ما المقصود بالشبكة الخفية؟

تضم الشبكة الخفية صفحات ويب وقنوات مراسلة وشبكات مشاركة ملفات وخدمات أخرى تشبه الويب العادي أو "الويب المفتوح".والفرق هو أن محتوى الشبكة الخفية يوجد على شبكات خفية، وهي أقسام فرعية مجهولة الهوية من الإنترنت لها متطلبات وصول خاصة. بعض الشبكات الخفية يتطلب دعوة للانضمام. ويمكن الوصول إلى شبكات أخرى عبر إعدادات شبكة أو برامج مناسبة، مثل متصفح Tor.

تُعد مجهولية الهوية عامل الجذب الأبرز في الشبكة الخفية.إذ تستخدم شبكات الشبكة الخفية أساليب مثل التشفير متعدد الطبقات والتوجيه غير المباشر لإخفاء هويات المستخدمين.ولا يمكن بسهولة تحديد هوية الأشخاص الذين يزورون مواقع الشبكة الخفية أو الأشخاص الذين يستضيفونها.

ويستغل المجرمون الإلكترونيون هذه المجهولية لإخفاء أنشطتهم غير القانونية. وفي المقابل، يمكن للصحفيين والمبلغين عن المخالفات ومستخدمي الإنترنت العاديين استخدام الشبكة الخفية كي لا تتتبّعهم الحكومات، والشركات الكبرى، وشبكات الإعلانات، والخوارزميات التنبؤية، وغيرها من الجهات المتطفلة.

كمما يراقب متخصصو الأمن السيبراني الشبكة الخفية بوصفها مصدرًا مهمًا لاستعلامات التهديدات. إذ يمكنهم معرفة ما يفعله المخترقون، والبقاء على اطلاع بأهداف الهجمات الإلكترونية وتقنياتها، وتتبع حوادث اختراق أمن البيانات الجديدة والمستمرة.

وعلى الرغم من ارتباطها بالأنشطة غير المشروعة والمحتوى غير القانوني، فإن مجرد الوصول إلى الشبكة الخفية ليس بالضرورة غير قانوني في كثير من الولايات القضائية.

الإنترنت المظلم (darknet) هي بنية الشبكة التحتية، أي الحواسيب والأجهزة الأخرى المترابطة التي تُمكّن الوصول إلى محتوى الشبكة الخفية.

وغالبًا ما يُستخدم مصطلحا "الإنترنت المظلم" (darknet) و"الشبكة الخفية" (dark web) على أنهما مترادفان، تمامًا كما يُستخدم مصطلحا "الإنترنت" و"الويب" بشكل متبادل.لكن من الناحية التقنية، الإنترنت هو شبكة من الأجهزة المتصلة، أما الويب فهو طبقة من المعلومات (مواقع الويب والتطبيقات وخدمات أخرى) يمكن للأشخاص الوصول إليها عبر الإنترنت.

وينطبق التمييز نفسه على الإنترنت المظلم والشبكة الخفية: فالإنترنت المظلم هو البنية التحتية، والشبكة الخفية هي المحتوى الذي يمكن الوصول إليه عبر تلك البنية.

هناك العديد من شبكات الإنترنت المظلم المختلفة، وتُعد شبكة Tor هي الأكثر شهرة. (لمزيد من المعلومات ، انظر "ما المقصود بشبكة Tor؟") تشمل شبكات الإنترنت المظلم الأخرى Invisible Internet Project (I2P) وHyphanet.

معظم الشبكات المظلمة هي شبكات متراكبة ، وهي شبكات فرعية متميزة موجودة داخل شبكة أكبر. وعادةً ما تكون هذه الشبكة الأكبر حجمًا هي الإنترنت نفسه. 

لكن شبكات الإنترنت المظلم معزولة عن الإنترنت العام، ولا يمكن للمستخدمين الوصول إليها بسهولة من خلال المتصفحات العادية مثل Google Chrome أو Mozilla Firefox أو Microsoft Edge. يحتاج المستخدمون إلى برامج خاصة أو أذونات أو إعدادات للوصول إلى شبكة الإنترنت المظلم (darknet).

