Darkweb představuje legitimní zdroj zpravodajských informací v rámci OSINT, který umožňuje organizacím detekovat úniky dat, kompromitované přihlašovací údaje nebo stopy o aktivitách aktérů kybernetických hrozeb. Zároveň se jedná o problematický zdroj informací, především s ohledem vysokou volatilitu obsahu, úmyslnou obfuskaci lokaci skrytých služeb a nestálost zdrojových dat. Přestože ale darkweb tvoří relativně malou část internetu, jeho systematický průzkum se stal nedílnou součástí holistického přístupu k řízení kybernetických rizik.
Darkweb OSINT Darknet Threat intelligence Řízení kybernetických rizik OSINT
V současné éře digitální transformace představuje schopnost získávat a analyzovat informace z otevřených zdrojů (OSINT) klíčovou kompetenci pro organizace napříč různými obory. Tradiční přístup k OSINT se dlouhodobě zaměřoval na veřejně dostupné zdroje, jako jsou média, archivy, sociální sítě a jiné databáze, popřípadě na informace získávané neinvazivními metodami z prostředí komunikačních sítí.
V rámci OSINT ale existuje mnohem širší spektrum využitelných zdrojů dat a informací. Zcela samostatnou dimenzi legitimního zdroje zpravodajských informací v digitálním prostředí potom představuje darkweb, komplexní ekosystém specifického způsobu síťové komunikace a prostředí pro sdílení tzv. skrytých služeb. Přestože kořeny konceptu můžeme datovat do 90. let a z jistého úhlu pohledu dokonce do 70. let, stále se dnes setkáváme s tím, že je darkweb předmětem obav jak veřejnosti, tak odborníků.
Následujícím textem zamýšlím demystifikovat roli darkwebu v moderní OSINT praxi a představit přístupy k jeho systematickému průzkumu. Ukážeme si, proč se darkweb OSINT stal nedílnou součástí holistického přístupu k řízení kybernetických rizik a jak jeho správná aplikace přispívá k posílení bezpečnosti organizací v digitálním prostoru.
Struktura webu
Současný internet lze strukturálně rozdělit do tří vrstev, jejichž hranice nejsou vždy zcela ostré a liší se primárně mírou dostupnosti obsahu. Nejdostupnější částí je povrchový web (surface web/clear web), což jsou data přístupná všem uživatelům prostřednictvím standardních internetových vyhledávačů. Podle současných odhadů představuje přibližně 4–10 % celkového obsahu internetu.
Zbývajících přibližně 90–96 % internetového obsahu je deep web (hluboký web), ve skutečnosti nejrozsáhlejší oblast internetu zahrnující data, která jsou sice dostupná, avšak nejsou indexovaná standardními vyhledávači z důvodu autentizačních mechanismů, certifikátů nebo záměrného vyloučení z indexace v kořenových souborech robots.txt. Mezi typický obsah deep webu tak patří neveřejné akademické databáze, e-mailové servery, lékařské databáze, zpoplatněná část online médií, dále privátní obsah sociálních sítí, online streaming nebo VOIP komunikace.
Historicky byl termín deep web poprvé definován Michaelem Bergmanem v článku The Deep Web: Surfacing Hidden Value z roku 2001. Bergman v něm prezentoval následující poznatek: existuje pro vyhledávače neviditelná část webu, která je 400–500× větší než povrchový web. Ačkoli Bergmanův odhad z roku 2001 může být v absolutních číslech zastaralý vzhledem k exponenciálnímu růstu objemu dat na internetu v posledních dvou dekádách, relativní poměr mezi povrchovým a hlubokým webem zůstává ve své podstatě platný i v roce 2025.
Počátek
Obecně se darkweb považuje za specifickou podmnožinu deep webu. Technicky přesnější je rozlišovat tyto koncepty následovně: darknet označuje samotnou síťovou infrastrukturu, tedy síť postavenou nad existujícím internetem, zatímco darkweb označuje obsah a služby hostované na této infrastruktuře.
Zárodky konceptu darknetu lze vysledovat až do počátku 70. let 20. století. Jedním z citovaných příkladů je transakce mezi studenty Stanford University a MIT, kdy měli využít tehdejší ARPANET účty k domluvě prodeje marihuany.1 Podle dostupných informací šlo o využití sítě pouze pro koordinaci osobního setkání a předání, nikoli o vlastní digitální obchod. Tento experiment už tehdy předpověděl možnost vytvoření paralelní sítě dávno před nástupem internetu, jak jej známe dnes.
