Na konferencii Judgment Day 2025 vystúpil Peter Kovalčík (Check Point) s veľmi priamočiarou prednáškou o tom, ako sa firmy môžu (a majú) pozerať na darknet – nielen pasívne cez „správy z druhej ruky“, ale aj priamo a systematicky.
V stručnosti: darknet nie je Google; je to uzavretý ekosystém, v ktorom platia iné pravidlá, reputácia sa buduje mesiace a úspech závisí od premyslenej OPSEC a dôvery.
Prečo sa vôbec pozerať na darknet
Kovalčík hneď na úvod postavil veci do kontextu: ak chcete vedieť, čo o vás vedia útočníci, musíte sa pozrieť tam, kde obchodujú – na fórach a marketplaceoch, často prístupných len na pozvánku. Máte dve možnosti:
- ísť tam sami cez TOR Browser a hľadať, alebo
- využiť threat intelligence platformu, ktorá už tieto zdroje dlhodobo sleduje a indexuje.
Kľúčový rozdiel medzi „scrollovaním“ a profesionálnou threat intelligence je kvalita prístupu, analytici nevystupujú ako „ľudia z ulice“. Vstupujú pod legendami (avatarmi), dlhodobo si budujú reputáciu a až potom otvárajú dvere automatizovaným zberom dát. Aj preto dokážu v horizonte 3 – 6 mesiacov naindexovať desiatky až stovky miliónov relevantných záznamov, ktoré sa potom dajú prehľadávať podľa firmy, domény či typu rizika.
Ako vyzerá práca analytika: identity, reputácia, trpezlivosť
Podľa Kovalčíka je „zlatý grál“ vždy za pozvánkou. Tam sa však človek nedostane bez identity, ktorá vydrží. Tím používa stovky virtuálnych profilov, z ktorých každý má vlastnú históriu a špecializáciu (napr. data broker či access broker). Budovanie takého profilu trvá mesiace až roky a vyžaduje:
- OPSEC (oddelené stroje/VM, VPN/Tor, vypnutý JS, maskovanie časových návykov),
- jazyk a štýl komunity (kriminálne žargóny sa nedajú „uhrať“ genericky),
- trpezlivosť (radšej menej postov, žiadne korporátne rytmy 9–17, žiadne „zvedavé“ otázky adminom).
K prieniku do nových komunít používajú analytici okrem referencií aj „seeding rumors“ – keď FBI/CIA zavrie veľké fórum, na susedných fórach opatrne zbierajú indície, kde vzniká nástupnícky kanál. Podstatné je neprekračovať zákon, dá sa pomôcť „reputácii“ bez toho, aby sa čokoľvek nelegálne prenášalo či exploitovalo.
Čo sa tam najčastejšie nájde
Z praktického pohľadu sú dnes najpálčivejšie exponované prístupy a dáta, medzi ktoré patria korporátne účty, VPN prístupy, RDP, alebo celé archívy z info-stealerov (vykradnuté prehliadače, histórie, cookies, tokeny, screenshoty).
Kovalčík uviedol dva príklady z praxe:
- z infikovanej stanice bol vytiahnutý session cookie do Microsoft 365 – platí ~30 minút a obchádza meno/heslo aj MFA; útočník je vnútri, kým je token validný,
- firma nechala externý login do Jiry bez MFA; za pár dolárov kúpený prístup na fóre stačil na exfiltráciu dát.
Zaujímavé je, že ~98 % takýchto incidentov sa podľa ich pozorovaní týka súkromných zariadení zamestnancov, kde sa používajú firemné prístupy (O365/OWA a pod.). Firemné notebooky s politikami a EDR sú v týchto scenároch zastúpené výrazne menej.
od zberu k použiteľnému alertu
Keď analytik otvorí dvere, nastupuje automatizácia: roboty v reálnom čase nasávajú nové príspevky, aukcie a dumpy, normalizujú ich, kategorizujú a priraďujú ku konkrétnym značkám, doménam a personám. Výstupom nie je „feed chaosu“, ale vyfiltrované udalosti – napr. „na predaj sú prístupy do vašej VPN“, „v tomto dump-e sú vaše e-maily“, „na fóre sa objavila ponuka na exfiltrované dáta vašej firmy“.
To, čo je pre zákazníka kľúčové, je čas – vedieť o riziku, kým je ešte lacné ho zrušiť (reset účtov, zrušenie tokenov, uzatvorenie exponovaného rozhrania, zapnutie/zosilnenie MFA, network bloky, forenzná kontrola).
Pre koho to má zmysel a ako začať
Aj keď sa môže zdať, že darknet monitoring je „len pre veľkých“, prax ukazuje opak. Hodnota je primeraná riziku – ak spracúvate citlivé dáta alebo ste napojení na väčších partnerov, ste zaujímavý cieľ. Už jednorazový screening vie odhaliť creds, zmienky o vašej doméne, či predaje „prístupu do vašej siete“. Následne sa dá urobiť hardening a nastaviť priebežný dohľad.
Pýtali sme sa na podstatu
K prednáške sme pripravili aj krátky rozhovor s Petrom Kovalčíkom – odpovede nájdete v texte rozhovoru. Dozviete sa napríklad:
- ako sa zisťuje únik prihlasovacích údajov a akú rolu hrá threat intelligence,
- čo by si firmy z „exkurzie na darknet“ odniesli ako najväčšie prekvapenie,
- čo odkázať organizáciám, ktoré si myslia, že sú „príliš malé na to, aby zaujali útočníkov“.
Darknet je miestom, kde sa obchoduje s prístupmi a dátami. Bez reputácie a OPSEC sa dnu nedostanete – preto dáva zmysel spoliehať sa na tímy, ktoré identitu a prístup roky budujú. Hodnota pre firmu je jasná: včasné upozornenie na predaje prístupov, úniky a plánované útoky skôr, ako sa z nich stane incident. A keď už sa niečo stane, presná viditeľnosť z „druhej strany“ výrazne skracuje čas na reakciu.