تُدار العديد من شبكات الإنترنت المظلم، مثل Tor، بواسطة متطوعين ومؤسسات غير ربحية، حيث يتبرع الأشخاص بأجهزتهم الخاصة بحرية لتعمل كعُقد على الشبكة.وتوجد شبكات أخرى لامركزية من نوع نظير إلى نظير، أو شبكات خاصة لا يمكن الوصول إليها إلا بدعوة.

وهناك عامل إضافي يميّز شبكات الإنترنت المظلم عن الإنترنت الأوسع وعن غيرها من الشبكات التراكبية: إذ تُخفي شبكات الإنترنت المظلم هويات المستخدمين عمدًا عبر التشفير متعدد الطبقات والتوجيه البصلي (onion routing) وطرق أخرى.

يمكن أن يشير Tor، وهو اختصار لمصطلح "The Onion Router"، إلى شبكة ومتصفح ومؤسسة.

يُعد متصفح Tor على الأرجح أكثر متصفحات الشبكة الخفية شيوعًا، لكنه ليس الطريقة الوحيدة للوصول إلى الشبكة الخفية. كما أن شبكة Tor ليست الشبكة الوحيدة لمحتوى الشبكة الخفية. يتعامل بعض الأشخاص مع Tor والشبكة الخفية وكأنهما الشيء نفسه، لكن Tor هو شبكة واحدة من شبكات الإنترنت المظلم ضمن شبكات متعددة.

ومع ذلك، فإن فهم كيفية عمل Tor يمكن أن يساعد في توضيح كيفية عمل الشبكة الخفية عمومًا.

المبدأ الأساسي في شبكة Tor هو "التوجيه البصلي" (onion routing)، وهو الآلية التي يُخفي بها Tor عناوين IP ويحافظ على مجهولية المستخدمين.طُوِّر "التوجيه البصلي" لأول مرة في مختبر الأبحاث البحرية الأمريكي (US Naval Research Laboratory) في التسعينيات، وهو يطبق طبقات متعددة من التشفير على حركة البيانات. وتمنح هذه الطبقات التقنية اسمها "البصلي" (onion).

وبدلًا من توجيه المستخدمين مباشرةً إلى وجهتهم، يرسل "التوجيه البصلي" حركة البيانات أولًا عبر سلسلة من العُقد الوسيطة.ويمكن لكل عقدة فك تشفير طبقة واحدة فقط من تشفير حركة البيانات، لذلك لا تعرف أي عقدة منفردة مسار حركة البيانات من بدايته إلى نهايته.

حتى مُشغّلو مواقع شبكة الإنترنت المظلم لا يعرفون من أين يأتي زوارهم، كما لا يعرف الزوار مكان استضافة هذه المواقع.

تُعد الشبكة الخفية و"الويب العميق" (deep web) و"الويب السطحي" (surface web) ثلاثة أجزاء مختلفة من الويب.الويب السطحي هو ما يمكن للمستخدمين العثور عليه عبر أي محرك بحث.أما الويب العميق فهو مخفي عن محركات البحث، لكن يمكن الوصول إلى جزء كبير منه عبر أي متصفح مع المصادقة المناسبة.ويتطلب محتوى الشبكة الخفية إعدادًا خاصًا.

الويب السطحي، ويُسمّى أيضًا الويب المفتوح، هو الجزء من الإنترنت الذي تقوم محركات البحث العادية، مثل Google وBing، بفهرسته.مواقع التواصل الاجتماعي، ومقاطع فيديو YouTube، والمدونات العامة، وقوائم المنتجات على Amazon: جميعها أمثلة على محتوى الويب السطحي (surface web).

يُعد الويب السطحي أحد أصغر أجزاء الويب، إذ يُقدَّر أنه يمثل نحو 5% من محتوى الإنترنت.

الويب العميق (deep web) هو الجزء من الإنترنت الذي لا تُفهرسه محركات البحث، وهو ما يشمل معظم محتوى الويب. ويتضمن الويب العميق الشبكة الخفية، لكن معظم الويب العميق يمكن الوصول إليه عبر متصفح ويب عادي بإعداداته الافتراضية: مثل المواقع المحمية بكلمة مرور، والمقالات الإخبارية المدفوعة (paywalled)، وقواعد البيانات الخاصة.

