Beheer

Security
Dit moet iedere securityprofessional weten over het dark web

Dit moet iedere securitypro weten over het dark web

Inzicht in criminele activiteiten versterkt bescherming van organisaties.

7 februari 2019

Inzicht in criminele activiteiten versterkt bescherming van organisaties.

Voor velen is het dark web een schimmige plek in de digitale wereld waar voornamelijk zaken gebeuren die het daglicht niet verdragen. Toch is het ook een plaats waar securityprofessionals waardevolle informatie kunnen vinden om hun organisatie beter te beschermen, zegt Mischa Peters, senior director of systems engineering EMEA bij IntSights.

Peters is een van de sprekers op de Hacker Hotel-bijeenkomst die van 15 tot 17 februari plaatsvindt, in een hotel op de Veluwe. “Tijdens mijn presentaties vraag ik vaak hoeveel mensen in de zaal weten wat het dark web is. Vrijwel alle handen gaan dan tegenwoordig omhoog. Maar vraag ik wie er wel eens zelf op het dark web is geweest, dan blijft er nog slechts een handjevol mensen over. Ik denk dat veel mensen, zelfs in de IT- en security-industrie eigenlijk niet weten wat zich daar nou afspeelt.”

Het algemene, heersende beeld is dat het een walhalla is voor criminelen, een online-plek waar drugs, wapens en kinderporno volop te krijgen zijn. “Dat is slechts één kant van de medaille. Het dark web heeft ook mooie kanten. Doordat je er anoniem kunt surfen, wordt het veel gebruikt door bijvoorbeeld overheden, politie en journalisten. Maar het biedt ook een alternatief voor mensen die in een land zitten waar de overheid een strikt regime hanteert.”

Phishing vóór zijn

Bovendien biedt het dark web inzicht in waar cybercriminelen zich mee bezig houden. Door in een vroeg stadium te weten welke mogelijke bedreigingen er zijn, kan een organisatie zich daar beter tegen wapenen. Zo is phishing nog steeds een geliefde methode voor criminelen om mensen en organisaties geld of persoonlijke gegevens afhandig te maken. Op het dark web zijn kant-en-klare scamsites te koop die aanvallers kunnen gebruiken op nieuw geregistreerde domeinen. Die domeinen liggen qua naam en url erg dicht tegen bestaande, reguliere websites aan.

Peters: “Wanneer je als securityprofessional ziet dat er nieuwe domeinen worden geregistreerd die bijzonder veel lijken op die van jouw organisatie, is de kans reëel aanwezig dat daar op korte termijn iets mee wordt gedaan. Dit hoeft niet alleen direct tegen jouw organisatie gericht te zijn, maar kan ook gebruikt worden tegen je klanten, leveranciers en partners, bijvoorbeeld met factuurfraude.”

Wanneer je weet wat er speelt, kun je je er beter tegen wapenen. IntSights verzamelt informatie op onder meer het dark web om zijn klanten inzicht te geven en daarmee een betere securitystrategie te kunnen formuleren. Cyber threat intelligence wordt dat genoemd. “Veel organisaties vertrouwen het grootste deel van hun netwerk aan de binnenkant van hun firewall, maar door te kijken naar wat daarbuiten gaande is, kun je je organisatie nóg beter beschermen.”

Anoniem surfen

Het dark web is eigenlijk niets anders dan een netwerk bovenop het internet, vertelt Peters, waarbij je een speciale browser of een speciaal protocol nodig hebt om de sites te kunnen benaderen. “Hoe illegaler de content van die sites, hoe voorzichtiger de beheerders ervan zijn. Dus dan moet je vaak geïntroduceerd worden of door middel van het geven van unieke – en vaak illegale – data kunnen aantonen dat je niet van de politie bent.”

Een van de meest bekende dark net-netwerken is TOR, The Onion Router, waarbij je een aparte browser nodig hebt om bij de beschikbare content op dat netwerk te komen. “De politie gebruikt dit bijvoorbeeld om onderzoek te kunnen doen naar bepaalde websites en verdachten. Het grote voordeel is namelijk dat je anoniem blijft. Dat is tegelijkertijd het nadeel van het dark web. Want doordat je anoniem kunt opereren, wordt het dus inderdaad ook gebruikt om naast wapens en drugs ook data te verhandelen.”

