近年許多金融機構、國際基礎設施、企業品牌的資料在暗網中散布,除了駭客兜售外,各種交流和資源交換於暗網也是很常見的,如果想要了解暗網,先需要了解它應用的主要技術架構,也就是洋蔥路由(Tor Network)。
Tor 是用來實現匿名通訊的自由軟體,是 The Onion Router(洋蔥路由)的縮寫,可以透過許多中繼網路節點來避免被網路監控及流量分析,相對來說,Tor 使用者的網際網路活動就比較難被追蹤,原本的意義是保障個人隱私,以及不受監控地,進行秘密通訊的自由和能力。
有很多合法的使用者透過 Tor 網路來連線存取多樣化的服務,許多網站也有 Tor 的版本可以瀏覽。由於 Tor 路由會採用多層加密來處理資料,所以也是用洋蔥來比喻,一語雙關。由於接收者和傳送者的 IP 位址在任何中繼節點裡,都不是用明文來傳輸,而是被加密過的資料,所以若有人在中繼節點中的任何一點去攔截封包竊聽,並無法法同時識別兩端的 IP 位置,從而保持一定程度的匿名性。
暗網是什麼 ?
所謂的「黑暗網路,暗網(Dark Web)」,絕大部分是指執行在 Tor 洋蔥網路上的隱藏服務(Hidden Services),不是一般搜尋引擎如 Google 會收錄索引的網址,而是會變動且只能透過 Tor Network 連接的洋蔥網路域名。由於 Tor 的匿名性,暗網上就會有銷售毒品、非法服務、盜賣個資、企業資訊與非法色情等服務的交易或交流,支付方式也是會採用匿名特性的比特幣與各種加密貨幣以躲避各國單位的監管與追蹤。暗網使用者之間的通訊如前述是有加密的,所以交流方式保密程度較高,也能夠發表文章、共享檔案。
暗網的重點之一在於進入點,一般的標準瀏覽器如Chrome、Edge、Firefox 等並無法解析 .onion 頂級域名。必須使用 Tor Browser 瀏覽器,它是基於 Firefox 瀏覽器而修改的特殊形態瀏覽器,透過三種節點(入口、中繼、出口)對網路流量進行層層加密與轉發,以隱藏來源 IP。
暗網在洋蔥網路中的網站尋址方式也比較特別, 暗網沒有像 Google 這樣完善的搜尋引擎。駭客論壇(如各類 Dark Forum 的變體)通常依賴「目錄站點(Directories)」或私密邀請連結流傳,有許多駭客交流用的TG頻道、Discord頻道中會有自己流傳的方式。而著名的公開目錄(如 Hidden Wiki)上的連結失效極快,且有的網址到後來可能是詐騙陷阱。
資安研究員的 OPSEC(操作安全)規範
通常在進入暗網環境做相關資安與特殊訊息內容的研究,會建議避免使用日常工作電腦直接連接,而是採用專門的工作機比較適合,建議的研究環境如下:
實體隔離與虛擬化
使用一台專門的筆記型電腦 (可以隨時重新安裝復原的機器),或是在主機上執行虛擬機(VM)來操作。
作業系統通常建議使用 Tails OS(The Amnesic Incognito Live System)或 Whonix,這兩款都是基於 Debian 為基礎開發,以安全為核心的 Linux 發行版。這些系統的設計呢,是強制所有流量走 Tor 洋蔥路由,且在關機後會清除記憶體中的所有痕跡。
網路隔離
不要使用公司內網或家中主要的 Wi-Fi 或有線網路去連上 Tor 洋蔥路由。建議使用獨立的 4G/5G 熱點,避免因操作失誤導致你自家或公司的真實 IP 被 ISP 標記或遭到反向追蹤。不少研究團隊也有自己在海外的多個跳板機來進行相關工作,有許多公司有需要連接暗網時也採用這類方式進行。
VPN 的爭議也是要關注一下,有些研究員建議「VPN + Tor」以隱藏使用 Tor 的真實 IP,但這也取決於各公司團隊對 VPN 供應商的信任度,是否有不肖業者會你的連線 IP 資料賣掉呢,這就要看各服務商了。
身份隔離
絕對不要使用與真實身份(Email、用戶名、密碼習慣)有關聯的任何資訊在暗網中使用。
在暗網論壇註冊時,使用Tor Browser 瀏覽時記得留意 JavaScript,避免被去匿名化攻擊。
暗網論壇的現狀與風險
一般常見的企業或機構單位的「資料販售」通常出現在兩類平台:
Ransomware Leak Sites(勒索軟體洩漏站): 這是勒索軟體組織(如 LockBit 等)展示受害者資料的官網。這類網站通常較穩定,資安公司會定期爬取以確認客戶是否受害。
Hacker Forums / Marketplaces(駭客論壇/市集): 這類網站(如 DarkForums)的變動極大,他們在洋蔥網路中的網址常常會變動,需要從駭客信任的TG頻道或不同管道中獲取新的位置來連線讀取。
另外,要特別留意 Scam 詐騙,畢竟有高達 70% 到 90% 的販售文章有可能是詐騙,包括 Honey Pots 或單純騙取加密貨幣。
再來一個諜對諜的風險是 Law Enforcement 執法釣魚,許多知名論壇其實已經有 FBI 或歐洲刑警組織人員在監控中,在後台持續運作以蒐集買家與賣家的 IP 和行為模式。
企業取得暗網資訊的替代方案主要是 CTI 服務
企業各 IT 團隊如果要花時間逛暗網找資料並非唯一途徑,且效率低落,專業的資安團隊通常依賴威脅情資平台(Threat Intelligence Platforms),包括提供聚合服務如 Flashpoint、Recorded Future 或 KELA 這類公司,他們有自動化的爬蟲(Crawlers)深入暗網,將資料索引化。
對於許多企業來說,可以在相對較安全的 Web 介面上搜尋關鍵字,例如某公司的域名、產品名稱,查看是否有相關的憑證洩漏或資料庫販售紀錄,而無需親自承擔接觸惡意軟體或觸法的風險。
