מפתחים בפייתון ורוצים לטבול בהונות בדארקנט? הנה 6 הספריות הכי פופולריות שם

מחקר של כמאה אלף קטעי קוד בפייתון שנאספו מהדארקנט מלמד על הספריות הכי פופולריות בשימוש אנונימי. למה הן משמשות ומה הקשר למודיעין האמריקאי?

אם פשעי סייבר היו כלכלה, היא הייתה השלישית בגודלה בעולם (צילום: Dreamstime)

מאת גיל קוברי, R&D Director ב-Cybersixgill‎‎

6,000 טון. אם היינו ממירים את הנזק המצטבר השנתי של פשעי סייבר לשטרות של 100 דולר, מסדרים בזהירות בערמה יציבה ושוקלים – זה היה משקלם של 6 טריליון דולרים אמריקאיים (על פי הערכות לשנת 2021).

הדארקנט מהווה אקסלרטור לפיתוח כלים, שיטות ויוזמות להתקפות סייבר המשפיעים כמעט על כל חברה. בין מאות מיליארדי פרטי המידע שאספנו מסתתר עולם מרתק – אקוסיסטם שלם של מוצרים, תשתיות, שיטות, תפקידים, מטרות ועוד. השילוב בין שפת התכנות האהובה עליי (פייתון, נו מה) לסקרנות לעולם הדארקנט, הביאו אותי למחקר מתבקש על אופי הקוד אותו משתפים ברשת האפלה. אז יצאתי לצוד קוד.

פרויקט של המודיעין האמריקאי, לא פחות

הדארקנט, או הרשת האפלה, היא רשת פרטית הממומשת על גבי תשתית האינטרנט. הרשת האפלה הגדולה, המוכרת והפעילה ביותר היום היא רשת TOR, או The Onion Route. ל-TOR יש שתי הבטחות עיקריות למשתמשים:

1. אף אחד, גם לא ספק האינטרנט, הרשויות, או המתבגר של השכנים שהתקין Kali Linux לאחרונה, לא יכול לגלות באילו אתרים ביקרת.
2. אף אחד, כולל האדמינים באתרים בהם ביקרת, לא יכול לשייך את כתובת ה-IP לכתובת הפיזית שלך.

TOR מאפשרת להסתיר את הקשר בין משתמש לפעולה באתר ובין פעולה באתר למשתמש. דפדפן TOR, המבוסס Firefox, זמין להורדה ומאפשר לכל משתמש ללא ידע טכני לבצע פעולות באמצעות TOR ועל גבי הרשת, ובכך ליהנות מאנונימיות מספקת עבור משתמשים (לפחות כאלה שאין להם עניינים לא פתורים עם ה-FBI או ה-NSA).

בניגוד לאינטואיציה, פרויקט TOR לא פותח על ידי סטודנטים מרדנים חבושי קפוצ’ון במרתף מחניק שמריח מטוסט-נקניק. למעשה, האמת לא יכולה להיות רחוקה יותר מזה: TOR פותח על ידי קהילת המודיעין האמריקאית ושוחרר כקוד פתוח בשנת 2002. למה? אולי כדי לעורר שיח חופשי ברחבי העולם, אולי כדי לפקח בקלות ובמרוכז (יחסית) על פעילות עבריינית ברשת, ואולי כדי להסוות תקשורת עם סוכנים אמריקאים בתוך המוני המשתמשים ברשת האנונימית. בכל מקרה, TOR כאן בשביל להישאר.

הכלכלה השלישית בגודלה

יש הרבה סיבות לכך שמשתמש ירצה לשמור על אנונימיות ברשת – מצפייה בתוכן מוגבל גיאוגרפית, דרך הגנה על עיתונאים ופעילים פוליטיים במדינות המפעילות צנזורה על האינטרנט ועד התחמקות מרשויות החוק כדי לבצע פשעים ברשת. לדוגמה, ה-BBC הקים בשנת 2019 אתר (זהה לאתר הראשי שלה) ברשת TOR, על מנת לאפשר גישה לא מצונזרת לתכניו ממדינות כגון סין, איראן ובלרוס החוסמות את הגישה אליו (הנה הלינק להפעלה מתוך TOR). תאגיד השידור הבריטי לא לבד: גופי תקשורת מיינסטרים רבים ושירותי מודיעין כגון CIA מאפשרים פנייה אנונימית אליהם באותו האופן, ובכך מקלים מאוד את הנגישות אליהם.

אבל אין ספק שביצוע פשעי סייבר הוא אחת הסיבות המרכזיות לשימוש בדארקנט. אם פשעי סייבר היו כלכלה, היא הייתה השלישית בגודלה בעולם אחרי הכלכלה האמריקאית והסינית. אנחנו מנטרים חלק משמעותי ממקורות הדארקנט על גבי תשתית TOR hidden service, שם ניתן למצוא אתרים למכירת סמים, כרטיסי אשראי גנובים, נשק לא חוקי, מסמכים מזויפים, חשבונות פרוצים, האקרים להשכיר, שרתים פרוצים, תו ירוק מזויף וגם קטעי קוד בפייתון. הרבה מהם.

