Blog Widefense

Tres cosas que debe saber sobre la DARK WEB

Escrito por Kenneth Daniels | 18-ene-23

Uno de los aspectos más curiosos de la Dark web o internet oscura, es que no empezó como un lugar tan oscuro: comenzó con los tableros de anuncios en los años 80 y 90 – los mercados de ese día – y continuó a principios de los años 2000, cuando Freenet se lanzó como una red peer-to-peer privada, para compartir contenido. Aproximadamente al mismo tiempo, el Laboratorio de Investigación Naval de los Estados Unidos creó lo que se llamaría el proyecto The Onion Routing, o Tor, con la intención de proteger las comunicaciones de inteligencia estadounidenses en línea.

De hecho, «dark» se refiere simplemente a la necesidad de adquirir software específicos para acceder a esta parte de la web. Para tener acceso a los reales mercados webs oscuros, por lo general se debe obtener una “limpieza” o “cleared» por un miembro de la institución, que le examinará comprobando referencias y su huella en línea.

Sí, todo viene como un cyber speakeasy. Pero, en sus primeros días, era un desorden relativamente favorable, un lugar donde los usuarios se reunían para comerciar con herramientas y técnicas tecnológicas. Sin embargo, una vez capturados, pornógrafos infantiles, traficantes de drogas y otros ladrones acudieron a la oscura web para realizar sus transacciones comerciales ilícitas.

Y, por supuesto, es un refugio para los piratas informáticos, que han convertido la web oscura en el equivalente de Internet de un bazar de compras para los matones cibernéticos. Hay un montón de dinero para hacer allí – hasta el punto donde la web oscura es más sobre el comercio que sobre el intercambio de información. Las autoridades federales pueden tener éxito de vez en cuando en cerrar un mercado negro particular. Pero, una vez que lo hacen, habrá varios jugadores que están ansiosos – y capaces – de establecer rápidamente otro mercado que vende los mismos productos. Por lo tanto, los CISOs tienen que permanecer por delante de lo que es probable que venga. Con esto en mente, aquí hay tres cosas que usted necesita saber sobre la web oscura.

SE ESTÁ CONVIRTIENDO EN UNA PRINCIPAL FUENTE PARA EXPLOIT KIT.

Siempre ha habido una demanda saludable de kits de exploit en la web oscura. Pero los kits son caros, vendiendo por miles de dólares, por lo que no se mueven lo suficientemente rápido. Para impulsar las ventas, los «empresarios explotadores» están rompiendo los kits en partes y vendiéndolos a la carta. Toman un kit para un RAT, por ejemplo, y venden su cámara, grabadora de micrófono, keylogger, etc. a precios comparativamente asequibles y, por lo tanto, energizar el mercado.

Eso es una mala noticia para los equipos de ciberseguridad, porque va a hacer su trabajo más difícil. En lugar de adquirir las herramientas y técnicas para reconocer y frustrar kits enteros que son bien conocidos, tendrán que estar atentos a un ataque mucho más grande de nuevas y muy variadas piezas ensambladas. Aún peor, potencialmente miles de atacantes individuales tratarán de personalizar sus ensamblajes para que se adapten a sus propósitos específicos, añadiendo inmensas capas de complejidad a la tarea de hacer coincidir los patrones / actividades de la red con las posibles amenazas.

Para asegurar que sus sistemas estén lo suficientemente defendidos, los CISOs deben ir al mercado y comprar las herramientas que se venden y hacer ingeniería inversa. Ya no pueden centrarse únicamente en los kits – deben llegar al nivel de proceso (el «cómo» detrás del «qué») para comprender y reconocer mejor los indicadores de funcionalidad. Es un enfoque finamente detallado, y requerirá más tiempo, gasto y esfuerzo. Pero aquí es donde va la web oscura, y la adquisición de las piezas del kit que se están desplegando es el primer paso para construir una estrategia eficaz de monitoreo y mitigación.

LAS FUGAS DE LA AGENCIA DE SEGURIDAD NACIONAL (NSA) HAN PROPORCIONADO UN GRAN LUGAR PARA TRABAJOS DESAFORTUNADOS.

