Co to jest dark web, darknet, deep web, TOR? Jak działa? Co oferuje? Jak korzystać? Na co uważać?
Spis treści
Niniejszy artykuł przedstawia dogłębne omówienie ciemnej sieci (dark web), darknetu, głębokiej sieci (deep web) i sieci Tor, obejmując definicje, mechanizmy działania, historię, podstawy techniczne, legalne i nielegalne zastosowania oraz konsekwencje dla cyberbezpieczeństwa.
Ciemna sieć stanowi ok. 0,01% internetu, a mimo to ma miliony użytkowników dziennie i generuje rocznie transakcje liczone w miliardach dolarów, jednocześnie będąc kluczowym narzędziem dla dziennikarzy, sygnalistów i aktywistów w reżimach opresyjnych.
Zrozumienie powiązań między tymi pojęciami jest niezbędne dla właścicieli stron, profesjonalistów cyfrowych i użytkowników internetu, aby pojąć architekturę współczesnej sieci oraz chronić się przed nowymi zagrożeniami.
Różnicowanie sieci publicznej, głębokiej i ciemnej
Internet działa w warstwach, które różnią się dostępnością, indeksowalnością i poziomem bezpieczeństwa. Struktura ta bywa obrazowana metaforą góry lodowej: sieć publiczna to tylko jej wierzchołek, a głębsze warstwy pozostają w dużej mierze ukryte przed standardową obserwacją i interakcją. Zrozumienie tych różnic pozwala poprawnie osadzić rolę ciemnej sieci w szerszym ekosystemie internetu i odróżnić treści chronione prywatnością od celowo ukrytej infrastruktury przestępczej.
Poniższe zestawienie porównuje trzy warstwy internetu pod kątem dostępności, indeksacji, przykładowych treści i skali:
| Warstwa | Indeksacja | Dostęp | Przykłady | Szacowana skala |
|---|---|---|---|---|
| Sieć publiczna (clearnet) | Tak – widoczna w wyszukiwarkach | standardowe przeglądarki | media społecznościowe, serwisy newsowe, e‑commerce | ok. 4–10% |
| Głęboka sieć (deep web) | Nie – treści nieindeksowane | dostęp na podstawie logowania/poświadczeń | poczta e‑mail, bankowość, intranety, bazy danych, VOD | ok. 90% |
| Ciemna sieć (dark web) | Nie – ukryta z założenia | specjalne oprogramowanie (Tor) | usługi .onion, rynki darknetu, SecureDrop | ok. 0,01% |
Sieć publiczna – widoczna warstwa internetu
Sieć publiczna (open web, clearnet) to część internetu indeksowana przez standardowe wyszukiwarki (Google, Bing, Yahoo). Obejmuje ona publicznie dostępne witryny osiągalne przez zwykłe przeglądarki bez specjalnego oprogramowania czy dodatkowych poświadczeń. To media społecznościowe (Facebook, Instagram), serwisy newsowe, e‑commerce, a także bankowość online dostępna po standardowym logowaniu. Mimo powszechności w użyciu sieć publiczna stanowi jedynie ok. 4–10% całego internetu, co dobrze obrazuje skalę treści niewidocznych dla wyszukiwarek.
Indeksowanie treści zapewniają roboty sieciowe (crawlers), które odwiedzają witryny, analizują zawartość i dodają ją do baz wyszukiwania. Definiującą cechą sieci publicznej jest to, że treści są indeksowane i łatwo odnajdywalne, dzięki czemu pełni ona rolę platformy do publicznego dzielenia się informacją i handlu.
Głęboka sieć – ogromna, nieindeksowana warstwa
Głęboka sieć (deep web) to zdecydowanie największa część internetu, obejmująca ok. 90% treści online, których nie indeksują standardowe wyszukiwarki. Brak indeksacji wynika z legalnych potrzeb ochrony prywatności, bezpieczeństwa i charakteru treści – nie z wrogiego ukrywania. Deep web obejmuje serwisy wymagające logowania, prywatne bazy danych, subskrypcje, pocztę e‑mail, dokumentację medyczną, informacje finansowe, repozytoria naukowe czy intranety firmowe.