בחודש האחרון אספתי כ-100 אלף קטעי קוד מהדארקנט. כדי להבין מה אופי הקוד ויתרתי על האפשרות לבצע 100 אלף קוד ריוויוז (על אף הפיתוי), והחלטתי לנתח את ה-Imported Libs – ניתוח סטטיסטי של ספריות פייתון הנמצאות בשימוש הנרחב ביותר בדארקנט.

ספריות הפייתון הפופולריות ביותר בדארקנט

רשימת ספריות הפייתון הנפוצות ביותר שנמצאו בדארקנט היא סטנדרטית וכמעט צפויה. היו שם ספריות כגון requests (מקום 1, הנפוץ ביותר), לביצוע קריאות http; ספריות המשמשות לפרסור של דפי HTML, ככל הנראה חלק מפונקציונליות של Data Scraping, כגון bs4 (מקום 2) ו-lxml (מקום 3); וספריות לשימוש כללי כגון datetime (מקום 4) ו-argparse (מקום 5).

כדי להבין מהו הייחוד של הספריות שנמצאו בדארקנט, בדקתי את היחס שבין מספר ההורדות כפי שמופיע ב-pypistats (ממשק לסטטיסטיקות הורדות הספריות של pypi), ליחס השימוש בדארקנט. כלומר, כמה חריגה הייתה שכיחות הספריות בדארקנט ביחס לשכיחות ההורדה של אותן הספריות באוכלוסייה הכללית. פה דברים הפכו להרבה יותר מעניינים, וגיליתי שהספריות שנמצאו בשימוש חריג בדארקנט משמשות בעיקר לשתי פעולות עיקריות – איתור וניצול חולשות:

1. Fake_useragent

ספרייה המתממשקת ל-useragentstring.com ומאפשרת גישה ל-user_agents נפוצים. יש דרכים רבות לגילוי בוטים, ואחת מהן, אולי הקלה ביותר, היא לבדוק את ה-user_agent של שולח הבקשה. Fake_useragent פותר את הבעיה הקלה ביותר בעולם ה-data scraping.

2. Paramiko
ספרייה המממשת את פרוטוקול SSH2, לחיבור מאובטח (מוצפן ומאומת) בין מכונות מרוחקות. Paramiko יכולה לשמש לשליטה על מכונות מרוחקות, שרתים פרוצים ואף התקפות Brute-force לפריצת שרתי SSH.

3. Pyperclip
ספרייה המשמשת לממשק חוצה פלטפורמה עם פונקציות הקליפבורד (העתק-הדבק). נשמע תמים, אבל זאת אחת הספריות הנפוצות בפייתון למימוש keylogger ולאיסוף מידע ממחשב הקורבן, בעיקר סיסמאות.

4. Impacket
ספרייה המכילה אוסף קלאסים לעבודה מול כמה פרוטוקולי תקשורת. היא מאפשרת גישה פרוגרמטית ל-packets ברמה הנמוכה כך שניתן בעזרתה לקרוא, לשנות ואף ליצור packets. בנוסף לכלים, הספרייה מספקת דוגמאות שימוש רבות וגם היא משמשת כתשתית לפריצה למחשבים.

5. Python-Nmap
ספרייה המשמשת לסריקת פורטים ברשת, ובעזרתה ניתן לבצע בקלות מניפולציות על תוצאות הסריקה המתקבלות מ-Nmap. פעילות לגיטימית זו יכולה להתבצע גם על ידי מנהלי רשתות, אך גם על ידי תוקף המחפש פורטים פתוחים לניצול חולשות.

6. SubBrute
ספרייה למיפוי subdomains. מטרת המפתחים שלה היא לספק כלי מהיר ואמין למיפוי כל subdomains עבור domain נתון. מכיוון שחלק מההתקשרות מתבצעת ישירות מול השרת ולא דרך ה-DNS, מהירות המיפוי לא נפגעת בעקבות rate-limitation שמבצע ה-DNS. מיפוי זה מאפשר התקפות מסוג Subdomain Takeover שמתבצעות יותר ויותר לאחרונה.

ההבדל בין הפעילות בדארקנט ומחוצה לה הוא רכיב האנונימיות – משתמשים בדארקנט פועלים תחת ההנחה שמעשיהם ויצירתם סמויים למתבונן מבחוץ. העובדה הזו מאפשרת הצצה לא רק אל תוכניות קונקרטיות של תוקפים פוטנציאליים, אלא גם לניתוח מגמות שיטות פעולה וכלים.

הכלים והספריות שהתגלו במחקר מספרים לנו על מטרות התקיפה לא פחות מאשר על התוקפים. פורטים פתוחים, קונפיגורציית DNS שגויה, הרצת תוכנות מפוקפקות עם הרשאות יתר – כל אלה הן מטרות קלות בשל חוסר מודעות של משתמשים לאיומים במרחב הסייבר. התוקף החובב (הנפוץ מבין התוקפים) יכול בקלות יחסית לגרום נזק משמעותי על ידי ניצול של אותן חולשות.

