Deep Web e Dark Web Il lato oscuro del web - intellisync.it
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Deep Web e Dark Web Il lato oscuro del web intellisync.it
Deep Web e Dark Web
Introduzione
Il web è un territorio sterminato e in continua espansione di cui non si conosce in dettaglio l’intera geografia. I principali
cartografi del web - i Von Humboldt della rete digitale - sono certamente Google, Bing, Yahoo, Yandex e l’insieme dei
motori di ricerca che operano cercando siti e contenuti e poi indicizzandoli. Grazie al lavoro dei motori di ricerca si
conoscono ubicazione e contenuti di milioni di siti altrimenti dispersi come costellazioni celesti nell’infinità della rete.
Ma non tutto ciò che esiste nell’universo web è noto ai motori di ricerca. Non tanto perché i loro navigatori automatici
(crawler) non siano in grado di scoprire tutto il pubblicato ma perché vi sono siti che deliberatamente bloccano l’accesso
a tali strumenti per ragioni di varia natura ma fondamentalmente legate alla segretezza dei dati. In sostanza, è possibile
a livello di directory di un sito, o di singola pagina, impedire l’indicizzazione. Nel momento in cui ciò accade il contenuto
di quella directory, o di quella pagina, entra automaticamente a far parte del deep web.
Il deep web è quella parte del web pubblico i cui indirizzi non sono inseriti nello stradario dei motori di ricerca ma
che nondimeno esistono e sono raggiungibili tramite i classici browser e il protocollo HTTP. Dunque i contenuti del
deep web non sono raggiungibili tramite alcuna ricerca su Google ma solo se si conosce l’esatto URL e lo si digita nel
browser. Tipicamente nel deep web si trovano documenti legali, report accademici, dati medico-scientifici. Insomma
roba legittima, pubblica e condivisibile ma solo tra pochi eletti.
Si stima che il deep web sia molto più esteso del web di superficie che raggiungiamo tramite lo stradario offerto dai
motori di ricerca.
E poi c’è il dark web.
Il dark web è un sottoinsieme del deep
WEB
web e costituisce una sorta di rete Internet
Bing, Google, Yahoo, Yandex parallela a cui non si accede con i normali
strumenti di navigazione HTTP. C’è bisogno
di specifici browser, di configurazioni ad hoc
e istruzioni ed autorizzazioni. Insieme deep e
dark web sono circa il 96% dell’intero spazio
DEEP WEB
Internet e il secondo è significativamente
Dati medici, Dati finanziari,
Report scientifici, Documenti meno esteso del primo!
legali
Qual è la differenza di fondo tra deep e
dark web? Semplice, si stima che almeno
il 90% dei contenuti presenti nel dark web
DARK WEB
sia di natura illegale e rappresenti prove
Dati relativi ad attività illegali sostanziali di una qualche attività criminosa.
Dati relativi ad attività di protesta La struttura “allargata” del web viene spesso
Dati frutto di attacchi informatici
rappresentata come un iceberg, la cui punta è
costituita dai contenuti indicizzati dai motori
di ricerca e la parte sommersa, ben più estesa, include il deep web e il dark web. Solitamente non si parla molto della
parte non indicizzata del web in chiaro (deep web), ma si opera una più semplice dicotomia tra web in chiaro (clearnet)
e web criptato (darknet). Il web in chiaro comprende tutto il web che si può raggiungere tramite browser, indicizzato
e non. Il web criptato, invece, si compone di varie reti parallele, alcune molto piccole e ad accesso controllato ed altre
ben più grandi e frequentate come Tor, Freenet e I2P.
intellisync.itDeep Web e Dark Web
Architettura di una darknet
Alla base di qualunque di qualsiasi darknet c’è il concetto di overlay network, ovvero la sovrapposizione di due reti
di cui una è esposta pubblicamente tramite host virtuali e l’altra, nascosta, è la rete fisica. Si ha dunque una sorta di
effetto reverse proxy in cui la rete fisica non si vede ma un software intermediario mappa gli indirizzi e le credenziali
inviate agli host pubblici sugli effettivi nodi della rete. Nel caso di molte darknet la separazione logica dei pacchetti
della rete overlay avviene al livello 7 del modello OSI ed è del tutto trasparente per l’utente finale.
