Categories
程式開發

從全國首起暗網案件告破說起——暗網,超乎你想像


今天環球時報發布以下新聞:“全國首起暗網平台案告破 搭建yin穢網站 註冊會員已達6萬多名”。

從全國首起暗網案件告破說起——暗網,超乎你想像 1

我們來看看報導對嫌疑人王某的描述,一方面能夠體現王某的技術優越心理,另一方面也體現出暗網的技術特點,王某對其安全保密性有信心。

“據了解,王某在大學裡學的是計算機類專業,也曾開辦過一些網站,對於互聯網十分精通。王某到案後,態度極其惡劣,未有悔罪表現,自恃所使用的是強加密系統,在’暗網’查證無異於大海撈針,認為公安機關不可能掌握其犯罪事實,對涉案情節一概否認,抗拒審查。”

所以,究竟什麼是暗網,究竟是什麼樣的技術竟被用於這樣不堪的內容?

一、什麼是暗網

“暗網”是指只能通過特殊軟件對指定電腦進行授權、進行特別的配置才能訪問的網絡;暗網裡的服務器和數據傳輸都是“隱形”的,在暗網以外(稱之為明網)的搜索引擎上無法檢索到,googgle也不行;暗網成員之間的通信有高輕度的隱蔽性、安全性,一般技術手段很難攔截,即使攔截到也難以破解、難以追溯。

正是基於這些特點,暗網天然成為了網絡犯罪者的聚集地,交換贓物的集散地,如同專收、專售舊貨的二手市場,暗網是專收、專售違法違禁物品、服務、數據的大市場。儘管相較於明網“暗網”仍然非常小,但從收售內容的惡劣程度、影響程度、交易金額這些方面考慮,這個“大”字一點也不為過。

二、暗網怎麼進

1、暗網網站

我們先來看看幾個在暗網界比較知名的搜索引擎:

從全國首起暗網案件告破說起——暗網,超乎你想像 2

從上表中不難發現這類網站的後綴不像我們經常見到的.cn 、.com,都是以.onion結尾,他們能夠檢索和他們一樣的、多數是以.onion結尾的暗網網站。

如何進入暗網,訪問“隱形”的搜索引擎和網站呢?

第一步,你需要一個叫Tor(the onion router)的瀏覽器,中國稱之為“洋蔥路由”,它的標誌就是一隻切開的洋蔥,它也的確像洋蔥一樣層層密封著並保護著數據。第二步你需要在網絡上找到網橋,你可以理解為一段可以幫你藏匿身份的數據,它也是不可或缺的。最後一步就是用Virtual Private Network遠程訪問,沒錯,就是VPN。

從全國首起暗網案件告破說起——暗網,超乎你想像 3

Tor不是網絡匿名訪問的唯一手段,但它是目前全世界最流行、最受歡迎的手段。這個免費、開源的程序可以給網絡流量提供三重加密保護,並將用戶流量在世界各地的電腦終端裡跳躍傳遞。

安裝完之後導航頁類似這樣,那些.onion為後綴的網站就可以打開了——我們在這裡看一下就可以了,不建議自己嘗試,以免觸碰紅線:

從全國首起暗網案件告破說起——暗網,超乎你想像 4

2、暗網內容

至於這些網站是乾嘛的?暗網裡面有什麼內容,在這裡不能多講,全是我們這些良好公民共同抵制的突破法律紅線、道德底線的事物與數據,否則也沒必要放到暗網裡去討論、去交易。黃賭毒的內容不提,說一下其中交易的非法數據的情況,下面兩張圖是2019年初360發布的暗網非法數據交易總結,涉及電話號碼、證件號、行為記錄、賬號密碼等大量個人信息,以及企業數據庫密碼等信息。單次數據交易量條數超過1個億的不在少數。

從全國首起暗網案件告破說起——暗網,超乎你想像 5

從全國首起暗網案件告破說起——暗網,超乎你想像 6

三、暗網技術原理

Tor至少使用了三種技術措施來保護網絡傳輸的安全性、隱蔽性:

