1. Uvod Savremeno digitalno doba donelo je neviđen napredak u komunikaciji, poslovanju i globalnoj povezanosti. Međutim, paralelno sa razvojem površinskog veba (Clearweb), razvijao se i njegov skriveni sloj – Darknet. Koristeći napredne tehnologije anonimizacije, pre svega TOR (The Onion Router) mrežu, kao i decentralizovane kriptovalute, Darknet je postao primarno okruženje za izvršenje različitih oblika visokotehnološkog kriminala. Za organe reda, stručnjake za sajber bezbednost i digitalne forenzičare, ovo okruženje predstavlja jedinstven izazov. Tradicionalne metode istrage, koje se oslanjaju na IP adrese i centralizovane bankarske izvode, ovde gube efikasnost. Cilj ovog rada je detaljna naučna i praktična analiza arhitekture TOR mreže, metodologija digitalne forenzike u Darknet okruženju, kao i tehnika praćenja i analize transakcija kriptovaluta koje služe kao finansijski stub skrivenog interneta. 2. TOR Mreža: Arhitektura, Protokoli i Mehanizmi Anonimnosti 2.1. Istorijat i koncept “Onion Routing” tehnologije Tehnologija rutiranja u slojevima (Onion Routing) razvijena je sredinom 1990-ih godina od strane Američke mornaričke istraživačke laboratorije (US Naval Research Laboratory) sa ciljem zaštite američkih obaveštajnih komunikacija na mreži. Projekat TOR, kakav danas poznajemo, lansiran je kao open-source inicijativa dvehiljaditih godina. Koncept se zasniva na višeslojnoj enkripciji podataka, gde se identitet pošiljaoca i primaoca maskira prolaskom kroz niz dobrovoljnih čvorova (relays). Svaki čvor “ljušti” samo jedan sloj enkripcije, slično ljuštenju slojeva crnog luka, otkrivajući samo sledeću destinaciju u lancu, ali nikada celokupnu rutu. 2.2. Anatomija TOR komunikacije i tipovi čvorova Kada korisnik pristupi TOR mreži preko namenskog pretraživača (TOR Browser), klijentski softver lokalno konstruiše virtuelno kolo (circuit) sastavljeno od tri nasumično izabrana čvora: Ulazni / Stražarski čvor (Entry / Guard Relay): Ovo je prva tačka kontakta za TOR klijenta. Ovaj čvor vidi stvarnu IP adresu korisnika, ali ne vidi sadržaj poruke niti krajnju destinaciju. Da bi se sprečili napadi preusmeravanja, TOR koristi statične “stražarske čvorove” koji se retko menjaju za pojedinačnog korisnika. Srednji čvor (Middle Relay): Središnja karika u lancu. Njegov jedini zadatak je da primi šifrovane podatke od ulaznog čvora i prosledi ih izlaznom čvoru. Srednji čvor ne zna ko je originalni pošiljalac niti ko je krajnji primalac. Izlazni čvor (Exit Relay): Poslednji čvor u kolu pre nego što saobraćaj stigne do javnog interneta (ako se pristupa Clearweb sajtovima). Izlazni čvor dešifruje poslednji sloj enkripcije i šalje podatke ciljnom serveru. Ovaj čvor vidi sadržaj saobraćaja (ako se ne koristi dodatni sloj poput HTTPS-a) i destinaciju, ali nema informaciju o izvornoj IP adresi korisnika. 2.3. Protokoli za skrivene usluge (Hidden Services / .onion) Darknet u užem smislu čine sajtovi i servisi koji ne napuštaju TOR mrežu, a prepoznaju se po specifičnoj ekstenziji .onion. Generisanje i pristup ovim servisima koristi kompleksan kriptografski protokol: Identifikatori: Adrese .onion su zapravo kriptografski javni ključevi (ili njihovi heševi u verziji v3). Tačke uvoda (Introduction Points): Skriveni servis nasumično bira nekoliko čvorova na mreži i uspostavlja vezu sa njima, oglašavajući ih kao svoje tačke uvoda. Direktorijumski serveri (Directory