (vendeurs, acheteurs, opérateurs de marchés) souhaitent garder leur anonymat. C’est pourquoi ces sites ne sont pas opérés sur l’Internet public. On utilise un réseau crypté, souvent Tor (The Onion Router), conçu pour anonymiser les communications, et un navigateur spécifique, par exemple le Tor-browser. Les sites ont un nom de domaine spécifique (en .onion pour Tor) qui ne correspond pas à une adresse sur Internet (adresse IP), mais à une adresse dans le réseau crypté. La police ne peut donc pas localiser le site à l’aide de son adresse IP. Comme tous les utilisateurs utilisent le réseau crypté, leur adresse IP aussi reste cachée.
Les paiements doivent aussi rester anonymes. Les utilisateurs effectuent donc tous leurs paiements avec une crypto-monnaie (généralement Bitcoin).
Comme pour se faire livrer, un utilisateur doit donner une adresse physique, il y aurait un risque, lorsque la police arrive à prendre le contrôle du site qu’elle puisse accéder à toutes les coordonnées des utilisateurs. C’est pourquoi, les communications entre clients et vendeurs sont toujours chiffrées. Le client utilise la clé publique que le vendeur publie sur sa page, pour encrypter les informations qu’il envoie au vendeur. Seul le vendeur possède la clé privée permettant de déchiffrer le message. L’adresse de l’acheteur n’est donc connue que du vendeur, qui s’engage à l’effacer dès que possible.

Le vendeur et l’acheteur étant anonymes, ils ne peuvent pas porter plainte.
Le second danger encouru, est pour un utilisateur de se faire tromper par son partenaire. C’est le cas du vendeur qui ne livre pas, ou qui livre un produit de mauvaise qualité, ou de l’acheteur qui ne paie pas. Le vendeur et l’acheteur étant anonymes, ils ne peuvent pas porter plainte. Il n’existe aucun tribunal sur le Darknet. Des mécanismes ont donc été mis en place pour éviter ces cas. Les sites ont mis en place des systèmes de réputation qui permettent à un acheteur d’évaluer la transaction qu’il a faite. La réputation d’un utilisateur dépendra comme sur les sites de e-Commerce du chiffre d’affaire et de la notation des acheteurs. Là où le Darknet diffère de l’Internet classique c’est que la « réputation » est transférable d’un site à un autre. Comme les sites sont régulièrement saisis et désactivés par la police, toute la réputation établie sur un site A pourrait disparaître avec ce site. Ce n’est pas le cas. Un autre site B recopie la réputation des vendeurs du site A. Il reste juste à vérifier que les utilisateurs avec le même pseudonyme sont bien les mêmes. Cela est fait grâce à la clé publique du vendeur (utilisée pour communiquer de façon chiffrée comme on l’a vu ci-dessus). Elle sert de carte d’identité du Darknet et reste la même sur tous les sites. Si le même pseudonyme utilise la même clé publique, c’est que c’est la même personne, on peut donc transférer sa réputation. Cela permet à un nouveau site de démarrer avec des vendeurs ayant déjà une bonne réputation.
Pour sécuriser le transfert d’argent, on dispose de deux mécanismes. Soit on utilise un tiers de confiance (escrow en anglais), le site par exemple, auquel l’acheteur vire l’argent à la commande et qui libère cet argent lorsque la transaction est finalisée. Soit on utilise un mécanisme du Bitcoin le multisig. Dans une transaction de ce type, trois personnes (le vendeur, l’acheteur et le site) créent ensemble un compte Bitcoin vers lequel de l’argent est viré. Ensuite pour disposer de l’argent deux des trois personnes doivent donner leur accord. En temps normal lorsque l’acheteur finalise la transaction, le site donne son accord et le vendeur peut disposer de son argent. En cas de problème, le site reste l’arbitre de la transaction. En cas de défaut du site, l’acheteur et le vendeur peuvent toujours accéder à leur argent.

Visiter un site du Darknet avec un ordinateur non spécifiquement dédié et renforcé serait suicidaire.
Le troisième danger est sans doute d’être victime d’une cyber-attaque. Les acteurs du Darknet ont tous des intérêts très divergents. Les opérateurs de sites peuvent vouloir détruire les sites concurrents. Ils sont aussi victimes de tentatives de chantage. Les attaquants bombardent les sites de requêtes et les font exploser sous la charge, cette attaque est connue sous l’acronyme anglais DDoS (Distributed Denial of Service). La stratégie de contournement est de disposer en permanence de nombreux points d’accès et de pouvoir couper ceux qui sont attaqués assez vite. Les documents envoyés (pdf, programmes, etc.) peuvent aussi être utilisés pour propager des malwares. Les personnes travaillant sur ces sites étant tous des criminels et certains étant des cyber-criminels, ils disposent du savoir faire pour propager de tels programmes. D’autres acteurs sont aussi très dangereux pour les utilisateurs du Darknet, ce sont les forces de renseignement et de police qui essaient continuellement de pénétrer et/ou de démanteler ces sites. Ils ont les moyens de développer des malwares de qualité et ont un intérêt très élevé à venir à bout de ces sites. Visiter un site du Darknet avec un ordinateur non spécifiquement dédié et renforcé serait suicidaire. Les personnes actives sur le Darknet utilisent toutes un browser spécifique (le Tor-browser) et devraient aussi utiliser un système sous forme de machine virtuelle dans laquelle contenir une éventuelle contamination. Cette machine virtuelle doit être uniquement utilisée pour l’usage du Darknet et réinitialisée très régulièrement.