ورغم أن الشبكة الخفية جزء من الويب العميق، فإنهما مختلفان اختلافًا جوهريًا.

فالشبكة الخفية جزء من الويب العميق توجد على شبكات الإنترنت المظلم (darknet). ولهذا لا يمكن الوصول إليها إلا عبر متصفحات الويب المظلم، أو proxies مُعَدّة إعدادًا صحيحًا، أو وسائل أخرى. في المقابل، يمكن الوصول إلى معظم محتوى الويب العميق عبر الويب المفتوح إذا توفرت بيانات الاعتماد الصحيحة.كما أن الشبكة الخفية مُصمَّمة لإخفاء هوية المستخدمين عمدًا، بينما لا يستهدف الويب العميق ذلك.

من حيث الشكل، تشبه الشبكة الخفية الويب المفتوح إلى حد كبير: منتديات نقاش، ومواقع إخبارية، وأسواق وغير ذلك. بل إن بعض مواقع الويب السطحي، مثل Facebook، لديها نسخ رسمية على الشبكة الخفية.

عادةً ما تكون مواقع الشبكة الخفية أبسط وأقل في الخصائص مقارنة بمواقع الويب المفتوح، ويرجع ذلك جزئيًا إلى أن أداء شبكات الإنترنت المُظلم أقل استقرارًا.فأساليب مثل "التوجيه البصلي" (onion routing) تعزز إخفاء الهوية، لكنها تُبطئ الاتصال.

يقول Robert Gates، كبير محللي استعلامات التهديدات في X-Force لدى IBM: "يمكنك اعتبار الشبكة الخفية نظامًا بنائيًا بديلًا وفوضويًا للويب. إنه نسخة مبسطة من مواقع التجارة الإلكترونية الشائعة على الإنترنت، مع صفحات منتجات وبائعين وتعليقات.حتى أن بعض خدمات الضمان وأنظمة التقييم موجودة عليها، لكن البائعين غالباً ما يتلاعبون بهذه الأنظمة.

وغالبًا ما تكون عناوين URL في الويب المظلم طويلة ومعقدة، ما يصعّب تذكّرها. لذلك يعتمد المستخدمون عادةً على محركات بحث خاصة بالشبكة الخفية أو قوائم روابط مثل Hidden Wiki للتصفح.

من أشهر أنواع مواقع الشبكة الخفية ما يلي:

أسواق الشبكة الخفية التي تبيع العديد من الأشياء، ومنها:

• برامج ضارة مثل infostealers وloaders وTrojans وبرامج الفدية (ransomware).يستخدم العديد من مجرمي الإنترنت إجراءات البرمجيات الضارة كخدمة (MaaS). حيث تطوّر عصابات MaaS أدوات  برامج ضارة وبنية تحتية خاصة بها وتُجري صيانتها، ثم تبيعها إلى مخترقين آخرين، يُعرفون باسم "الشركات التابعة". وتستخدم الشركات التابعة البرامج الضارة لاختراق الضحايا، وغالبًا ما يتقاسمون العادئات مع عصابة MaaS.  برامج الفدية كخدمة (RaaS) التي تُعد شائعة بشكل خاص. 

• أدوات وتقنيات أخرى للهجمات الإلكترونية، مثل تأجير شبكات الروبوتات لهجمات الحرمان من الخدمة الموزعة (DDoS) ومجموعات أدوت التصيد الاحتيالي.

• الوصول. يقوم وسطاء الوصول باختراق الشبكات، عادة عبر استغلال الثغرات وزرع أبواب خلفية، ثم يبيعون هذه نقاط الوصول هذه لمجرمين إلكترونيين آخرين.

• البيانات مثل الحسابات البنكية المسروقة، وبيانات بطاقات الائتمان، وبيانات الاعتماد، وغيرها من المعلومات الحساسة التي يمكن للمجرمين استخدامها لارتكاب سرقة الهوية.  

• البضائع غير القانونية، بما في ذلك المستندات المزيفة والمخدرات غير القانونية.