Naast het internet dat we allemaal kennen – door kenners ook wel ‘clear web’ genoemd – en het dark web, is er nog zoiets dat het ‘deep web’ heet. “Dat zijn websites die alleen toegankelijk zijn door credentials in te voeren, zoals een gebruikersnaam en wachtwoord. Websites die niet direct toegankelijk zijn, waar er heel veel van zijn. Je mailbox bij Google is bijvoorbeeld ‘deep web’”, legt Peters uit.

Informatie op het clear web

Securityprofessionals zouden zich wat meer kunnen verdiepen in wat er op het dark web allemaal speelt, omdat ze met die kennis hun organisatie beter kunnen beschermen. Dat hoeft helemaal niet door direct af te dalen in de krochten van het ondergrondse web. “Door in de reguliere zoekmachines zoals DuckDuckGo, Google of Startpage te zoeken naar dark web sources, kom je vaak al op discussiefora terecht op het clear web waarin wordt besproken welke sites er zijn gevonden die interessant zijn. Zo kun je je al een beeld vormen."

"Wil je daarna zelf een kijkje nemen op het dark web, dan hoef je niet in het wilde weg rond te klikken – wat ik overigens sowieso afraad, omdat je niet weet waar je terecht komt – maar kun je gericht op zoek naar de sites waarover op het discussieforum gesproken werd.”

Gebruik vooral geen zoekmachines op het dark web, drukt Peters iedereen op het hart. “Via deze zoekmachines wordt de bezoeker vaak geïnfecteerd met bijvoorbeeld malware. Het is een makkelijke manier voor criminelen om je computer te infecteren met ransomware of om het aan hun botnet toe te voegen.”

Snel ingrijpen

Welke informatie op het dark web kan concreet waardevol zijn voor securityprofessionals? “Wanneer bij een bepaald bedrijf of dienst data zijn gestolen, worden de buitgemaakte gegevens ofwel gepubliceerd ofwel verkocht. Maar in beide gevallen worden de data vroeg of laat openbaar gemaakt. Je kunt als securityprofessional door de lijsten met bijvoorbeeld mailadressen gaan om te zien of daar zakelijke mailadressen van medewerkers tussen staan. Vervolgens kun je checken of die accounts nog actief zijn en medewerkers hun wachtwoorden laten veranderen.”

Hij ziet dat vaak gebeuren bij klanten waarvan de mailadressen van werknemers opduiken in lijsten van gestolen data. “Die organisaties introduceren tweefactorauthenticatie of gaan een strikter wachtwoordenbeleid hanteren.” Maar gegevens worden ook graag gebruikt door spammers en scammers.

Op basis van zulke credential leaks worden target-lijsten gecreëerd. Als securityprofessional kun je bekijken of er dan ook meer spam of malware naar deze mailadressen wordt gestuurd. “Wanneer het spamfilter het niet meer aan kan, kun je als organisatie dat mailadres afsluiten en je medewerker een nieuwe geven. Dat zijn eenvoudige zaken die je als bedrijf kunt doen om je beter te beschermen tegen cybercriminelen.”

Er zijn verschillende partijen die, net als IntSights, cyber threat intelligence leveren. “Maar dan moet je als bedrijf wel weten wat je eraan hebt en of je er überhaupt iets mee kunt. Daarom is het ook handig voor security officers om eens rond te kijken op het dark web. Zijn er zaken waar je iets aan hebt, buiten drugs, wapens etcetera?”

Houd je hoofd erbij

Peters raadt aan om niet zomaar kijkje te wagen op het dark web. “Het is verstandig om een virtual machine te gebruiken en die daarna meteen weg te gooien. Wanneer je op een dark web site zit die je niet kent, weet je niet wat er aan de achterkant gebeurt. Je hoeft maar ergens te komen waar je eigenlijk liever niet wilde zijn en je machine kan geïnfecteerd raken.”

Hij herhaalt zijn eerdere adviezen: “Dus niet in het wilde weg rond klikken en geen zoekmachines op het dark web gebruiken.” Bovendien doe je er goed aan je op je speurtocht op het dark web niet te laten verleiden om zaken te kopen die balanceren op het randje van illegaliteit.

“Realiseer je dat vrijwel iedere overheid aanwezig is op het dark web. En hoewel je relatief anoniem kunt surfen op het dark web, houden overheden en overheidsinstanties de louche sites in de gaten. Zelfs een testaankoop kan betekenen dat er dan binnenkort iemand van de politie voor je deur staat”, waarschuwt Peters.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.