« Crime as a Service ».
Le Darknet est un vrai danger pour la société. Il est utilisé par des criminels pour le trafic de drogue, le trafic de faux papier, le trafic de fausse monnaie. Mais il permet surtout une nouvelle forme de crime, le « Crime as a Service ». Les criminels ne sont plus dans une structure intégrée, mais chacun ne s’occupe que d’une tâche dans la chaine cyber-criminelle (découverte de failles de sécurité, écriture d’un exploit, maintenance d’une tool de déploiement de malwares, maintenance d’un bot net, location du botnet, blanchiment d’argent). Chacun vend ses services sur le réseau et peut se concentrer sur son cœur de métier.
Le Darknet nous donne à voir un écosystème hyper sécurisé, dans lequel les solutions techniques et organisationnelles sont poussées à leur maximum pour sécuriser les transactions malgré un environnement très inhospitalier. Les mécanismes mis en place sur le Darknet sont adaptables dans les environnements à haut risque et pour lesquels des niveaux d’anonymat et de sécurité sont nécessaires. On voit cependant que même des personnes avec une très haute motivation et de bonnes connaissances techniques arrivent à se faire attraper. La sécurité et l’anonymat complet sont très difficiles à obtenir.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Le Darknet et ses dangers

Les sites de marché du Darknet proposent tous types de biens et services illégaux (drogue, faux papiers, contrefaçons, données, blanchiment d’argent). Sur ces sites, les utilisateurs sont très sensibles à leur anonymat et à leur sécurité. L’absence de cadre législatif a été compensée par la mise en place de technologies de protection: Tor et le Bitcoin pour l’anonymat, le développement d’une identité virtuelle spécifique au Darknet (sur plusieurs sites) pour augmenter la fiabilité des vendeurs, la mise en place de mesures de sécurité drastiques pour protéger les ordinateurs. Ces mesures peuvent être adaptées dans l’Internet publique pour améliorer la sécurité et la protection de la sphère privée.

Il existe une partie d’Internet qui n’est pas accessible avec un navigateur normal. C’est le Darknet et on y trouve toute sorte de biens illégaux. On peut y acheter de la drogue, des faux papiers, des contrefaçons, des numéros de cartes de crédit ou des malwares. Pour accéder à cette partie d’Internet, les utilisateurs prennent beaucoup de précautions, car ils sont conscients des dangers encourus.

Le premier danger est de se faire identifier. Vu l’aspect illégal des biens échangés, les acteurs (vendeurs, acheteurs, opérateurs de marchés) souhaitent garder leur anonymat. C’est pourquoi ces sites ne sont pas opérés sur l’Internet public. On utilise un réseau crypté, souvent Tor (The Onion Router), conçu pour anonymiser les communications, et un navigateur spécifique, par exemple le Tor-browser. Les sites ont un nom de domaine spécifique (en .onion pour Tor) qui ne correspond pas à une adresse sur Internet (adresse IP), mais à une adresse dans le réseau crypté. La police ne peut donc pas localiser le site à l’aide de son adresse IP. Comme tous les utilisateurs utilisent le réseau crypté, leur adresse IP aussi reste cachée.
Les paiements doivent aussi rester anonymes. Les utilisateurs effectuent donc tous leurs paiements avec une crypto-monnaie (généralement Bitcoin).
Comme pour se faire livrer, un utilisateur doit donner une adresse physique, il y aurait un risque, lorsque la police arrive à prendre le contrôle du site qu’elle puisse accéder à toutes les coordonnées des utilisateurs. C’est pourquoi, les communications entre clients et vendeurs sont toujours chiffrées. Le client utilise la clé publique que le vendeur publie sur sa page, pour encrypter les informations qu’il envoie au vendeur. Seul le vendeur possède la clé privée permettant de déchiffrer le message. L’adresse de l’acheteur n’est donc connue que du vendeur, qui s’engage à l’effacer dès que possible.