Authorities): Servis objavljuje svoj deskriptor (koji sadrži njegove javne ključeve i tačke uvoda) na raspoređenoj heš tabeli (DHT) unutar TOR mreže. Tačka sastanka (Rendezvous Point): Kada klijent želi da pristupi .onion sajtu, on preuzima deskriptor, bira sopstveni nasumični čvor kao “tačku sastanka” (Rendezvous Point) i šalje zahtev servisu preko jedne od njegovih tačaka uvoda. Komunikacija se zatim spaja na tački sastanka, omogućavajući obostranu anonimnost – klijent ne zna IP adresu servera, a server ne zna IP adresu klijenta. 3. Darknet Forenzika Darknet forenzika predstavlja skup metodologija i tehnika koje forenzičari koriste za identifikaciju, prikupljanje, očuvanje i analizu digitalnih dokaza povezanih sa aktivnostima na skrivenim mrežama. Ona se primarno deli na forenziku na strani klijenta (uređaj osumnjičenog) i forenziku na strani servera (zaplenjeni Darknet serveri). 3.1. Forenzika na strani klijenta (Artefakti TOR pretraživača) Iako je TOR pretraživač (baziran na Mozilla Firefox ESR arhitekturi) dizajniran da minimizuje tragove na lokalnom disku, operativni sistemi i hardver često keširaju podatke. Ključni forenzički artefakti uključuju: Analiza operativne memorije (RAM Forenzika) Kada je TOR pretraživač aktivan, svi ključevi za enkripciju sesije, posećene URL adrese i uneti tekstovi nalaze se u nestabilnoj memoriji (RAM). Alati: Volatility, LiME (za Linux), DumpIt. Metodologija: Pre isključivanja računara osumnjičenog, vrši se akvizicija RAM memorije. Pomoću alata Volatility vrši se pretraga procesa tor.exe ili firefox.exe. Korišćenjem regularnih izraza (Regex) moguće je izvući .onion adrese iz memorijskog prostora procesa: $$\text{Regex za v3 adrese: } [a-z2-7]{56}\.onion$$ Artefakti na čvrstom disku (Artifacts on Disk) Prefetch datoteke (Windows): Datoteka TOR.EXE-[HASH].pf dokazuje izvršavanje pretraživača, tačno vreme pokretanja i broj pokretanja. Registry baza: Ključevi poput UserAssist beleže aktivnost korisnika i pokretanje prečica aplikacija. Amcache.hve i Shimcache: Svedoče o postojanju i izvršavanju TOR izvršnih datoteka, čak i nakon što su obrisane. Pagefile.sys i Hiberfil.sys: Datoteka virtuelne memorije i datoteka hibernacije mogu sadržati ostatke sesije pretraživača koji su prepisani iz RAM-a na disk. 3.2. Forenzika na strani servera (Analiza zaplenjenih Darknet portala) Kada organi reda lociraju i fizički ili virtuelno zaplene server na kome se nalazi ilegalni Darknet market ili forum, fokus se pomera na analizu konfiguracije i baze podataka. Analiza konfiguracionih datoteka Ključna datoteka za analizu je torrc. Ona definiše ponašanje TOR servisa na serveru. Unutar ove datoteke traže se sledeće direktive: HiddenServiceDir: Putanja do direktorijuma gde se čuvaju privatni ključevi servisa. HiddenServicePort: Mapiranje virtuelnog porta (obično 80 ili 443) na lokalni port na kome aplikacija zapravo sluša (npr. 127.0.0.1:8080). Identifikacija curenja informacija (Information Leakage) Mnogi Darknet sajtovi padaju zbog loše konfigurisanog web servera (poput Apache ili Nginx). Forenzičari traže: Zlavredne konfiguracije: Ako server sluša na javnoj IP adresi umesto isključivo na 127.0.0.1, direktan upit na javnu IP adresu može otkriti isti sadržaj kao i .onion sajt, čime se otkriva stvarna lokacija servera. Error Logs i Status stranice: Podrazumevane stranice sa greškama ili moduli poput mod_status u Apache-u mogu nenamerno otkriti IP adresu servera u zaglavljima odgovora. 