Korzystając z poczty (Gmail, Outlook), bankowości, systemów ochrony zdrowia, sieci firmowych czy bibliotek uniwersyteckich, użytkownicy poruszają się po deep webie. Należą do niego także serwisy VOD (np. Netflix), paywalle i platformy subskrypcyjne. Głęboka sieć nie jest z natury niebezpieczna ani nielegalna – jej rolą jest chronić wrażliwe dane i prywatność przez ograniczanie publicznej indeksacji.
Ciemna sieć – celowo ukryty podzbiór
Ciemna sieć (dark web) to wyspecjalizowany podzbiór głębokiej sieci, zaprojektowany tak, by ukrywać lokalizacje i tożsamości użytkowników oraz operatorów witryn. Każdy zasób w dark webie należy do deep webu, ale nie każdy zasób deep webu jest częścią dark webu. Kluczowa różnica to intencjonalna anonimizacja, a nie tylko brak indeksacji. Ciemna sieć obejmuje ok. 0,01% internetu, a mimo niewielkiej skali ma nieproporcjonalnie duży wpływ kulturowy i medialny.
Dostęp do ciemnej sieci wymaga specjalnego oprogramowania, najczęściej przeglądarki Tor, która stosuje zaawansowane szyfrowanie i trasowanie, by ukryć tożsamość i lokalizację. Witryny dark webu używają domen .onion, generowanych kryptograficznie (poza tradycyjnym systemem rejestracji). Infrastruktura działa w formie zdecentralizowanej sieci tysięcy węzłów‑przekaźników, które warstwowo szyfrują i przekierowują ruch, uniemożliwiając jednemu obserwatorowi jednoczesne poznanie źródła i celu pakietów.
W odróżnieniu od deep webu, który głównie chroni legalną prywatność i dostęp ograniczony, ciemna sieć bywa kojarzona z rynkami nielegalnymi i forami przestępczymi. Jednocześnie jest niezbędnym narzędziem dla dziennikarzy, sygnalistów i aktywistów w krajach z cenzurą. Ta dwoistość definiuje złożoną rolę dark webu.
Rozwój historyczny i źródła technologiczne
Technologie leżące u podstaw ciemnej sieci i współczesnej anonimizacji wywodzą się z badań wojskowych i akademickich końca XX w., odpowiadając na potrzeby bezpieczeństwa inne niż cele przestępcze. Zrozumienie drogi od innowacji wojskowych do powszechnej adopcji pokazuje, jak narzędzia projektowane dla bezpieczeństwa narodowego stały się platformami zarówno wolności słowa, jak i działalności przestępczej.
Pochodzenie w badaniach wojskowych i akademickich
Fundamentem technologii dark webu jest trasowanie cebulowe (onion routing), opracowane w połowie lat 90. w United States Naval Research Laboratory. Celem było zapewnienie bezpiecznej, anonimowej łączności dla operacji wojskowych w wrogim otoczeniu, gdzie ujawnienie punktów końcowych mogłoby zagrozić ludziom i misjom.
Termin „darknet” pojawił się już w latach 70., opisując izolowane sieci w ramach ARPANET, celowo ukryte przed katalogami. Koncepcja ta doprowadziła do stworzenia Tora (The Onion Router), którego nazwa nawiązuje do warstw szyfrowania i trasowania.
W 2002 r. projekt Tor udostępniono publicznie jako open source, a w 2008 r. pojawiła się Tor Browser, znacząco ułatwiająca dostęp. Upublicznienie technologii wojskowej i rozwój w modelu non‑profit umożliwiły globalną adopcję narzędzia anonimizacji.