Es seguro decir que, durante muchos años, la web oscura ha servido como uno de los mejores sitios de intercambio de información en el mundo, especialmente para los ciberdelincuentes que van allí para intercambiar información sobre parcelas pendientes y nuevas herramientas y recursos. Pero el escape de las herramientas de seguridad cibernética de la NSA en la web oscura sólo ha hecho que sea un espacio más productivo y colaborativo. La publicación de las herramientas de la NSA por parte de un grupo de hackers conocidos como los Shadow Brokers llevó al notorio ataque de ransomware de WannaCry a principios de este año. Más recientemente, se ha llevado a Brutal Kangaroo, que infecta las máquinas Windows en las redes de aire-gapped.

¿Que sigue? ¿Quién sabe? Las herramientas NSA son el equivalente de un gran paquete de regalos de cumpleaños que aterrizó en la vuelta colectiva de la comunidad de hackers. Pueden «abrir» cada regalo uno por uno, examinarlo, compartir observaciones y luego idear su siguiente línea de ataques que causan estragos. Para contrarrestar estos movimientos, los equipos de seguridad cibernética deben sumergirse en las herramientas filtradas de la NSA. Descubrir lo que sus potenciales adversarios quieran usar en su contra, remendar y en consecuencia preparar.

LOS CHICOS MALOS AMAN TOR

El proyecto Onion Routing comenzó con buenas intenciones como proyecto gubernamental. Pero, como todo lo demás en la web oscura, los adversarios cibernéticos están aprovechando Tor para lanzar exploits de manera más eficaz. Para resumir claramente la tecnología involucrada aquí, Tor dirige el tráfico de Internet a través de un sistema de enrutamiento masivo con miles de «relés», lo que hace prácticamente imposible rastrear la actividad a la original. Para cada relé, los datos en cuestión se cifran y se envían a una dirección IP seleccionada al azar, y la dirección de recepción sólo puede descifrar suficiente información para saber a dónde van los datos a continuación. Este proceso se repite una y otra vez hasta que alcanza el último relé, que envía los datos a su destino originalmente dirigido, con el último punto de relé nunca sabiendo cuál es la dirección IP de origen.

Dada sus vastas capas de astutos pasos clandestinos. Tor presenta un llamamiento obvio a los hackers, que están enviando cada vez más exploits usando el sistema. Esto crea dolores de cabeza para los equipos de seguridad de TI, especialmente aquellos que no comprenden Tor y el acceso a su amplia gama o direcciones web serializadas que usan para sitios web cuyos IPs específicos no pueden rastrearse de forma confiable como la web clara o la World Wide Web. Los IPs en la web oscura están cambiando constantemente haciendo difícil bloquear atacantes específicos que usan los nodos de salida de Tor como IPs.

Mientras que una solución concreta sigue siendo difícil de alcanzar, las organizaciones privadas pueden comenzar trabajando con el FBI y otras agencias policiales que están investigando estos asuntos. A través de un ambiente en el que las ideas y las observaciones se intercambian fácilmente entre la industria y el gobierno, se publicará información valiosa sobre, por ejemplo, lo que la comunidad de amenazas está publicando en foros públicos y subterráneos. Otra opción sería recuperar una lista de nodos de salida de Tor y bloquear su acceso a cualquiera de sus recursos. Esto bloqueará la mayor parte del tráfico, pero desafortunadamente, se agregan nuevos IPs de Tor y los antiguos se eliminan diariamente para que uno tenga que estar al tanto de esto.

Como dice el refrán, es mejor encender una vela que maldecir la oscuridad. Al examinar la oscura web en profundidad para llegar a los métodos de ataque y los recursos representan las mayores amenazas, puede desarrollar defensas preventivas contra lo que está por delante. Al trabajar con las autoridades para ayudar a monitorear y / o reportar actividades subterráneas, usted construye un sentido de vigilancia y conciencia que promueve un estado universal de protección.

FUENTE: https://www.helpnetsecurity.com/2017/09/21/three-things-know-dark-web/