3.3. Napredni napadi na TOR mrežu i deanonimizacija Iako je kriptografski jak, TOR nije imun na mrežne napade koje sprovode napredne stalne pretnje (APT) ili državne agencije. [Klijent] —> (Ulazni čvor) —> [Srednji čvor] —> (Izlazni čvor) —> [Server] | | +——————-> [ Korelacija Saobraćaja ] <————————+ (Analiza vremena slanja i veličine paketa) Napad korelacijom saobraćaja (Traffic Correlation): Ako napadač nadgleda istovremeno i ulazni i izlazni čvor, on može statistički analizirati vreme slanja i veličinu paketa. Ako se obrasci poklapaju, sa visokim stepenom verovatnoće se može povezati korisnik sa destinacijom. Napad vremenskom analizom (Timing Attacks): Merenje kašnjenja paketa kroz mrežu radi mapiranja topologije kola. Eksploatacija pretraživača (Browser Exploits): Korišćenje “Zero-day” ranjivosti u TOR pretraživaču (kao što je bio slučaj sa operacijom Torpedo od strane FBI-a) za izvršavanje malicioznog koda na računaru korisnika koji šalje stvarnu IP adresu nazad serveru agencije. 4. Tehnologije i Forenzika Kriptovaluta Kriptovalute su primarno platno sredstvo na Darknetu. Iako se često percipiraju kao potpuno anonimne, većina dominantnih kriptovaluta (poput Bitcoina) je zapravo pseudonimna. 4.1. Tipovi blokčejn arhitektura sa aspekta privatnosti KriptovalutaTip PrivatnostiPrimarna Tehnologija AnonimizacijeForenzička ČitljivostBitcoin (BTC)PseudonimnaJavni ledger, transparentne transakcijeVisoka (putem analize grafova)Monero (XMR)AnonimnaRing Signatures, Stealth Addresses, RingCTIzuzetno niska / NemogućaZcash (ZEC)Selektivno Anonimnazk-SNARKs (Zero-Knowledge Proofs)Srednja (zavisi od upotrebe štitova) 4.2. Forenzička analiza Bitcoina (BTC) Bitcoin koristi model UTXO (Unspent Transaction Output). Svaka transakcija uzima prethodne nepotrošene izlaze kao ulaze i kreira nove izlaze. Pošto je celokupna istorija transakcija javna na blokčejnu, forenzičari koriste napredne heuristike za klasterizaciju adresa. Ključne heuristike za analizu: Heuristika zajedničkog ulaza (Common Input Heuristic): Ako transakcija ima više ulaznih adresa ($A, B \text{ i } C$), pretpostavlja se sa visokim stepenom verovatnoće da kontrolu nad privatnim ključevima svih tih adresa drži isti entitet. $$Transakcija: \{Input_A, Input_B\} \longrightarrow \{Output_D\}$$ $$\Longrightarrow Entitet_1 = \{A, B\}$$ Heuristika adrese za kusur (Change Address Heuristic): Kada se šalje iznos manji od ukupne vrednosti UTXO-a, kreira se izlaz za kusur. Forenzički softver identifikuje adresu za kusur na osnovu strukture transakcije (npr. novi tip adrese, specifičan redosled). Tehnike opstrukcije i njihovo prevazilaženje: Mikseri / Tumbleri (Mixers): Servisi koji mešaju sredstva više korisnika kako bi prekinuli vezu između izvora i destinacije. Forenzičari ih prevazilaze analizom vremenskih obrazaca i iznosa (tzv. Amount Tainting Analysis). Peel Chains (Lanci ljuštenja): Tehnika gde se velika količina kriptovalute brzo prenosi kroz dugi niz transakcija, gde se pri svakom koraku “odljušti” mali iznos (kusur), a ostatak šalje na novu adresu. Automatizovani alati prate ove lance do krajnjih tačaka (menjačnica). 