تعتمد معظم معاملات أسواق الشبكة الخفية على العملات المشفّرة مثل bitcoin للحفاظ على مجهولية المشترين والبائعين.

أُطلق Silk Road في عام 2011، ويُنظر إليه على نطاق واسع بوصفه أول سوق على شبكات الإنترنت المظلم وأكثرها شهرة. وفي عام 2013، صادره مكتب التحقيقات الفيدرالي (FBI) وأغلقه.

يجتمع مجرمون إلكترونيون محترفون ومخترقون هواة في منتديات الشبكة الخفية، حيث يتبادلون النصائح والثغرات الأمنية الجديدة ومعلومات استخباراتية عن الأهداف المحتملة، ويتفاخرون بنجاحاتهم.

ويراقب المتخصصون في الأمن الإلكتروني هذه المنتديات أيضًا لمتابعة مشهد التهديدات الإلكترونية عن كثب.

مواقع التسريب هي الأماكن التي يستعرض فيها المخترقون البيانات التي سرقوها في عمليات اختراق.ينشر المجرمون الإلكترونيون عينات مما لديهم ويطالبون الضحايا بدفع فدية، وإلا فسيقومون بنشر بقية البيانات.

تحافظ بعض العصابات على مواقع تسريب خاصة بها، في حين اعتمدت عصابات أخرى نموذجًا يُسمّى "الابتزاز كخدمة"، حيث تسمح العصابات الأكبر للشركاء والحلفاء باستضافة البيانات المسروقة على مواقعها. ويؤدي استخدام موقع تسريب معروف تابع لعصابة أكبر إلى زيادة الضغط على الضحايا للدفع.وكما في ترتيبات "كخدمة" الأخرى، تحصل العصابة الأكبر عادةً على حصة من الفدية.

غالبًا ما يستخدم المبلّغون عن المخالفات، سواء كانوا يبلّغون عن شركات أو جهات حكومية أو مؤسسات أخرى، منتديات الشبكة الخفية وخدمات المراسلة لإيصال معلوماتهم إلى الجمهور دون الكشف عن هويتهم.

وبالمثل، يستخدم الصحفيون خدمات الشبكة الخفية للتواصل مع مصادر تحتاج إلى إخفاء الهوية. كما يمكن للنشطاء استخدام الشبكة الخفية لتجاوز الرقابة الحكومية والمراقبة.

ومع ذلك، فإن مواقع أخرى ضمن الشبكة الخفية أكثر اعتيادية.فهي مواقع تواصل اجتماعي ومواقع أخبار وخدمات مألوفة أخرى تستخدم الشبكة الخفية لمساعدة مالكيها ومستخدميها على تجنب التتبع.

وفي غياب أي إشراف قانوني أو تنظيمي، وفي شبكة يكون فيها الجميع مجهولي الهوية، تعمل الشبكة الخفية وفق ما يسميه Gates "اقتصاد السمعة". يستخدم المخترقون والتجار سجلهم السابق لبناء المصداقية. وتضم العديد من الأسواق أنظمة مراجعات، ويقدم بعضها خدمات ضمان للمساعدة في التأكد من حصول الأطراف على مستحقاتهم.

لكن "اقتصاد السمعة" هذا يمنح المجرمين الإلكترونيين أيضًا دافعًا للكذب على ضحاياهم وعلى بعضهم بعضًا. فقد يزعمون، على سبيل المثال، أنهم سرقوا مجموعات بيانات أكثر أهمية مما لديهم فعليًا، في محاولة لتنشيط الأعمال أو الضغط على الضحايا أو الظهور بمظهر أكثر احترافًا.

ومع ظهور الذكاء الاصطناعي التوليدي، يمكنهم استخدام أساليب كذب أكثر إقناعًا عبر إنشاء بيانات مزيفة لإظهار أن الاختراقات أكبر مما هي عليه.

يوضح Gates ذلك بقوله: "يمكنهم تزويد نموذج ذكاء اصطناعي بالمستندات والبيانات المتاحة لديهم ثم يقولون: "وسع هذه المجموعة واجعلها تبدو كأنها مجموعة أكبر" ويضيف: "يتضح أن قدرًا كبيرًا من البيانات مزيف، لكن من الصعب تمييز الفرق."