1、隨機路徑,增加追溯難度

Tor客戶端先與目錄服務器通信獲得全球活躍中繼節點信息,然後再隨機選擇三個節點組成訪問路徑,用戶流量跳躍這三個節點之後最終到達目標網站服務器。

這條路徑會定時拆除並重新選擇節點建立新路徑,這使得第三方(如政府)難以通過拿下單個或少數節點來獲取用戶的完整訪問記錄,使得從節點入手的追溯變得極為困難。

從全國首起暗網案件告破說起——暗網,超乎你想像 7

2、三重匿名代理,增強隱蔽性

Tor不僅僅是隱藏自己的IP地址這麼簡單,這只是一般代理工具能夠實現的功能,Tor比一般的一重代理要高明得多,它是一種多重代理。

用一重代理有一個壞處:如果一重代理本身是惡意的(想像一下你的VPN提供商是惡意的),那麼它就可以知道你訪問過什麼網站。顯然,這不能滿足我們的“誰都不能知道是我訪問了網站”的隱私需求。

Tor的本質是一種“代理節點快速動態變化的加密三重代理”。我們還以上圖為例,Bob只知道數據請求來自節點C,節點C只能知道有數據從節點B發送到了Bob,節點B只能知道有數據從節點A發送到了節點C,節點A只能知道Alice訪問了節點B。沒有那個節點能像一重代理那樣,知道全部訪問的細節,每個節點都只知道訪問的一部分。

從全國首起暗網案件告破說起——暗網,超乎你想像 8

3、三段式加密傳輸,提高傳輸安全

如果不加密,那麼惡意節點就可以知道網絡傳送的內容是什麼,從而就有可能知道是Alice訪問了Bob。為了避免這種情況的發生,Tor採用了多重加密。這也正是Tor為什麼叫洋蔥路由的原因,因為真實數據被一層層加密,就好像洋蔥一層一層的肉一樣。

Alice為了訪問Bob,先訪問Tor的目錄服務器,獲取一部分Tor節點的IP地址,並從中隨機選擇三個節點的IP地址A、B、C。然後,Alice和節點A通過Curve25519橢圓曲線(以前用Diffie-Hellman密鑰交換算法)協商一個對稱密鑰keyA。這是一種很神奇的可以在不安全的信道上建立共享的對稱密鑰的方法。之後,Alice和節點A之間就會用這把對稱密鑰keyA進行加密通信。然後,Alice把B的IP地址和與B協商密鑰所需的參數用對稱密鑰keyA加密後發送給A。 A用keyA解密後,將Alice與B協商密鑰所需的參數發送到B的IP地址。 B收到參數後產生了對稱密鑰keyB,並將與Alice協商密鑰所需的參數發還給A。 A將參數通過keyA加密後發還給Alice。 Alice通過算法計算出對稱密鑰keyB。 (通訊雙方各自產生一些參數並發給對方,每一方都根據全部參數進行計算,這是一種常見的協商方式)。 Alice通過相同的方法和C協商出keyC。至此,Alice有了三把鑰匙keyA、keyB、keyC。 Alice往Bob發送數據包時,先將數據Data用keyC加密,再用keyB加密,再用keyA加密,就好像層層包裹一樣,然後發往節點A。節點A解開一層加密,發往節點B。節點B解開一層加密,發往節點C。節點C解開一層加密,得到Alice發往Bob的明文,發送給Bob。

從全國首起暗網案件告破說起——暗網,超乎你想像 9

最後再強調一點,技術本身當然是中立的,作惡與否這完全取決於技術是由什麼樣的人使用的,以及用這項技術來做什麼。作為一名信息安全人員,我們自然希望能夠搞清楚Tor背後的技術原理,所謂“師夷長技以製夷”,把它用於計算機取證、作為明網中的安全防護措施也是沒有問題的。

“Don’t be evil.”