Profissionais de segurança cibernética têm interesse na web profunda por três bons motivos
A maioria de nós tende a pensar na internet como um único destino, acessível via os navegadores instalados em nossos laptops e smartphones. Mas, ao longo dos anos, a web evoluiu para três diferentes áreas: a
web pública; a web privada ou internet profunda (deep web); e a darknet ou dark web.
A web pública é a internet com a qual a maioria de nós está familiarizada: os sites administrados pelas principais empresas ponto com, sites SaaS que fornecem software para executar nosso e-mail comum e aplicativos corporativos, e assim por diante. Esta é uma informação que flui livremente entre nossos computadores, diariamente. Esses sites são pesquisados e reconhecidos pelo Google e outros mecanismos de pesquisa. Se você tem uma ferramenta de segurança online, esta é a parte da web que é seu foco.
Mas quando mudamos para a web privada ou internet profunda (deep web), chegamos a uma parte do universo online que os mecanismos de pesquisa não podem indexar ou cobrir facilmente a partir de ferramentas de segurança. Isso inclui intranets privadas, serviços de mensagens instantâneas (IM), salas de bate-papo e fóruns de discussão online, além de bancos de dados privados que estão atrás de múltiplos firewalls ou não têm reconhecimento da informação via internet pública. Até alguns anos atrás, a maioria dos cibercriminosos não estava focada em usar essas áreas para se estabelecer em redes corporativas, mas isso mudou. Conforme o uso da IM decolou (com o Microsoft Teams, Slack e outros serviços), os adversários criaram ferramentas que podem tirar proveito da falta de segurança integrada nesses serviços. Isso torna as mensagens instantâneas o principal alvo de oportunidade para ataques de phishing, em particular – como um exemplo das ameaças crescentes que podem ser encontradas em fontes privadas da web.
Finalmente, existe a dark web. Essa parte do mundo digital é muito mais difícil de entender. Assim como a web privada, esses sites se esforçam para não aparecer nos índices de busca, principalmente porque alguns deles oferecem bens e serviços ilegais, como drogas, dados roubados (incluindo números de cartão de crédito) e ferramentas para violação online. Nem todo o seu conteúdo é ilegal, mas há muitos que podem ser questionáveis.
Exemplos desse conteúdo na dark web incluem:
Para acessar a dark web, geralmente é necessário um navegador especial chamado Tor. A maioria das estimativas atribui sua popularidade a cerca de 5% do conteúdo e tráfego total da internet. Eles usam as convenções de nomenclatura de domínio .onion ao invés de .com ou .net. Até o Facebook tem sua própria presença na dark web. Por que empresas legítimas teriam esses sites? Eles podem servir para ajudar seus desenvolvedores a entender como usá-los e proteger os seus dados. Além disso, utilizando navegadores como o Tor as pessoas, que vivem em países onde o acesso até mesmo a sites considerados inofensivos é restrito, podem acessá-los, dificultando o rastreamento de sites que visitaram. Nota-se que esses sites têm nomes de domínio muito complicados – seus proprietários querem tornar mais difícil rastreá-los e encontrá-los, ao contrário da web pública, onde o nome da sua marca costuma ser sinônimo do seu nome de domínio.
A maioria dos habitantes da dark web são golpistas e criminosos, procurando separar as pessoas do seu dinheiro e de seus dados. Esses cibercriminosos estão constantemente em movimento, tentando ficar à frente da aplicação de leis e vigilantes que tentam expor os seus golpes. Os próprios sites na dark web também estão em movimento, pois podem ser alvos comuns em ataques de negação de serviço (DDoS). Isso significa que muitos materiais estão desatualizados. E, como pode-se esperar, o que tem valor nesse reino são as criptomoedas, como Bitcoin, as quais tornam difícil saber exatamente com quem está se fazendo negócios.
Os profissionais de segurança cibernética têm interesse na dark web por três questões básicas: primeiro, por ajudar a saber se a marca foi mencionada lá. Isso pode prejudicar a reputação da marca ou confundir seus clientes em potencial com alguém que está tentando vender produtos e serviços falsos. Também pode indicar que alguns de seus dados comerciais vazaram.
Um segundo motivo é que essas menções na dark web podem ser exemplos de um alerta de ameaça, antes que o malware seja detonado na web pública. Como há tantos agentes de ameaças operando na dark web, você pode descobrir o que eles estão planejando e qual malware estão testando antes que os ataques sejam vistos em qualquer outro lugar. Em terceiro, a dark web está mais escura, ou seja, está cada vez mais ocupada por criminosos profissionais e não apenas por roteiristas ou pessoas que não se enquadram na sociedade. As explorações estão se tornando mais sofisticadas e as ferramentas e técnicas de ofuscação de malware são cada vez mais vistas e comercializadas. Mesmo os que não são cibernéticos profissionais devem se preocupar com a dark web, porque dados privados podem existir em um ou mais bancos de dados de credenciais roubados e que são comercializados no mundo online.
Uma vez que grande parte do conteúdo na dark web tem a ver com credenciais, um bom lugar para começar a pensar sobre como se proteger para não acabar nesses bancos de dados é fortalecer a autenticação de login.
A primeira coisa a fazer é remover senhas reutilizadas. Sim, é conveniente ter a mesma senha para vários sites, mas isso oferece aos cibercriminosos uma maneira fácil de comprometer sua identidade.
A segunda é minimizar o reconhecimento de dados (footprint).
Por exemplo, não divulgar o aniversário de alguém nas redes sociais, não preencher todos os campos de um formulário de solicitação de informações sigilosas e não salvar detalhes de pagamento em sites de comércio eletrônico.
*Luis Corrons é Evangelista de Segurança na Avast