Overlay Network
Virtual Node
Physical Node
Physical Network
Naturalmente si tratta solo della home page da cui è possibile scaricare il software di navigazione, concettualmente
equivalente ad un normale browser per il web in chiaro.
C’era bisogno, infatti, di reti che ricevessero dati da ARPANET ma che al contempo restassero invisibili agli utenti di
primo livello. A partire dagli anni settanta la definizione di darknet si è allargata includendo altri due tipi di reti: Friend-
to-friend (F2F) network e Anonimity network.
Nel primo caso si tratta di una rete punto-a-punto i cui partecipanti sono reciprocamente fidati (amici). Nel secondo
caso si intende una rete overlay in cui il software intermedio che smista i pacchetti verso la rete fisica sottostante li fa
prima transitare su svariati nodi geografici (solitamente messi a disposizione da volontari) per ostacolare ogni traccia-
mento ed aumentare la garanzia di anonimato. TOR (The Onion Router) e I2P (Invisible Internet Project) sono oggi le
principali reti anonime. Esse si possono raggiungere dai seguenti indirizzi.
https://www.torproject.org
https://geti2p.net
Naturalmente si tratta solo della home page da cui è possibile scaricare il software di navigazione, concettualmente
equivalente ad un normale browser per il web in chiaro.
intellisync.itDeep Web e Dark Web
Il Routing a Cipolla
Il progetto TOR nasce nel 1995 presso lo U.S. Naval Research Lab con due obiettivi:
~ Aumentare il livello di sicurezza della rete Internet di allora
~ Limitare la possibilità (che ancora permane) di farne uso per tracciare e sorvegliare gli utilizzatori
La mente di David Goldschlag, Mike Reed e Paul Syverson partorisce così l’idea del routing a cipolla (onion routing).
La tecnica dell’onion routing consiste nel far passare il traffico in entrata su un certo numero di server geograficamen-
te distribuiti prima di consegnarlo al server di destinazione. Ad ogni cambio di server, inoltre, avviene la cifratura dei
pacchetti. Nell’ottobre del 2002 il codice sorgente di TOR viene rilasciato come open source e nel secondo semestre
del 2003 conta già una rete composta da decine di nodi, ospitati da volontari, principalmente negli Stati Uniti e in
Germania. Nel 2007 TOR evolve ulteriormente grazie ai cosiddetti nodi bridge creati ad arte per aggirare la crescente
censura dei firewall governativie.
Entry guard
TOR Client
TOR Network Destination
Middle relay
Exit relay
Encrypted by TOR Not encrypted by TOR
L’accesso alla rete TOR avviene per mezzo di un nodo di ingresso detto entry guard. Tale nodo è in grado di rilevare
l’indirizzo IP del chiamante. A dire il vero anche il provider che fornisce la connessione Internet al chiamante è in grado
di rilevare la connessione alla rete TOR e può farlo perché esiste una lista pubblica di entry guard. La lista si trova
costantemente aggiornata all’indirizzo: https://check.torproject.org/torbulkexitlist
L’entry guard fa poi transitare i pacchetti attraverso vari nodi intermedi (middle relay) che sono responsabili della
cifratura del contenuto e hanno una visione molto limitata della rete. In pratica ciascun middle relay vede solo il nodo
precedente e quello successivo. La rete dei middle relay, però, deve avere un punto di uscita (exit relay) che sarà
responsabile per l’instradamento dei pacchetti verso la destinazione finale.
È importante notare che il nodo exit relay è giuridicamente responsabile di eventuali azioni illecite perché direttamente
visibile al nodo destinazione e dunque identificato come sorgente del traffico.
Va da sé che i punti di ingresso e di uscita nella rete intermedia sono pubblici e dunque facilmente censurabili a
livello nazionale. I nodi bridge servono proprio ad aggirare questo problema. In sostanza essi sono indirizzi di exit
relay temporanei, non divulgati pubblicamente ma comunicati per altre vie, e configurabili solo a mano all’interno dei
software di navigazione. In questo modo la navigazione è anonima.