كما لا يتردد المجرمون الإلكترونيون في القيام بعمليات احتيال صريحة على بعضهم بعضًا. 

يقول Gates: "لقد رأينا حالات ينفذ فيها مسؤولو منتدى معين نوعًا من مخطط الخروج حيث يجمعون ما يكفي من المال ثم يختفون." "يتوقف السوق عن العمل، ويبقى الجميع في حيرة مما حدث."

ونتيجة لهذا الخداع المتبادل وتضارب المصالح، تشهد الشبكة الخفية مستوى مرتفعًا من التغير المستمر، حيث تظهر مواقع الويب وعصابات الجريمة الإلكترونية وتختفي بوتيرة ملحوظة. يحدث ذلك جزئيًا لأن جهات إنفاذ القانون تُسقطها، ولكن غالبًا بسبب خيانتهم لبعضهم بعضًا.

يقول Gates: "ميزان القوة دائمًا في تغير مستمر في عالم الشبكة الخفية." ينفصل الشركاء الذين جرى التخلي عنهم ليؤسسوا أعمالهم الخاصة.أحيانًا يتدخل الغرور، أو ينشأ خلاف شخصي بينهم".

ورغم أن إخفاء الهوية هو عامل الجذب الأكبر في الشبكة الخفية، فإن هناك طرقًا لكشف هوية المستخدم.فعلى سبيل المثال، من خلال ربط حركة البيانات التي يرسلها شخص ما إلى شبكة Tor بحركة البيانات إلى موقع معين استنادًا إلى التوقيتات الزمنية، يمكن لجهات إنفاذ القانون والمتخصصين في الأمن، من حيث المبدأ، استنتاج ما يفعله ذلك المستخدم.

كما يمكن لما يُعرف باسم "العُقد المسمومة" وهي عُقد مخترقة داخل الشبكة تراقب حركة البيانات سرًا، أن تحدث ثغرة في إخفاء الهوية.وقد يكشف المستخدمون هويتهم أيضًا بأنفسهم عند سوء الإعداد أو الاستخدام غير الصحيح لمتصفح الشبكة الخفية أو للشبكة ذاتها.

تُعد مراقبة الشبكة الخفية عنصرًا أساسيًا في كثير من جهود استعلامات التهديدات. فمن خلال متابعة منتديات الشبكة الخفية وشبكاتها الاجتماعية، يستطيع محللو استعلامات التهديدات مواكبة أحدث البرامج الضارة، والثغرات الأمنية التي يجري استغلالها فعليًا، وغيرها من الاتجاهات. 

ويمكن لمتخصصي الأمن الإلكتروني الاستفادة كذلك من تداعيات الصراعات بين العصابات، إذ كثيرًا ما تؤدي هذه الصراعات إلى قيام المخترقين بتشويه مواقع بعضهم بعضًا، أو فضح بعضهم، أو تسريب التعليمات البرمجية المصدرية. فعلى سبيل المثال، في فبراير 2025، سرّبت عصابة منافسة التعليمات البرمجية المصدرية لأحدث إصدار من برنامج الفدية الخاص بمجموعة Lockbit سيئة السمعة.

يقول Gates: "هذا يخلق فرصًا للمدافعين. فجأة تظهر برمجيات مقلدة كثيرة، لكن ربما لا يكون أمن العمليات (OPSEC) لديهم أو فهمهم لكيفية عمل البرنامج الضار نفسه بمستوى إتقان الأشخاص الذين طوروه. لذلك قد لا يستخدمونه بالشكل الصحيح". 

وعندها يستطيع المدافعون الحصول على التعليمات البرمجية المصدرية أو غيرها من المعلومات المُسرّبة ودراستها بأنفسهم. 

كما أن المتابعة الدقيقة للشبكة الخفية قد تساعد فرق الأمن الإلكتروني على اكتشاف الاختراقات في مرحلة مبكرة.فكلما عرفت المؤسسات بحدوث اختراق أسرع، تمكنت أسرع من احتوائه. إذ يستغرق تحديد الاختراق واحتواءه في المتوسط 241 يومًا، وفقًا لتقرير تكلفة خرق البيانات من IBM.