Oficiálně termín „darknet“ poprvé použili výzkumníci Microsoftu roce 2002. V článku The Darknet and the Future of Content Distribution definovali darknet nikoli jako samostatnou fyzickou síť, ale jako aplikační a protokolovou vrstvu operující nad existující infrastrukturou internetu. Jejich analýza se primárně zaměřovala na tehdejší sítě pro sdílení souborů v kontextu neoprávněné distribuce obsahu chráněného autorskými právy a předpověděla, že darknet bude vždy existovat jako důsledek dostupné šifrovací technologie a peer-to-peer architektury.2
Paralelně probíhal v 90. letech armádní výzkum, který položil základ pro moderní darkweb. U.S. Naval Research Laboratory vyvinula v 90. letech koncept onion routing s cílem zajistit anonymní komunikaci přes náhodně vybrané a kumulovaně šifrované uzly (relays) pro zpravodajské operace.3
Alfa verze projektu „The Onion Router“ (Tor) byla spuštěna 20. září 2002. O dva roky později byl uvolněn zdrojový kód, čímž byl projekt zpřístupněn veřejnosti. Toto rozhodnutí se ukázalo jako strategické. Jednou z klíčových vlastností Tor je totiž síťové směrování pomocí náhodně zvolených uzlů. Jinými slovy, čím více legitimních uživatelů síť používá (novináři, aktivisté, běžní občané), tím obtížnější je identifikovat zpravodajský provoz v množství ostatních uzlů.
V roce 2006 byl založen The Tor Project jako nadnárodní nezisková organizace, která je dodnes odpovědná za další vývoj a údržbu sítě Tor. Ironicky tak technologie původně vyvinutá pro americkou zpravodajskou komunitu je dnes využívána jak pro legitimní ochranu soukromí a obcházení cenzury, tak pro existenci darkwebových tržišť s nabídkou tvrdých drog nebo pro aktivity a komunikaci kyberzločinců a teroristů.
Darknet vs. Darkweb
Jak tvrdí např. Akghar a kolektiv z Sheffield Hallam University v povedené syntéze Dark Web Investigation z roku 2021, darknetové sítě jsou vybudovány nad existující internetovou infrastrukturou a vyznačují se kryptografickou ochranou komunikace i vzájemným překrýváním směrovacích cest.
Klíčové je uvědomit si, že se nejedná o alternativní fyzickou síť (kterými mohou být různé od internetu oddělené vládní nebo armádní sítě – v těchto případech se tedy nejedná o darknet ani darkweb), ale vlastní součást celosvětového internetu.
Přístup k obsahu darkwebu pak vyžaduje specializovaný software, kam patří právě The Onion Router (Tor) nebo Invisible Internet Project (I2P). Kromě těchto dominantních platforem existuje několik desítek alternativních darknetů4, jako jsou Hyphanet (dříve Freenet), GNUnet, Oxen nebo ZeroNet. Jejich společným jmenovatelem je peer-to-peer architektura, distribuované ukládání dat a end-to-end šifrování. Nevýhodou těchto alternativních projektů je však omezené uživatelské rozšíření a nízké povědomí mimo úzkou komunitu uživatelů.
Výstižnou definici darkwebu poskytují Pantelis a kolektiv v článku věnovaném využití monitoringu darkwebu pro malé a střední firmy „On Strengthening SMEs and MEs Threat Intelligence and Awareness by Identifying Data Breaches, Stolen Credentials and Illegal Activities on the Dark Web“. Jde o kombinaci vrstveného šifrování a dynamického směřování přes anonymní uzly, která umožňuje skrýt identitu uživatele i lokalizaci poskytované služby, a to jak pro legitimní,tak kriminální použití.
Onion routing Uváděná kombinace je základem sítě Tor vycházející ze zmíněného konceptu původně vyvinutého v polovině 90. let výzkumníky U.S. Naval Research Laboratory pro potřeby ochrany zpravodajské komunikace. Jak bylo naznačeno, princip onion routingu spočívá v náhodném výběru sekvence uzlů (relays) z globální sítě dobrovolně provozovaných serverů, jimiž je směrován šifrovaný datový provoz. Podle aktuálních informací stav sítě zahrnuje přibližně 7 000 aktivních relays distribuovaných po celém světě.5
Při každém navázání spojení prostřednictvím Tor Browser je vytvořen okruh tvořený řetězcem tří uzlů: guard relay (vstupní uzel), middle relay (prostřední uzel) a exit relay (výstupní uzel).6
Kritickým bezpečnostním prvkem je využití šifrovacího algoritmu AES-S56 v každém uzlu a skutečnost, že každý relay zná pouze identitu bezprostředně předcházejícího a následujícího uzlu v řetězci, nikoli však celou cestu ani konečný cíl komunikace. Každá šifrovací vrstva představuje analogii k vrstvám cibule – odtud název „onion routing“.
Jakmile datový paket vstoupí do Tor sítě přes vstupní uzel, je postupně směrován přes střední až k výstupnímu uzlu, který dešifruje finální vrstvu a ta přeposílá původní požadavek na cílový server mimo Tor síť. Okruhy jsou z bezpečnostních důvodů automaticky obnoveny každých 10 minut, což minimalizuje riziko časové korelace provozu.
Hidden service: skrytý obsah
Při přístupu na povrchový web přes Tor je vstupnímu uzlu známá IP uživatele. Výstupní uzel zná cíl uživatele, ale žádný uzel nezná obojí. Skryté služby (stránky hostované v rámci onion sítě) fungují jinak. Zajišťují oboustrannou anonymitu bez opuštění Tor sítě. Spojení pak prochází celkem šesti uzly (tři klientské + tři serverové), přičemž žádný uzel nezná současně identitu klienta i lokaci serveru.
Místo klasické IP adresy a DNS záznamu je každá skrytá služba identifikována pomocí onion adresy. V současnosti se jedná o řetězec 56 alfanumerických znaků, který je kryptograficky odvozený z veřejného klíče dané služby. Může vypadat např. takto: thehiddenwiki2345abcdefghijklmnopqrstuvwxyz234567onion.
Taková adresa následně slouží současně jako identifikátor pro vyhledání a jako mechanismus autentizace, kdy server prokáže svou legitimitu digitálním podpisem vytvořeným odpovídajícím soukromým klíčem.
Onion adresa technicky disponuje běžnou IP adresou, avšak tato adresa není nikdy exponována mimo Tor síť, což je důvod, proč stránka není dosažitelná z globálního internetu. Veškerá komunikace probíhá výhradně prostřednictvím onion adresy v rámci Tor sítě, což činí fyzickou lokalizaci serveru mimořádně obtížnou.
Vlastní onion verze svých stránek dnes provozují významná média, sociální sítě, poskytovatelé e-mailových služeb a další platformy s cílem umožnit přístup uživatelům ze zemí s vysokou mírou státního dohledu nebo internetové cenzury. Vlastní hidden services provozují i státní zpravodajské agentury. Např. americká CIA nabízí od roku 2019 možnost anonymního kontaktu přes onion adresu, podobně jako ruská zahraniční rozvědka SVR.
OSINT a Darkweb
Rozšířeným a mylným přesvědčením je, že obsah darkwebu není indexován a systematická analýza informačních zdrojů je proto nemožná. Realita je složitější, protože existují specializované darkwebové vyhledávače jako Ahmia, Torch nebo Haystack, které provádějí indexaci onion domén, jejich pokrytí je ale pouze částečné. Důvodem není technická nemožnost indexace, ale dynamická povaha onion adres, aktivní filtrování nelegálního obsahu vyhledávači nebo úmyslná obfuskace ze strany provozovatelů služeb.
Pro výzkumné nebo investigativní účely existuje několik přístupů k identifikaci relevantních onion adres. Primárním zdrojem jsou komunitně spravované adresáře vstupních bodů, tzv. Hidden Wikis, platformy dostupné prostřednictvím Tor Browser, jejichž verze jsou částečně přístupné i na povrchovém webu.7 Další možností na povrchovém webu jsou např. GitHub repozitáře nebo agregátory adres typu Onion.live či Dark.fail, které ověřují dostupnost onion adres. Pro základní orientaci v darkwebu mohou sloužit i specializovaná rozšíření pro webové prohlížeče, jako je Darkweb Bookmark Stack od projektu OSINT Combine integrující kolekci záložek přímo do Tor prohlížeče uživatele.8
Získávání informací z Darkwebu
Zásadní výzvu pro OSINT analytiky představuje sběr actionable intelligence, zpravodajských informací s přímým využitím pro rozhodování.