4.3. Anonimne valute (Privacy Coins): Slučaj Monero (XMR) Monero predstavlja najveći izazov za forenzičku zajednicu jer je dizajniran tako da sakrije tri ključna elementa transakcije: pošiljaoca, iznos i primaoca. Ring Signatures (Prstenasti potpisi): Skrivaju pošiljaoca tako što mešaju stvarni javni ključ potpisnika sa lažnim ključevima (dekoji) sa blokčejna. Forenzičar ne može sa sigurnošću znati koji je od $N$ ključeva zapravo pokrenuo transakciju. Stealth Addresses (Skrivene adrese): Za svaku transakciju kreira se jednokratna javna adresa na blokčejnu. Nemoguće je spoljnim posmatranjem povezati javnu adresu primaoca sa transakcijom. RingCT (Ring Confidential Transactions): Skriva iznose transakcija koristeći kriptografske obaveze (Pedersen commitments), gde mreža može matematički verifikovati da je suma ulaza jednaka sumi izlaza, bez poznavanja stvarnih cifara. 5. Integrisana Forenzička Istraga: Korelacija Dokaza (Case Study Metodologija) Uspešna istraga na Darknetu zahteva spajanje svih pomenutih segmenata u koherentnu celinu. Proces se može vizuelizovati kroz sledeći forenzički algoritam: [ Darknet Market ] —-( Scraping / Analiza )—-> [ BTC/XMR Novčanik ] | (Blokčejn Analiza) | v [ Identifikacija Osumnjičenog ] <—( KYC Podaci )— [ Menjačnica ] | (Zaplena Uređaja) | v [ RAM & Disk Forenzika ] —-> (Potvrda: Privatni ključevi i .onion konfiguracija) Korak 1: Prikupljanje podataka sa mreže (Web Scraping) Forenzički timovi koriste automatizovane skripte koje pristupaju Darknet marketu preko TOR mreže. Prikupljaju se istorijski podaci o prodavcima, recenzije, javni PGP ključevi i navedene adrese kriptovaluta. Korak 2: Blokčejn analiza i praćenje tokova Ukoliko se nađe Bitcoin adresa za uplatu, koristi se softver poput Chainalysis ili CipherTrace. Prati se kretanje sredstava sa marketa dok ne stignu do entiteta koji zahteva identifikaciju korisnika – VASP (Virtual Asset Service Provider), odnosno menjačnica sa KYC (Know Your Customer) protokolom. Korak 3: Pravni zahtevi i deanonimizacija Nakon lociranja menjačnice, sudskim nalogom se potražuju podaci o korisniku koji je povukao sredstva (ime, prezime, IP adresa sa koje je pristupljeno, broj bankovnog računa). Korak 4: Digitalna forenzika zaplenjene opreme Nakon hapšenja osumnjičenog, vrši se forenzička kopija (kloniranje) njegovih uređaja pomoću alata kao što su EnCase ili FTK Imager. U ovoj fazi traže se: Poklapanje privatnih PGP ključeva korišćenih na marketu. Lokalni novčanici (npr. wallet.dat ili seed fraze). Artefakti u RAM memoriji koji dokazuju upravljanje .onion panelom marketa. 6. Zaključak Forenzička analiza TOR mreže i Darknet kriminala predstavlja neprekidnu igru mačke i miša između programera koji teže apsolutnoj privatnosti i forenzičara koji razvijaju nove metode deanonimizacije. Dok arhitektura TOR mreže i napredne kriptovalute poput Monera pružaju visok nivo teorijske bezbednosti, u praksi se pokazalo da je ljudski faktor – kroz lošu konfiguraciju servera, operativne bezbednosne propuste (OPSEC) i lošu forenzičku higijenu na strani klijenta – najčešća tačka sloma. Budućnost digitalne forenzike u ovom domenu neminovno leži u primeni veštačke inteligencije i mašinskog učenja za naprednu analizu grafova blokčejna i automatizovani nadzor Darknet čvorova, u cilju predupređenja i suzbijanja transnacionalnog sajber kriminala. Post navigation JAČANJE GLOBALNE BEZBEDNOSTI U DIGITALNOM PROSTORU: Na Kriminalističko-policijskom univerzitetu održana međunarodna obuka „TOR, Darknet & Crypto Essentials“ Napredno upravljanje privatnošću u Gmail-u: Tehnike kreiranja jednokratnih adresa, automatizacija i bezbednosni izazovi