Ewolucja rynków darknetu
Silk Road (2011–2013) był pierwszym wielkim rynkiem dark webu, pokazując skalę komercyjnego wykorzystania szyfrowanych sieci. Stworzony przez Rossa Ulbrichta („Dread Pirate Roberts”) marketplace ułatwiał handel narkotykami, bronią, usługami hackerskimi itd., rozliczany w Bitcoinie. W szczycie obsługiwał ponad sto tysięcy kupujących i transakcje warte setki milionów dolarów, aż do likwidacji przez FBI w październiku 2013 r.
Zamknięcie Silk Road i skazanie Ulbrichta pokazały, że nawet złożoną anonimizację da się obejść dzięki połączeniu analizy technicznej i klasycznych metod śledczych. Nie powstrzymało to jednak handlu w dark webie – przeciwnie, przyspieszyło powstanie następców (m.in. AlphaBay, Dream Market, Hansa Market), którzy eliminowali wykryte słabości i wprowadzali bardziej odporne na awarie architektury.
W połowie lat 20. XXI w., a szczególnie w 2025 r., ekosystem rynków stał się bardziej rozproszony i odporny, z wieloma konkurującymi platformami – od wyspecjalizowanych po ogólne – takimi jak Black‑Pyramid, Ares, Dark‑Matter, Nexus‑Market.
Sieć Tor – architektura techniczna i mechanizmy działania
Tor to jedna z najbardziej zaawansowanych technologii anonimizacji działających w skali internetu – tysiące węzłów wolontariuszy i miliony użytkowników. Aby zrozumieć, jak Tor zapewnia anonimowość, warto poznać zasadę trasowania cebulowego, strukturę sieci oraz sposób łączenia z usługami ukrytymi przy zachowaniu szyfrowania end‑to‑end.
Trasowanie cebulowe (onion routing) – szyfrowanie danych przez wiele warstw
Działanie trasowania cebulowego najlepiej oddaje skrócony przebieg zestawienia obwodu:
- Przeglądarka wybiera co najmniej trzy węzły (wejściowy, pośredni, wyjściowy) w różnych jurysdykcjach.
- Żądanie i docelowy adres są wielowarstwowo szyfrowane odpowiednimi kluczami każdego węzła.
- Węzeł wejściowy usuwa zewnętrzną warstwę i widzi wyłącznie adres kolejnego przekaźnika.
- Węzeł wyjściowy odszyfrowuje ostatnią warstwę, widzi adres celu i przekazuje ruch do internetu.
Każdy węzeł zna tylko poprzednika i następcę, co praktycznie uniemożliwia pojedynczemu podmiotowi poznanie jednocześnie źródła i celu ruchu. Cała komunikacja pozostaje szyfrowana w obwodzie Tora (dodatkowe HTTPS jest wciąż zalecane).
Struktura sieci i węzły wolontariuszy
Tor działa jako zdecentralizowana sieć tysięcy węzłów utrzymywanych przez wolontariuszy w wielu krajach (na początku 2026 r. – tysiące przekaźników, m.in. w USA i Niemczech). Użytkownik nie musi się rejestrować – wystarczy pobrać Tor Browser.
Role poszczególnych elementów w Torze można podsumować następująco:
- Węzeł wejściowy (guard) – pierwszy punkt kontaktu użytkownika z siecią, widzi adres IP klienta, ale nie zna celu;
- Węzeł pośredni – przekazuje zaszyfrowany ruch dalej, nie znając ani źródła, ani celu;
- Węzeł wyjściowy – łączy się z internetem publicznym, widzi cel, ale nie zna źródła;
- Directory authorities – utrzymują spójny widok dostępnych przekaźników i ich parametrów.
Usługi ukryte i architektura witryn onion
Witryny dark webu, zwane usługami ukrytymi lub stronami onion, nie ujawniają lokalizacji serwera ani tożsamości operatora. Adresy .onion mają 56 znaków (litery i cyfry) i są generowane z klucza publicznego operatora – adres jest kryptograficznie powiązany z kluczem, więc tylko posiadacz odpowiedniego klucza prywatnego może obsługiwać usługę pod danym adresem.