Prvním limitujícím faktorem je např. omezená funkčnost technik Google hackingu v prostředí darkwebových vyhledávačů. Zatímco na povrchovém webu představuje Google hacking9 efektivní metodu vyhledávání (s využitím operátorů site:, inurl:, filetype:, intitle:), v darkwebu má tato technika výrazně omezenější využití. Klasické vyhledávače onion obsahu podporují pouze základní dotazovací syntaxi, jako jsou zpřesňující uvozovky (exact phrase), booleovské operátory (AND, OR, NOT) a wildcards (*). Pokročilé operátory specifické pro Google nejsou kompatibilní, protože tyto vyhledávače používají odlišné backend technologie, např. Ahmia je postavena na open-source indexu Elasticsearch, který není designován pro Google operátory.
Dalším problémem je nestálost onion obsahu a také aktivní filtrování obsahu ze strany darkwebových vyhledávačů. Ahmia, Torch i další vyhledávače implementují blacklisty primárně zaměřené na CSAM (Child Sexual Abuse Material). Tyto filtry (i pokud jsou zaměřené na jiný nelegální obsah) však mohou blokovat i darkwebová tržiště a fóra, která by mohla obsahovat zpravodajsky relevantní informace, např. databáze ukradených platebních údajů nebo stealer logs.
Získání přístupu k takovým uzavřeným platformám často vyžaduje kroky překračující hranice pasivního OSINT: přímou interakci s provozovateli služeb, sociální inženýrství pro získání důvěry, složité autentizační procesy, nebo dokonce finanční transakce pro získání přístupu. Tyto aktivity nesou značná bezpečnostní rizika – od kompromitace systémů malwarem až po ztrátu osobních dat. Alternativou se zdá být využití grafického uživatelského rozhraní platforem jako Recorded Future, DarkOwl nebo Dehashed, které umožňují uživatelský přístup k vlastní databázi uniklých dat a čerpají i z darkweb zdrojů.
Z perspektivy firemní bezpečnosti představují nejvyšší zpravodajskou hodnotu následující kategorie darkwebového obsahu: komerční nabídky stealer malware a malware-as-a- -service platformy, stealer logs obsahující přihlašovací údaje zaměstnanců konkrétních organizací a nabídky prodeje přístupu do firemních sítí a databáze uniklých dat.
Statistiky10 dokládají závažnost této hrozby: na darkwebu jen v roce 2022 cirkulovalo přibližně 15 mld. kompromitovaných přihlašovacích údajů, z čehož samozřejmě značná část představuje duplicitní nebo již neplatná data. Podle dostupných údajů krádeže identity tvoří 65 % všech nelegálních aktivit na darkwebu. Klíčovým zjištěním je prokázaná korelace mezi přítomností firemních přihlašovacích údajů na darkwebu a zvýšeným rizikem kybernetického útoku. Podle jiné dostupné statistiky ty organizace, jejichž přihlašovací údaje byly identifikovány na darkwebu, čelí až 2,5× vyšší pravděpodobnosti úspěšné kompromitace.11
Závěr
Darkweb představuje z hlediska OSINT významný, avšak strukturálně problematický zdroj zpravodajských informací. Přestože umožňuje přístup ke zpravodajsky hodnotnému obsahu, od ukradených dat a exploitů přes stealer logs až po stopy extremistické/teroristické aktivity či indicie distribuce CSAM, jeho technologická architektura systematicky komplikuje aplikaci standardních OSINT metod. Získání informací z exponovaných prostředí, zejména z nelegálních tržišť, často vyžaduje kroky přesahující rámec pasivního průzkumu včetně přímé interakce s aktéry hrozeb nebo využití sociálního inženýrství, což s sebou nese významná bezpečnostní rizika.
