Pesquisadores avaliam que comércio ilegal de dados nesses ambientes obscuros é consideravelmente pequeno e totalmente gerenciável
A Deep Web é superestimada. Enquanto seu potencial criminoso é indiscutível (com um volumoso comércio de drogas, documentos falsos e crimes encomendados), a extensão online de suas atividades costuma ser exagerada pela mídia, que não faz distinção entre ambientes ilegais, redes corporativas e sites com senha (fóruns, bancos, plataformas de email) ao abordar a parte inacessível da web.
De acordo com o FBI, existem cerca de apenas 800 fóruns criminosos na internet. Embora seu impacto possa ser considerável, o número de pessoas que os usam não costuma ser tão assustador.
Na semana passada, policiais de 20 países orquestraram uma ação que culminou com o fechamento do Darkcode, um dos maiores fórum de hacking, com cerca de 300 usuários. As autoridades conseguiram se infiltrar no site que funcionava à base de convites, prendendo 63 membros, entre eles Johan Anders Gudmunds (conhecido como “Mafi aka Crim”), que operou o botnet responsável pelo roubo de dados de inocentes em aproximadamente 200 milhões de ocasiões.
Recentemente, um escaneamento do TOR feito pelo PunkSpider Web encontrou 7 mil sites, 2 mil deles ativos e nem todos operados por criminosos. O lado oculto da web também é usado por dissidentes de regimes repressivos, agências, empresas e indivíduos preocupados com sua privacidade, que costumam acessá-lo usando o Freenet e a Invisible Interner Project e I2P, além do TOR.
Mesmo entre os sites criminosos da Deep Web, nem todos interessam aos profissionais de segurança digital. A TrendMicro encontrou no mês passado cerca de 8 mil sites suspeitos, sendo que um terço deles respondia por sites conectados a páginas de download de malware na web visível, um terço equivalia a sites para a anulação de Proxy que ajudavam os usuários a superarem filtros estabelecidos por escolas, empresas ou governos e um quarto dos endereços remetia a pedofilia. Apenas 5% do total escaneado diziam respeito a atividades hacking.
Analisando o comércio na Deep Web, a TrendMicro descobriu que apenas 5% dos vendedores e 6% dos consumidores buscavam comercializar credenciais de usuário – o mesmo número de pessoas interessadas em trocar jogos de videogame. A maior parte do comércio ilegal era voltada ao tráfico de drogas. Documentos falsos e assassinatos encomendados também eram oferecidos.
A parte da Deep Web que interessa aos pesquisadores de segurança é consideravelmente pequena e gerenciável. Segundo Jason Polancich, fundador e arquiteto líder da SurfWatch Labs, as empresas podem configurar uma operação de mineração de dados e obter resultados em cerca de um dia.
“A maioria dos negócios já tem essas ferramentas à mão para começar uma operação de baixo custo e retorno considerável na Deep Web, usando a equipe de TI e cibersegurança já existente”, defendeu o executivo.
Segundo a Terbium Labs, apenas “algumas dúzias” de fóruns, a maioria no TOR, lida com informações roubadas.
Fornecedores como a SurfWatch e a Terbium passaram a oferecer serviços de monitoramento, indexação e alerta para ajudar empresas a reagirem e anteciparem ameaças na Deep Web, como a divulgação de dados sensíveis, ataques planejados ou a venda de vulnerabilidades no software usado.
Para o CEO da Terbium Labs, Danny Rogers, mesmo com a remoção de sites antigos do ar, endereços novos sempre aparecem. “Mesmo assim, é comum que eles sejam discutidos em outros fóruns, então nosso software irá descobri-los”, defendeu o executivo. “Os sites mudam de mês a mês e não é tão difícil acompanhar”.
O diretor não explicou como sua empresa acessa fóruns fechados, mas informou que é capaz de coletar automaticamente a informação compartilhada nesses sites.
A Terbium também oferece o Matchlight, serviço de busca que permite aos clientes corporativos pesquisarem dados proprietárias. “É uma tecnologia de busca cega”, explicou Rogers. “Nós damos aos clientes a habilidade de pesquisar no índice de uma forma automática, sem nos revelar o que buscam”.
A principal funcionalidade da ferramenta é permitir que empresas configurem alertas para dados, como listas de clientes ou segredos de comércio que desejam monitorar. “Quanto mais rápido o vazamento de dados for identificado, mais rápido é possível iniciar uma resposta e diminuir os danos”, argumentou.
Se o escaneamento mostrar a distribuição de dados em sites legítimos e de acordo com a lei, a empresa pode solicitar sua remoção. Caso eles envolvam números de cartão de crédito, eles podem ser cancelados rapidamente, antes que os criminosos façam operações fraudulentas. Se a empresa está ciente do vazamento, pode encontrá-lo e encerrá-lo antes que mais dano seja feito.
Um dos clientes que utiliza a solução é a Sonatype, empresa de software de gestão da cadeia de abastecimento que possui uma base de dados com a descrição de mais de 1,2 milhão de empacotamentos open source.
“Para nós, os ativos principais são nossos metadados, que descrevem os atributos de código open source. O plano é usar esse tipo de tecnologia para nos certificarmos de que eles não apareçam em mais nenhum lugar da web”, explicou Wayne Jackson, CEO da empresa.
Outra fornecedora, a Recorded Future, cria uma camada de proteção baseada no hardware e software implementado por uma empresa e pesquisa vulnerabilidades identificadas nesses sistemas na Deep Web, assim como procura menções da empresa e seus funcionários, endereços IP e de email.
“Nós também esperamos que as pessoas analisem as tendências da indústria”, declarou Nick Espinoza, engenheiro de produtos da companhia.
O analista sênior da Recorded Future, Scott Donnelly, acrescentou que os cibercriminosos não se limitam apenas aos fóruns da Deep Web. “Eles precisam se expor para vender o que roubam. Para isso, eles usam o Twitter e amam suas hashtags”, pontuou.