Procedurę połączenia z usługą ukrytą upraszczają dwa pojęcia: punkty wprowadzenia i punkt rendezvous. Punkt rendezvous tylko przekazuje zaszyfrowany ruch, nie znając treści ani tożsamości stron. Cała ścieżka komunikacji pozostaje w Torze i jest szyfrowana end‑to‑end, bez konieczności ufania centralnemu dostawcy.
Zastosowania ciemnej sieci – legalne i nielegalne
Ciemna sieć jest neutralną technologicznie infrastrukturą, która jednocześnie wspiera wolność słowa i stanowi wyzwanie dla organów ścigania. Te same właściwości anonimizacji, które chronią dziennikarzy i aktywistów, osłaniają też cyberprzestępców.
Legalne zastosowania i chronione aktywności
W praktyce najważniejsze legalne zastosowania wyglądają następująco:
- Wydania .onion mediów – BBC, The New York Times, The Washington Post, ProPublica i The Intercept oferują bezpieczny dostęp do treści w krajach z cenzurą;
- Platformy dla sygnalistów – SecureDrop i GlobaLeaks umożliwiają anonimowe przekazywanie dokumentów redakcjom i NGO;
- Aktywizm i prawa człowieka – obrona prywatności, organizowanie działań i omijanie blokad (np. „Wielki Firewall” w Chinach);
- Badania i egzekwowanie prawa – analizy naukowe, testy bezpieczeństwa oraz działania operacyjne organów ścigania.
SecureDrop wdrożyło ponad 60 redakcji na świecie (m.in. Le Monde, Der Spiegel, BBC), a narzędzia Tora wspierają dziennikarzy i informatorów w bezpiecznej wymianie informacji.
Nielegalne aktywności i rynki przestępcze
Mimo legalnych zastosowań ok. 57% treści w dark webie dotyczy materiałów lub działań nielegalnych. Rynki funkcjonują jak e‑commerce (oferty, oceny sprzedawców, opinie, escrow), ale obsługują handel narkotykami, bronią, wykradzionymi danymi, dokumentami, malware, usługami hackerskimi, atakami DDoS i ransomware‑as‑a‑service (RaaS).
Dla przejrzystości przedstawienia udziałów kategorii ofert, pomocne jest zestawienie głównych segmentów w 2025 r.:
| Kategoria | Udział ofert | Przykłady |
|---|---|---|
| Drugs & chemicals | ok. 68% | konopie, kokaina, heroina, syntetyki, leki Rx |
| Fraudy i usługi | ok. 13% | skradzione karty, phishing‑kity, ATO, fałszywe ID |
| Podróbki | ok. 7% | fałszywa waluta, brandowane towary, dokumenty |
| Inne | pozostałe | usługi hackerskie, botnety, initial access brokerage |
Znaczącą częścią aktywności jest monetyzacja skradzionych danych. Poniżej przykładowe wyceny:
| Rodzaj danych | Parametr | Szacowana cena |
|---|---|---|
| dane kart płatniczych | saldo ok. 5 000 USD | ok. 125 USD |
| loginy do bankowości online | min. 2 000 USD na rachunku | ok. 60 USD |
| przejęte konta Facebook | n/d | ok. 25 USD |
Oferta RaaS obejmuje zestawy ransomware, wsparcie techniczne i prowizje dla afiliantów. Profesjonalizacja RaaS napędziła falę ataków – szacowane koszty szkód wyniosły ok. 8 mld USD (2018), 11,5 mld USD (2019), a prognozy mówiły o 20 mld USD (2021).
Ciemna sieć ułatwia też przestępczość kryptowalutową i pranie pieniędzy (Bitcoin, Monero, Zcash). Badania wskazały, że ponad 80% adresów bitcoinowych powiązanych z dark webem miało złośliwy charakter, a wolumen sięgał ok. 180 mln USD. Cyberprzestępcy maskują ślady, używając mikserów i tumblerów do mieszania środków.
