03 juli 2019

Het internet is nóg groter dan je denkt

Illegale handel vindt soms plaats op websites waar je als gewone internetgebruiker niet snel komt. Op het darkweb vinden criminelen elkaar wel makkelijker. Dit deel van het internet wordt daarom vaak geassocieerd met criminaliteit. Maar het darkweb is niet beperkt tot criminaliteit en criminaliteit beperkt zich ook zeker niet tot het darkweb.

In mijn promotietraject onderzoek ik account hijacking. Dit is een vorm van cybercrime waarbij criminelen inbreken in online accounts, zoals e-mailaccounts, webwinkelaccounts, of Netflixaccounts. Eén van de manieren om in te breken is het misbruiken van gestolen inloggegevens die worden verspreid op verschillende websites. Sommige van deze websites bevinden zich op het darkweb, maar niet allemaal. In mijn onderzoek probeer ik nu meer licht te werpen (pun intended) op zulke websites. Dus, op wat voor websites belanden jouw gestolen wachtwoorden?

Op wat voor websites belanden jouw gestolen wachtwoorden?

De poort naar het darkweb

Allereerst, er is geen eenduidige definitie van het darkweb, maar vaak worden hier websites mee bedoeld die je alleen kunt bezoeken met software die jou anoniem maakt. Omdat ik op zoek was naar gestolen inloggegevens en het darkweb sterk geassocieerd wordt met criminaliteit besloot ik dit deel van het internet eens te bezoeken. Ik begon mijn zoektocht met het installeren van de Tor- browser. Dit is een van de meest bekende voorbeelden om anoniem op het internet te surfen en de poort naar een berucht deel van het darkweb.

De Tor-browser – afgeleid van ‘The Onion Routing’ – zorgt dat je anoniem het internet op kan door jouw internetverkeer om te leiden. In plaats van direct te verbinden met een website, wordt jouw verbinding omgeleid via een aantal (drie om precies te zijn1) willekeurig gekozen Tor-servers. Deze servers staan over de hele wereld. Als jouw internetverkeer bijvoorbeeld wordt omgeleid via een Tor-server in Spanje, dan lijkt het voor websites alsof je in Spanje zit.

De Tor-browser leidt jouw internetverkeer om via willekeurige Tor-servers zodat de website jou niet direct kan traceren.
Renushka Madarie voor NEMO Kennislink

Als je surft met zo’n Tor-browser, zit je dan op het darkweb? Nou, nee. Met de Tor-browser kun je in principe naar alle websites surfen die je ook met gewone browsers, zoals Chrome en Firefox, kunt bezoeken. Maar er zijn ook websites die alléén te bereiken zijn met de Tor-browser. Dit is waar het darkweb in beeld komt.

Welkom in Onionland

Websites die alleen met Tor te bereiken zijn, worden onion services2 genoemd. Onion services verbergen zich achter het netwerk van Tor-servers. Dit maakt het lastig om erachter te komen waar deze websites zich bevinden en wie ze heeft opgezet. Een opvallend verschil met normale websites is dat onion services een moeilijke URL hebben en eindigen op .onion in plaats van op bijvoorbeeld .nl of .com (zie voorbeelden later).

Door de anonimiteit en onvindbaarheid die onion services bieden, zijn deze aantrekkelijk voor criminelen. Misschien heb je weleens gehoord van AlphaBay, Hansa, of WallStreet Market? Dit waren grote illegale online markten die de politie heeft opgerold. Dit waren ook allemaal onion services. Dit soort markten lijken qua opzet erg op Marktplaats.nl of Speurders. Zo hebben verkopers soms een retourbeleid, kunnen klanten een review schrijven over hun aankoop, en moet je er oppassen voor fraudeurs. Jawel, criminelen lichten ook criminelen op. Groot verschil is dat hier geen postzegels of bankstellen worden verhandeld, maar illegale producten zoals drugs en wapens, en diensten van bijvoorbeeld hackers.

AlphaBay was een van de grotere illegale online markten die zich verscholen achter het Tor-netwerk. De politie heeft deze onion service toch opgerold en de eigenaren gevonden.

Dit lijkt misschien best spannend en de term darkweb insinueert duistere zaken, maar volledig dark is het darkweb niet. De organisatie achter Tor zegt dat ze met hun software zaken als privacy, vrijheid van meningsuiting, en persvrijheid willen beschermen. Andere aanbieders van software die je anoniem op het internet maken, zoals I2P en Freenet, zeggen het ook om deze principes te doen.

Ik kwam tijdens mijn Tor-tour ook vrij snel onion services tegen met activistische inhoud. Ik vond een zoekmachine waar je het spel Zork kan spelen (heel old skool). En ik leerde dat sommige normale nieuwswebsites ook een onion service hebben: de New York Times (nytimes3xbfgragh.onion) en ProPublica bijvoorbeeld. Zij doen dit om hun nieuws toegankelijk te houden voor iedereen – ook lezers die hun website niet kunnen bereiken door bijvoorbeeld censuur en lezers die online zo anoniem mogelijk willen zijn.

Gelekt op het gewone web

Gestolen inloggegevens worden niet alleen verspreid op het darkweb, maar ook op het gewone web – het stuk internet dat je dus met gewone browsers kunt bereiken. Pastebin.com is zo’n website waar voorheen regelmatig grote datalekken werden gepubliceerd. Inmiddels wordt Pastebin beter beheerd waardoor hier minder datalekken te vinden zijn. Kijk je voorbij Engelstalige websites, dan zie je dat tegenwoordig een aantal Russische websites zich flink inlaten met cybercrime. Ook deze websites bevinden zich op het gewone web.

Zoekend als een potentiële account hijacker leerde ik dus dat er veel ellendige onion services zijn, maar ook een paar toffe. En dat je gestolen inloggegevens ook op het gewone web kunt vinden. Mijn begrip van het internet is ondertussen aardig uitgebreid. Ik hoop de jouwe nu ook.

1 Filmpje van Computerphile op YouTube waarin wordt uitgelegd hoe Tor werkt

In dit extra filmpje hieronder wordt uitgelegd waarom steeds precies drie servers worden gekozen.

2 Voorheen werden onion services ‘hidden services’ genoemd. Deze term wordt nog steeds vaak gebruikt.

Discussieer mee

0

Vragen, opmerkingen of bijdragen over dit artikel of het onderwerp? Neem deel aan de discussie.

NEMO Kennislink nieuwsbrief
Ontvang elke week onze nieuwsbrief met het laatste nieuws uit de wetenschap.