Le vendeur et l’acheteur étant anonymes, ils ne peuvent pas porter plainte.
Le second danger encouru, est pour un utilisateur de se faire tromper par son partenaire. C’est le cas du vendeur qui ne livre pas, ou qui livre un produit de mauvaise qualité, ou de l’acheteur qui ne paie pas. Le vendeur et l’acheteur étant anonymes, ils ne peuvent pas porter plainte. Il n’existe aucun tribunal sur le Darknet. Des mécanismes ont donc été mis en place pour éviter ces cas. Les sites ont mis en place des systèmes de réputation qui permettent à un acheteur d’évaluer la transaction qu’il a faite. La réputation d’un utilisateur dépendra comme sur les sites de e-Commerce du chiffre d’affaire et de la notation des acheteurs. Là où le Darknet diffère de l’Internet classique c’est que la « réputation » est transférable d’un site à un autre. Comme les sites sont régulièrement saisis et désactivés par la police, toute la réputation établie sur un site A pourrait disparaître avec ce site. Ce n’est pas le cas. Un autre site B recopie la réputation des vendeurs du site A. Il reste juste à vérifier que les utilisateurs avec le même pseudonyme sont bien les mêmes. Cela est fait grâce à la clé publique du vendeur (utilisée pour communiquer de façon chiffrée comme on l’a vu ci-dessus). Elle sert de carte d’identité du Darknet et reste la même sur tous les sites. Si le même pseudonyme utilise la même clé publique, c’est que c’est la même personne, on peut donc transférer sa réputation. Cela permet à un nouveau site de démarrer avec des vendeurs ayant déjà une bonne réputation.
Pour sécuriser le transfert d’argent, on dispose de deux mécanismes. Soit on utilise un tiers de confiance (escrow en anglais), le site par exemple, auquel l’acheteur vire l’argent à la commande et qui libère cet argent lorsque la transaction est finalisée. Soit on utilise un mécanisme du Bitcoin le multisig. Dans une transaction de ce type, trois personnes (le vendeur, l’acheteur et le site) créent ensemble un compte Bitcoin vers lequel de l’argent est viré. Ensuite pour disposer de l’argent deux des trois personnes doivent donner leur accord. En temps normal lorsque l’acheteur finalise la transaction, le site donne son accord et le vendeur peut disposer de son argent. En cas de problème, le site reste l’arbitre de la transaction. En cas de défaut du site, l’acheteur et le vendeur peuvent toujours accéder à leur argent.

Visiter un site du Darknet avec un ordinateur non spécifiquement dédié et renforcé serait suicidaire.
Le troisième danger est sans doute d’être victime d’une cyber-attaque. Les acteurs du Darknet ont tous des intérêts très divergents. Les opérateurs de sites peuvent vouloir détruire les sites concurrents. Ils sont aussi victimes de tentatives de chantage. Les attaquants bombardent les sites de requêtes et les font exploser sous la charge, cette attaque est connue sous l’acronyme anglais DDoS (Distributed Denial of Service). La stratégie de contournement est de disposer en permanence de nombreux points d’accès et de pouvoir couper ceux qui sont attaqués assez vite. Les documents envoyés (pdf, programmes, etc.) peuvent aussi être utilisés pour propager des malwares. Les personnes travaillant sur ces sites étant tous des criminels et certains étant des cyber-criminels, ils disposent du savoir faire pour propager de tels programmes. D’autres acteurs sont aussi très dangereux pour les utilisateurs du Darknet, ce sont les forces de renseignement et de police qui essaient continuellement de pénétrer et/ou de démanteler ces sites. Ils ont les moyens de développer des malwares de qualité et ont un intérêt très élevé à venir à bout de ces sites. Visiter un site du Darknet avec un ordinateur non spécifiquement dédié et renforcé serait suicidaire. Les personnes actives sur le Darknet utilisent toutes un browser spécifique (le Tor-browser) et devraient aussi utiliser un système sous forme de machine virtuelle dans laquelle contenir une éventuelle contamination. Cette machine virtuelle doit être uniquement utilisée pour l’usage du Darknet et réinitialisée très régulièrement.

« Crime as a Service ».
Le Darknet est un vrai danger pour la société. Il est utilisé par des criminels pour le trafic de drogue, le trafic de faux papier, le trafic de fausse monnaie. Mais il permet surtout une nouvelle forme de crime, le « Crime as a Service ». Les criminels ne sont plus dans une structure intégrée, mais chacun ne s’occupe que d’une tâche dans la chaine cyber-criminelle (découverte de failles de sécurité, écriture d’un exploit, maintenance d’une tool de déploiement de malwares, maintenance d’un bot net, location du botnet, blanchiment d’argent). Chacun vend ses services sur le réseau et peut se concentrer sur son cœur de métier.
Le Darknet nous donne à voir un écosystème hyper sécurisé, dans lequel les solutions techniques et organisationnelles sont poussées à leur maximum pour sécuriser les transactions malgré un environnement très inhospitalier. Les mécanismes mis en place sur le Darknet sont adaptables dans les environnements à haut risque et pour lesquels des niveaux d’anonymat et de sécurité sont nécessaires. On voit cependant que même des personnes avec une très haute motivation et de bonnes connaissances techniques arrivent à se faire attraper. La sécurité et l’anonymat complet sont très difficiles à obtenir.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.