על גבי תשתית הדארקנט צמח עולם תת קרקעי עצום. מתחת לפני השטח מתחוללת כלכלה אחרת, משגשגת ואדירת ממדים. שם סוחרים ממולחים מציעים למכירה מידע אישי, כלי פריצה, שירותי תקיפה, מסמכים מזויפים וגם סמים ונשק. אך גם אקטיביסטים חברתיים משלבים ידיים למען מטרות משותפות, ותושבים במדינות מדכאות מתעדכנים במידע מהימן מהתקשרות החופשית.

אלומת האור הצרה שסימנה את שובל הסקריפטים שחקרתי רק הגבירה את הסקרנות, והוכיחה שיש עוד המון לגלות בתוך העולם הזה.

הכתבה בחסות Cybersixgill

Cybersixgill מסייעת לארגונים להתמודד עם מגוון איומי סייבר ופשיעה ב-Darkweb וברשת הגלויה - נסיונות פישינג, הונאות, דליפות מידע וזיהוי כל וקטור תקיפה. עם תמונה מודיעינית שוטפת מבוססת AI, אנחנו בCybersixgill יודעים לזהות את האיום המתהווה לפני שמאוחר מדי.
סיקסגיל ממשיכה לגדול! כאן תוכלו להגיש מועמדות

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

22 תגובות על "מפתחים בפייתון ורוצים לטבול בהונות בדארקנט? הנה 6 הספריות הכי פופולריות שם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
עידו
Guest

תודה, מאוד מעניין!

אמיר
Guest

מעניין! אני מפתח בפייתון כבר 5 שנים, מת על השפה הזו, ותמיד מסקרן לשמוע על שימושים נוספים

Ben
Guest

כתובה מעולה, תודה!

איילת
Guest

תודה מעניין מאוד

איילת
Guest

תודה, מעניין מאוד

חני
Guest

מרתק! תודה ששיתפת

נעמי
Guest

מעניין מאוד. תודה על השיתוף!

קרני
Guest

אנליזה מרתקת. תודה ששיתפת

אחד שמבין ויודע
Guest
אחד שמבין ויודע

“אף אחד, גם לא ספק האינטרנט, הרשויות, או המתבגר של השכנים שהתקין Kali Linux לאחרונה, לא יכול לגלות באילו אתרים ביקרת.”
כבר מזמן לא נכון. יש נוכחות משמעותית של הרשויות ואפשר לעלות על כל אחד שמעלה תוכן לא חוקי.

אבי
Guest

הוא החריג את ה nsa במאמר…

מישהו
Guest

צודק לחלוטין!
בנוסף לזה, גם כשיש vpn מובנה בתור, אנחנו ממש לא אנונימיים ומומלץ בחום להשתמש בvpn נוסף שתומך בהסתרה מהרשת האפלה, כמו nordvpn

דני
Guest

מדהים כמה אנליזות ותובנות יכול להביא מי שמכיר את הדארקנט.

Yanki
Guest

עולם ישן לאיש חדש…
כל חובב דארקנט מודע לכך

fscoc
Guest

ספק האינטרנט שלך בהחלט יכול לראות שאתה מחובר לנקודת כניסה לדארקנט. הוא לא יכול לראות מה אתה שולח ואיפה הנקודת יציאה שלך, אבל אפשר להצליב מידע ולנתח לפי נתונים כאלה ואחרים.
הסתרת נקודת הכניסה יכולה להתבצע בעזרת VPN.. אבל זה כמובן להחליף אח גדול אחד באח גדול שני.

dae
Guest

פשוט תשתמש בMULLVAD VPN ותעביר את הגישה לרשת דרך whonix.

dassd
Guest

תיהיה חכם יותר תתקיןו VMARE ובתוכו תתקין את TOR
כך לא ניתן לעלות

אנונימי
Guest

כתבה סופר מרתקת,
תודה!

אפי
Guest

לא פחות ממטורף!

עדי
Guest

כתבה מעניינת מאוד! נהנתי לקרוא

לא ידוע
Guest

כתבה מעולה ומעניינת! תודה!!

...
Guest

מאוד מעניין וכתוב מעולה, תודה רבה

אא\"ב
Guest

TOR זה חד משמעית לא רשת אפלה יש אנשים שאוהבים פרטיות ומשתמשים בזה לדברים אחרים כמוני ולא אני לא מדבר על פורנו.
זה שזה פרטי לא אומר שכל מי שמשתמש בזה פושע או משהו כזה אחרת מה זה אומר על Linux EFF ו-DuckDuckGo. זה שאני לא רוצה שגוגל יעקבו אחרי לא אומר שאני פושע!!!

wpDiscuz

תגיות לכתבה: