Het Dark Web - Dienstverlening op het gebied van malware

Als ik 's avonds de telefoon opneem verteld iemand zijn computer te willen laten beveiligen met SELinux. Hij heeft vernomen dat dit ontwikkeld is en gebruikt wordt door de NSA. “Dat moet dus wel heel goed en veilig zijn! Begrijpt u!?” Als ik informeer naar de gebruikte Linux versie reageert meneer toornig. “Nee meneer, u begrijpt mij niet. Ik heb dat niet! Daarom bel ik u!” Zucht.... Het gezegde “zalig zijn de onwetenden” gaat niet altijd op. De laatste keer dat ik SELinux policies aanpaste is anderhalf jaar geleden. Ik vraag mij af of er ondertussen tools zijn verschenen om dit proces makkelijker te maken en ga het Internet op. Ik vind geen nieuwe informatie maar stuit wel op een artikel wat mijn aandacht trekt. De auteur heeft onderzoek gedaan op het gebied van handel, de koop en verkoop van malware op het Internet. Het artikel is goed geschreven en pakkend maar ver is de schrijver met zijn onderzoek niet gekomen. Ik besluit om verder te gaan en ga het Darknet op.

Voorbereiding

Tijd voor uitgebreide voorbereiding is er niet die avond. Dus geen Tails downloaden, een van de testmachines met een Linux environment prepareren, of een VM opzetten. In plaats daarvan maak ik het makkelijk, construeer een container, voorzie deze van een sandbox en creëer een VPN-tunnel. Deze oefening neemt iets meer dan 10 minuten in beslag. De container en sandbox zijn niet echt noodzakelijk maar ik lijd aan paranoia en mocht ik op een kwaadaardige webpagina stuiten dan blijft de schade beperkt.

Traag

Eerst enkele, zo recent mogelijke, onion lijsten downloaden en dan aan het werk. Het Darknet kenmerkt zich o.a. door de aanwezigheid van Wikileaks, verkoop van drugs en wapens, dissidenten die hun verhaal vertellen, en... traag. Te traag om iets zinnigs te kunnen doen. In een poging snelheid te winnen legt de VPN-tunnel het loodje. Anonimiteit is in dit geval minder belangrijk. Uiteindelijk, na diverse malen van identiteit wisselen krijg ik van Tor een circuit met een, nog steeds trage maar, werkzame verbinding.

Aanbod; ransomware, keyloggers en meer

Het is al snel raak. Een hacker die zijn diensten aanbied. Deze heeft zijn (of haar) werk gemaakt in het vernielen van privé levens en het ruïneren van bedrijven d.m.v. social engineering, het hacken van Facebook pagina's, ransomware en meer. Alles voor geld. Ook wordt cyberspionage en DDos aanvallen aangeboden. De hacker laat weten wat zijn technische vaardigheden zijn op het gebied van programmeertalen en het coderen van malware. Prijzen vanaf € 200,- voor een klein karwei en € 500,- voor een gemiddeld karwei. Een eerste resultaat maar niet exact waar ik naar opzoek ben. Verder met een traag gaande zoektocht. Ik struin onion lijsten af, gebruik Darknet zoekmachines, bezoek forums en stuit op heel, heel veel dode links. Ondertussen vraag ik me af hoeveel exit nodes er momenteel gerund worden door overheidsinstanties? En hoeveel honeypots? Eindelijk, een uur verder heb ik weer informatie. Iemand biedt malware aan. Prijs € 25,- Er wordt geen informatie geboden over wat de malware doet of waar het in is geschreven. Op naar de volgende. Twee stukken malware. Respectievelijk € 25,- en € 75,- Het eerste stuk malware vernietigt een compleet Windows besturingssysteem. Het tweede stuk malware is een keylogger. Er worden vragen gesteld door geïnteresseerden. Vragen hoe het slachtoffer zover te krijgen de keylogger te installeren en hoe keylogger informatie van slachtoffer naar dader te routeren. Vragen worden beantwoordt door de aanbieder. De uitleg is technisch en cryptisch. Het is al flink later, ik probeer nog een aanbieder van malware te vinden. Het laatste wat ik die avond vind is een programmeur. Deze bied op maat gecodeerde malware aan in diverse programmeer talen. Ransomware, keyloggers, rootkits, virussen, spyware, enzovoort. Zolang er maar betaald wordt. Prijs voor een simpel stuk malware € 350,- Prijs voor een uitgebreid pakket € 700,- Ik stop ermee. Tijdens de zoektocht de tijd vergeten. Het is al na middernacht en de wekker gaat om 05:00 uur. Ik vernietig de container, en daarmee ieder spoor op het systeem van mijn zoektocht, en sluit af.

Conclusie

Om een conclusie te kunnen vellen zul je veel meer werk moeten verrichten dan een avond internetten. Geen uren maar dagen, misschien zelfs weken. Meer aanbieders vinden. In gesprek gaan met aanbieders en geld besteden om malware te kopen en uit vinden of je deze echt krijgt, en of de gekochte malware voldoet aan de vraag. Eventueel zelf een fake onion site beginnen en malware aanbieden om achter de vraag en interesse naar malware te komen. Dat alles gaat mij veel te ver. Mijn interesse is ondertussen verdwenen. Ik laat het hierbij.