TorFlow è una mappa animata real-time che mostra tutti i relay della rete TOR ed il relativo traffico. Si trova all’indirizzo:
https://torflow.uncharted.software
intellisync.itDeep Web e Dark Web
Navigare nel dark web
Al di là di strumenti come TOR browser, va detto che la navigazione all’interno del dark web non è intuitiva come una
ricerca su Google. La ragione di ciò sta proprio nella totale assenza di indicizzazione dei contenuti e anche nei nomi di
dominio che sono molto poco intellegibili. Gli URL delle risorse accessibili, infatti, sono spesso composti da sequenze
di caratteri alfanumerici e sono condivisi pubblicamente su apposite directory e pagine wiki aggiornate frequente-
mente. Una di queste pagine è https://thehiddenwiki.orgIn alternativa si ricorre a canali privati riservati a pochi eletti.
In sostanza nel dark web si lavora sulla fiducia e per conoscenza diretta.
I Contenuti del dark web
Una ricerca condotta nel 2016 da Intelliag e Darksum mostra che nella sola rete TOR i siti dedicati alla condivisione di
informazioni precedentemente oggetto di esfiltrazione sono intorno al 30% del totale. In quantità analoga sono i siti che
mettono a disposizione file spesso con informazioni riservate. Al terzo e quarto posto della classifica redatta troviamo
informazioni finanziarie e notizie. Armi e droga sono pure presenti ma in posizioni di retroguardia.
FILE SHARING
LEAKED DATA
FINANCIAL FRAUD
NEWS MEDIA
PROMOTION
DISCUSSION FORUM
DRUGS
INTERNET/COMPUTING
HACKING
PORNO/FETISH
WEAPONS
OTHER
Uno dei contenuti più importanti del dark web è il CVE, ovvero Common Vulnerabilities and Exposure, un dizionario
contenente tutte le vulnerabilità informatiche note. Lo si può vedere come una specie di guida per hacker con i dettagli
delle vulnerabilità note di siti e reti e classificazione di complessità di un eventuale attacco. La pubblicazione del CVE
risale oramai al 1999 e ha indubbiamente “aiutato” negli anni la crescita di attacchi informatici. Il dizionario CVE ha
anche stimolato la nascita dei cosiddetti black market, ovvero di siti dark che hanno come che hanno come core
business la vendita di informazioni sensibili oggetto di precedenti esfiltrazioni.
Il black market, però, non è tutto qui. Esso infatti comprende anche pacchetti su misura pensati per attacchi alla sicurezza
informatica e alla reputazione di aziende. Un esempio sono i provider di DDoS-As-a-Service che affittano infrastrutture
con elevata larghezza di banda per un periodo limitato e che consentono di lanciare un attacco DDoS contro una rete
aziendale. Poi vi sono anche servizi per così dire più evoluti come gli exploit zero-day per specifici sistemi e le console
di comando di intere batterie di bot (botnet) in grado di inviare comandi remoti a reti precedentemente infettate
da malware di tipo zombie. L’obiettivo in questo casi è di sfruttare la capacità di elaborazione dei nodi vittima e la
larghezza di banda del collegamento Internet per attività quali il mining di bitcoin, l’invio massivo di email contenenti
spam e phishing o il lancio di attacchi DDoS verso asset strategici.
intellisync.itDeep Web e Dark Web
Quando e quanto preoccuparsi?
Il dark web diventa un possibile problema nel momento in cui si subisce un attacco e una fuga di informazioni. È
possibile infatti che i dati rubati finiscano in vendita o vengano addirittura resi disponibili gratuitamente. Ed è anche
possibile che le vulnerabilità scoperte vengano divulgate rendendo possibile, almeno sulla carta, nuovi attacchi.