I přes uvedené limity si darkweb zachovává značnou zpravodajskou hodnotu v selektivních oblastech monitoringu. Zásadní však je, aby bezpečnostní analytici přistupovali k darkwebovým zdrojům s odpovídající mírou kritického uvážení. Klíčové limitace zahrnují vysokou volatilitu obsahu, záměrnou obfuskaci lokací hidden services a časté mizení zdrojových dat.
Zásadním analytickým omylem je předpoklad, že mírná prevalence nelegálního obsahu na darkwebu automaticky znamená koncentraci všech nebo většího množství závažných hrozeb v tomto prostředí. Tor ani alternativní sítě (I2P) nezajišťují absolutní anonymitu. Právě z tohoto důvodu sofistikovaní aktéři hrozeb při plánování kritických operací často preferují offline kanály nebo jiné komunikační platformy, kde nestálost darkwebového obsahu nepředstavuje operační riziko. Přítomnost určitých indikátorů trestné činnosti na darkwebu tak může vytvářet zavádějící dojem o možnosti predikce závažných útoků výhradně prostřednictvím darkweb analýzy, což ve skutečnosti neodpovídá realitě bezpečnostního prostředí.
Darkweb OPSEC
Bezpečný přístup k darkwebu vyžaduje stažení prohlížeče Tor výhradně z oficiálních zdrojů (torproject.org) a vytvoření separátní digitální identity bez jakékoli vazby na reálné údaje používané uživatelem na povrchovém webu. Kombinace Tor s VPN přidává vrstvu ochrany skrytím pohybu na vstupní uzly sítě Tor před poskytovatelem internetového připojení. Pro investigativní nebo výzkumné účely se doporučuje provozovat Tor výhradně ve virtualizovaném prostředí s možností okamžitého smazání systému, nebo využít specializované operační systémy – Tails (bootovatelný z USB s amnestickou architekturou) či Whonix. Tyto postupy minimalizují riziko kompromitace systému, phishingu nebo neúmyslného odhalení identity při interakci s potenciálně škodlivým obsahem.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Použité zdroje:
[ 1 ] AKHGAR B, GERCKE M, VROCHIDIS S, GIBSON H. Dark Web Investigation. Springer, 2021.
[ 2 ] BERGMAN MK. White paper: The deep web: Surfacing hidden value. Journal of Electronic Publishing, 2001,https://doi.org/10.3998/3336451.0007.104
[ 3 ] BERNASCHI M, CELESTINI A, CIANFRIGLIA M, GUARINO S, LOMBARDI F, Mastrostefano E. Onion under Microscope: An in-depth analysisof the Tor Web. World Wide Web; Springer, 2022, https://doi.org/10.1007/s11280-022-01044-z
[ 4 ] BIDDLE P, ENGLAND P, PEINADO M, WILLMAN B. The Darknet and the Future of Content Protection. ACM Workshop on Digital RightsManagement; Springer-Verlag Berlin Heidelberg, 2002.
[ 5 ] HATTA M. Deep web, dark web, dark net: A taxonomy of "hidden" Internet. Paper presented at ABAS Conference 2020 Summer; University of Tokyo, 2020.
[ 6 ] PANTELIS G, PETROU P, KARAGIORGOU S, ALEXANDROU D. On Strengthening SMEs and MEs Threat Intelligence and Awareness by IdentifyingData Breaches, Stolen Credentials and Illegal Activities on the Dark Web. Proceedings of the 16th International Conference on Availability,Reliability and Security; ACM, 2021, https://dl.acm.org/doi/10.1145/3465481.3469201
Poznámky pod čarou:
- https://www.theguardian.com/science/2013/apr/19/online-high-net-drugs-deal
- https://www.cs.ucdavis.edu/~rogaway/classes/188/materials/darknet.pdf
- https://www.torproject.org/about/history/
- https://www.osintcombine.com/post/the-other-dark-nets
- https://community.torproject.org/relay/setup/bridge/openbsd/
- Uvedený proces popisuje např. Kavalieros a kolektiv v článku Understanding the Dark Web, který je součástí výše uvedeného sborníku Dark Web Investigationvydaného Sheffield Hallam University, viz: https://link.springer.com/book/10.1007/978-3-030-55343-2
- https://thehiddenwiki.org/
- https://www.osintcombine.com/free-osint-tools/darkweb-bookmark-stack