Dostęp do ciemnej sieci – narzędzia, metody i zasady bezpieczeństwa
Samo korzystanie z ciemnej sieci jest legalne w większości krajów (w tym w USA i UE), lecz wymaga dbałości o anonimowość i higienę bezpieczeństwa, by nie ujawnić danych i nie paść ofiarą malware czy oszustw. Dobór właściwych narzędzi i praktyk jest kluczowy dla badaczy, dziennikarzy i sygnalistów.
Przeglądarka Tor i powiązane narzędzia
Tor Browser (na bazie Firefox ESR) zawiera poprawki wzmacniające prywatność i bezpieczeństwo (ochrona przed śledzeniem i fingerprintingiem). Projekt Tor odradza używanie innych przeglądarek przez Tor, bo mogą wyciekać identyfikatory (ciasteczka, skrypty, metadane). Tor Browser domyślnie ogranicza funkcje, czyści ciasteczka po sesji i nie zapisuje historii.
Oprogramowanie należy pobierać wyłącznie z oficjalnych źródeł (torproject.org, oficjalne mirrory, GetTor przez Telegram/e‑mail), by uniknąć zainfekowanych podróbek.
Wirtualne sieci prywatne i dodatkowe warstwy ochrony
Aby zwiększyć prywatność połączenia, rozważ poniższe możliwości:
- Tor + VPN – ISP widzi użycie VPN, ale nie Tora;
- Onion over VPN – tryb oferowany m.in. przez NORDVPN, który automatyzuje trasowanie przez Tor;
- Kill switch – blokuje ruch poza tunelem przy zerwaniu połączenia;
- Tails OS – system live z USB, który rutuje cały ruch przez Tor i działa w RAM, kasując dane po wyłączeniu.
Rozpoznawanie i unikanie typowych zagrożeń
Najczęstsze ryzyka w dark webie obejmują:
- malware i exploity kierowane na przeglądarki oraz wtyczki,
- phishing i typosquatting (fałszywe klony rynków .onion),
- oszustwa finansowe, w tym escrow i tzw. exit scam,
- operacje służb (honeypoty) i złośliwe węzły w sieci.
Dobre praktyki minimalizujące ryzyko to:
- używanie wyłącznie Tor Browser i pobieranie go z torproject.org,
- weryfikacja adresów .onion podpisami PGP i w zaufanych katalogach,
- unikanie pobierania plików z niepewnych źródeł i stosowanie sandboxingu,
- aktualny antywirus oraz regularne aktualizacje systemu i aplikacji,
- niespinanie tożsamości: nie loguj się do kont powiązanych z realnymi danymi.
Status prawny i działania organów ścigania
W większości krajów korzystanie z Tora i dostęp do ciemnej sieci są legalne, lecz konkretne aktywności mogą być poważnymi przestępstwami zagrożonymi surowymi karami.
Legalność dostępu do ciemnej sieci i używania przeglądarki Tor
Korzystanie z Tor Browser jest zasadniczo legalne; legalność zależy od działań, a nie od samego dostępu. Organy takie jak FBI, DEA czy Europol używają Tora do legalnych celów.
Przeglądanie, czytanie i badanie treści zwykle nie jest przestępstwem. Ryzyko pojawia się przy czynach zakazanych, takich jak zakup narkotyków, broni, danych, rozpowszechnianie CSAM czy włamania – to przestępstwa niezależnie od warstwy sieci.
Ważne jest rozróżnienie między pasywnym przeglądaniem a aktywnym udziałem w nielegalnych transakcjach. Sam przypadkowy kontakt z treściami nielegalnymi z reguły nie rodzi odpowiedzialności, ale pobieranie, posiadanie czy dystrybucja określonych materiałów (zwłaszcza CSAM) to poważne przestępstwa. Incydenty należy zgłaszać odpowiednim organom (np. NCMEC w USA lub odpowiednikom w innych krajach).
Możliwości organów ścigania i metody deanonymizacji
Mimo zaawansowania Tora organy ścigania potrafią identyfikować użytkowników i zamykać rynki (np. Silk Road w 2013 r.). Anonymizacja zapewnia wysoki poziom prywatności, ale nie gwarantuje pełnej niewykrywalności.