Finire nel dark web è uno stato che va sotto il nome di dark web exposure. Per evitarlo non ci sono mezze misure:
è necessaria una strategia di sicurezza IT che non conceda fiducia a nessuno (zero trust): familiari, amici, colleghi e
dipendenti. I fattori che possono portare un’azienda sul dark web sono molteplici e tutti legati alle cause che rendono
efficaci eventuali attacchi e che abbimo discusso nei precedenti capitoli. Tra essi vi è sicuramente l’errore umano ma
anche il grado di sicurezza di reti e dispositivi IoT, la sicurezza intrinseca dei processi, la solerzia con cui il software in
uso viene aggiornato, le tecnologie di intrusion detection e prevention adottate, i sistemi di gestione delle credenziali
e delle password. Come si fa a capire se i nostri dati sono finiti nel dark web e le nostre debolezze di rete nel CVE?
Non è semplice muoversi nel mondo dark alla ricerca di informazioni (anche su sé stessi) perché l’assenza di
indicizzazione dei contenuti limita di gran lunga la possibilità di eseguire ricerche per parole chiave, quantomeno con
la stessa naturalezza del web pubblico. Esistono però alcuni strumenti appositi che permettono di eseguire scansioni
periodiche della darknet alla ricerca di informazioni per determinare il proprio grado di esposizione e il rischio in
termini di brand reputation.
Uno di questi strumenti è Immuni Web Radar disponibile all’indirizzo:
https://www.immuniweb.com/radar
Lo strumento (che è solo in parte gratuito) è raccomandato dalla divisione EC3 (European Cybercrime Centre) di
EUROPOL nel report di Giugno 2020. A partire da un nome, per esempio example.com, lo strumento esegue un’analisi
realisticamente completa di dark web exposure determinando il numero di citazioni e producendo una stima del
rischio.
Un altro strumento per il monitoraggio della propria esposizione nel dark web è Have I Been Pwned, disponibile all’indirizzo:
https://haveibeenpwned.com
Il tool è completamente gratuito e funziona anche come strumento di monitoraggio per il web pubblico dove comunque
è possibile che finiscano disponibili informazioni riservate rubate in qualche modo.
Altre utility piuttosto comode sono
NotifyMe e DomainSearch. Entrambe gli
strumenti previa registrazione consentono
di ricevere una notifica nel caso in cui uno
o più indirizzi email appartenenti ad un
dato dominio finissero in un data breach
pubblicato sul dark web. Le informazioni
personali che è ragionevole aspettarsi di
trovare esposte sul dark web comprendono cose come credenziali di accesso a servizi FTP, SSH, VNC, VPN, SMTP ma
anche credenziali per sistemi corporate quali CRM, ERP, SalesForce e sistemi centralizzati di posta elettronica. Infine,
credenziali che consentono l’accesso diretto a shell operative, Active Directory, file manager.
intellisync.itDeep Web e Dark Web
Strategie di difesa
Dall’esposizione nel dark web ci si difende applicando pedissequamente le stesse regole consigliate per difendersi da
qualsivoglia attacchi informatici. Dunque tutte le buone regole di sicurezza discusse nei precedenti capitoli valgono
allo stesso modo.
In più, nel momento in cui ci si è scoperti in qualche modo esposti nel dark web, diventa cruciale verificare
autonomamente, e a cadenza regolare, l’eventuale compromissione di macchine i cui indirizzi e le cui caratteristiche
hardware/software fossero finite nel dizionario CVE classificate come vulnerabilità note.
Un altro pilastro di ogni strategia di difesa dalle insidie del dark web è il monitoraggio costante della reputazione del
proprio dominio email e la eventuale presenza dello stesso anche in blacklist pubbliche.
Una nota blacklist è: https://mxtoolbox.com/blacklists.aspx
Inoltre la configurazione di un corretto record SPF (Sender Policy Framework) in un server di posta consente
di scongiurare l’uso improprio del dominio email per campagne di bulk mailing e phishing ad opera di altri server
non autorizzati. Ciò unitamente alla protezione crittografica di credenziali all’interno di sistemi di rete centralizzati
contribuisce a rendere meno probabile l’uso sul mercato nero del dark web di dati esfiltrati proditoriamente.
È importante tenere a mente però che il dark web è solo il luogo in cui i dati rubati possono finire e venir mercanteggiati;
il punto chiave di ogni strategia di sicurezza IT è non far uscire i dati dalla rete più che rincorrerli nel dark web.
