W świecie współczesnych technologii przekonanie, że jakakolwiek baza danych jest w stu procentach bezpieczna, można włożyć między bajki. Teza, według której dane nie trafią do dark webu, dopóki nie zostaną w spektakularny sposób „wykradzione” z serwerów podpiętych do publicznej sieci, jest nie tylko naiwna, ale wręcz niebezpieczna. Ignoruje ona bowiem fundamentalne zasady cyberbezpieczeństwa oraz fakt, że współczesne ekosystemy cyfrowe są ze sobą nierozerwalnie połączone. Ryzyko wycieku istnieje zawsze, a dark web jest jedynie końcowym przystankiem w długim łańcuchu zdarzeń, które często zaczynają się w miejscu, którego najmniej byśmy się spodziewali.

Iluzja absolutnego bezpieczeństwa

Pierwszym i najważniejszym powodem, dla którego wspomniana teza upada, jest fakt, że ryzyko włamania nigdy nie wynosi zero. Specjaliści od bezpieczeństwa IT często powtarzają: „nie pytaj, czy zostaniesz zhakowany, ale kiedy to nastąpi”. Firmy inwestują miliony w firewalle, systemy IDS/IPS czy szyfrowanie, ale po drugiej stronie stoją zdeterminowane grupy przestępcze, które dysponują czasem i zasobami.

Wystarczy jedna luka typu zero-day (taka, na którą nie ma jeszcze poprawki), by najlepiej strzeżona twierdza stała się otwarta dla intruzów. Co więcej, dane nie muszą być „wykradzione” w tradycyjnym sensie poprzez przełamanie zabezpieczeń sieciowych. Mogą zostać wyniesione na pendrive’ie przez nieuczciwego pracownika lub wycieknąć z powodu błędu w konfiguracji chmury, co technicznie nie jest „atakiem”, a raczej znalezieniem otwartych drzwi.

Czynnik ludzki i insider trading

Często zapominamy, że bazy danych nie istnieją w próżni – mają do nich dostęp ludzie. „Insider threat”, czyli zagrożenie wewnętrzne, to jeden z najtrudniejszych do wyeliminowania wektorów ataku. Pracownik z dostępem do wrażliwych informacji może zostać przekupiony, zaszantażowany lub po prostu skuszony wizją szybkiego zarobku w kryptowalutach. W takim scenariuszu baza danych trafia do dark webu bez żadnego „włamania” do tradycyjnego internetu. Po prostu zostaje skopiowana i wystawiona na sprzedaż na jednym z anonimowych forów.

Ciekawostka: Ile kosztują Twoje dane?

W dark webie ceny za dane są przerażająco niskie, co napędza podaż. Kompletne dane karty kredytowej (tzw. „Fullz”) można kupić już za kilkanaście dolarów. Z kolei dostęp do konta w serwisie streamingowym czy mediach społecznościowych to często wydatek rzędu 1-5 dolarów. Masowość tych transakcji sprawia, że każda baza danych, niezależnie od wielkości firmy, jest atrakcyjnym towarem.

Sieć Tor jako bezpieczna przystań dla handlarzy

Sieć Tor (The Onion Router) oraz inne sieci typu darknet zostały zaprojektowane w celu zapewnienia anonimowości. Niestety, ta sama technologia, która pomaga dysydentom w krajach autorytarnych, służy cyberprzestępcom do handlu skradzionymi informacjami. Dzięki wielowarstwowemu szyfrowaniu i trasowaniu cebulowemu, namierzenie fizycznej lokalizacji serwera, na którym hostowane jest forum z bazami danych, jest ekstremalnie trudne dla organów ścigania.

To sprawia, że dark web staje się idealnym rynkiem zbytu. Sprawca może opublikować próbkę danych (tzw. „sample”), aby udowodnić ich autentyczność, a następnie przeprowadzić aukcję, pozostając całkowicie nieuchwytnym. Brak łatwej identyfikacji sprawców powoduje, że czują się oni bezkarni, co tylko zachęca do kolejnych ataków.

Łańcuch dostaw – najsłabsze ogniwo

Nawet jeśli firma X ma zabezpieczenia na poziomie wojskowym, jej dane mogą trafić do dark webu poprzez firmę Y, która jest jej podwykonawcą. Współczesny biznes opiera się na outsourcingu – księgowość, marketing, obsługa klienta czy analityka danych często odbywają się poza główną infrastrukturą firmy.

Wystarczy, że jedna z tych mniejszych firm, mająca dostęp do fragmentu bazy danych, padnie ofiarą ataku, a informacje o klientach giganta trafią na czarny rynek. To zjawisko nazywamy atakiem na łańcuch dostaw (supply chain attack). W takim przypadku teza o „bezpiecznej bazie, która nie została skradziona z tradycyjnego internetu” całkowicie traci sens, bo dane wyciekają bocznymi drzwiami, o których istnieniu użytkownicy często nawet nie wiedzą.

Konsekwencje bez sprawców

Najbardziej frustrującym aspektem tej sytuacji jest asymetria odpowiedzialności. Gdy baza danych trafia do dark webu, konsekwencje ponoszą przede wszystkim użytkownicy (kradzież tożsamości, wyłudzenia kredytów, phishing) oraz firmy (kary finansowe od organów takich jak UODO, utrata reputacji, pozwy cywilne).

Sprawcy, ukryci za warstwami anonimowości sieci Tor i korzystający z mikserów kryptowalut do prania pieniędzy, rzadko kiedy stają przed sądem. To sprawia, że ekosystem dark webu jest samonapędzającą się machiną. Dopóki istnieje popyt na dane, a ryzyko schwytania jest minimalne, bazy danych będą tam trafiać – niezależnie od tego, jak bardzo chcielibyśmy wierzyć w ich absolutne bezpieczeństwo w „tradycyjnym” internecie. Jedyną realną strategią nie jest zakładanie, że dane nigdy nie wyciekną, ale minimalizowanie skutków takiego zdarzenia poprzez szyfrowanie, anonimizację i szybkie procedury reagowania na incydenty.