Najczęściej stosowane techniki obejmują:
- ataki korelacyjne – analiza czasowa ruchu na wejściach i wyjściach Tora;
- honeypoty – pozorne rynki lub konta operowane przez służby;
- węzły złośliwe – próby wprowadzania kontrolowanych przekaźników;
- błędy operacyjne użytkowników – ponowne używanie loginów, ujawnianie metadanych, infekcje urządzeń.
„nasza przeglądarka jest anonimowa, ale niewłaściwe użycie może cię zdemaskować”
Unikaj maksymalizacji okna, wyłącz wtyczki i nie łącz światów (Tor vs życie prywatne) – to typowe zalecenia ograniczające fingerprinting i wycieki tożsamości.
Ekonomia rynku i implikacje dla cyberbezpieczeństwa
Ekosystem rynków ciemnej sieci to złożona gospodarka przestępcza generująca miliardy dolarów rocznie, z innymi niż w e‑commerce strukturami bodźców, lecz podobną organizacją (oferty, reputacje, wsparcie, spory).
Ceny i struktury ekonomiczne
Ceny odzwierciedlają podaż/popyt, świeżość danych, geograficzne pochodzenie i wrażliwość informacji. Świeżo wykradzione dane i dostępy premium są najdroższe; starsze zbiory kosztują mniej. Przykładowo, pary e‑mail/hasło powiązane z konkretnymi organizacjami wyceniano na ok. 120 USD za wpis, a dane pracowników spółek z Fortune 500 – wyżej.
Gospodarka przestępcza przesuwa się ku modelom subskrypcyjnym i afiliacyjnym (RaaS), z programami prowizyjnymi, wsparciem technicznym i quasi‑korporacyjnymi procesami.
Kryptowaluty ułatwiają szybkie transgraniczne płatności bez typowej przejrzystości bankowej. Z czasem dominację Bitcoina ograniczyły monety prywatnościowe (Monero, Zcash), a stablecoiny (USDC, USDT) zaczęły przewyższać BTC w wolumenie transakcji nielegalnych z uwagi na stabilność wartości.
Ransomware i rynek usług cyberprzestępczych
Ransomware to jeden z najbardziej dochodowych i szkodliwych segmentów, z prognozowanymi szkodami rzędu 30 mld USD rocznie w połowie lat 20. Platformy RaaS działają jak firmy software’owe – dostarczają infrastrukturę, wsparcie i modele afiliacyjne.
Atakowane są sektory krytyczne (ochrona zdrowia, szpitale, usługi ratunkowe, użyteczność publiczna), gdzie presja na szybkie przywrócenie działania jest najwyższa. Podwójny szantaż (kradzież danych przed szyfrowaniem i groźba publikacji) stał się standardem, zwiększając presję na zapłatę.
Wnioski i strategie ochrony
Ciemna sieć, darknet i Tor to złożona infrastruktura, która służy zarówno celom legalnym, jak i nielegalnym. Dla większości organizacji i użytkowników kluczowe jest ograniczenie ekspozycji danych i szybkie wykrywanie wycieków sprzedawanych w dark webie.
Wdrażaj strategie „defense in depth”: silne uwierzytelnianie (MFA), regularne aktualizacje i łatki, szkolenia z phishingu i inżynierii społecznej, segmentacja sieci, monitoring dark webu w poszukiwaniu wzmianek o organizacji i wyciekach, a także gotowe procedury reagowania na incydenty.
Ciemna sieć będzie ewoluować równolegle z możliwościami organów ścigania – zamknięcia rynków powodują migracje i innowacje (AI do analizy danych dark webu, rynki zdecentralizowane bez pojedynczych punktów awarii). Zrozumienie dark webu, darknetu, deep webu i Tora pozostaje kluczowe dla specjalistów ds. bezpieczeństwa, dziennikarzy, służb oraz świadomych użytkowników – by wykorzystywać ochronne możliwości technologii i minimalizować jej nadużycia.