Come agire
A conti fatti il dark web è una sorta di mercato nero di cui tutti conoscono l’esistenza e gran parte delle regole. E
anche chi vi si avvicinasse per la prima volta riuscirebbe a trovare con relativa facilità linee guida ed istruzioni per
muoversi. Paradossalmente tutto ciò che finisse sul dark web sarebbe più facilmente identificabile e monitorabile
che se circolasse su gruppi Telegram, canali IRC e chat di varia natura. La realtà dei fatti è che il dark web è un po’ lo
specchietto per le allodole, ma la vendita di informazioni esfiltrate o la semplice divulgazione avviene molto più spesso
tramite reti private friend-to-friend, in modo silente e di fatto impossibile da controllare.
Che fare dunque?
Per banale e poco fascinoso che possa sembrare la cosa migliore è giocare secondo le regole e lasciar perdere
avventurieri digitali con agganci tutti da verificare. Scoprendo i propri dati esposti in qualche modo, una cosa da fare è
sicuramente la segnalazione alla divisione EC3 dell’Europol. https://www.europol.europa.eu/report-a-crime
Il punto, però, è agire per evitare di dover finire a segnalar danni alla polizia postale. Anche perché, per brutale che sia,
finire a far ciò è come chiudere la stalla a buoi fuggiti.
Per continuare la metafora dell’allevamento bovino, ciò che si deve fare, invece, è illustrato dai seguenti sette punti:
1 ~ Montare una porta all’uscita della stalla;
2 ~ Metterci su una solida serratura;
3 ~ Tenerla oliata e in piena efficienza;
4 ~ Monitorare chi entra e chi esce;
5 ~ Stabilire percorsi e regole di entrata e uscita
6 ~ Montare un sistema di monitoraggio che verifichi costantemente la chiusura della porta
7 ~ Contare periodicamente i buoi.
intellisync.itDeep Web e Dark Web
Questi sono i punti elementari di una strategia di difesa cyber-security.
Dov’è il dark web in tutto questo?
Non c’è.
E non c’è perché le aziende possono sì doversi preoccupare della propria esposizione nel dark web ma prima di tutto
dovrebbero attrezzarsi per non finirci. È piuttosto improbabile che si finisca nel dark web senza attacchi di qualche
tipo e furti di dati.
Al tempo stesso però proviamo a guardare la situazione dal punto di vista di un’azienda che non ha mai preso in seria
considerazione la cybersecurity e che ad un certo momento decide di farlo. Da dove comincia?
I sette punti da implementare sono sempre quelli, ma forse in questo caso conviene prima eseguire un passo preliminare.
Per amor di metafora, è come quando si sta per comprar casa e ci si accerta che non esistano debiti con il condominio
o ipoteche di qualche tipo.
Fuor di metafora, una verifica di esposizione nel dark web affidata a un team esperto potrebbe dare una visione più
completa dello stato dell’arte e indirizzare l’implementazione delle misure di cybersecurity.
I sette punti sono tutti a carico dell’azienda e del personale interno, al limite con la supervisione di un team esterno.
E lo sono perché non si tratta unicamente di faccende digitali ma potrebbero coinvolgere regole di convivenza e
comportamento aziendale.
Poi vi sono altri punti più ragionevolmente gestibili in outsourcing che riguardano fondamentalmente il costante
monitoraggio della reputazione digitale del brand e del server di posta, la presenza di contenuti potenzialmente lesivi,
segnalazioni fraudolente e anche l’esposizione sul dark web.
Un servizio di questo tipo, interno o esterno che sia, è necessario per ogni azienda a prescindere dal tipo di business.
La security, infatti, è un problema di business trasversale. La coscienza del problema è sempre interna; la messa in
opera e il monitoraggio, invece, possono essere affidati all’esterno in modo da aver la certezza di analisi costante,
notifiche immediate e conoscenza di dominio tale da gestire in prima istanza incidenti di qualsiasi tipo e ridurre al
minimo errori umani e furto o perdita di dati.
intellisync.it
“ L’anonimato nel mondo degli uomini
è meglio della fama in cielo.
Jack Kerouac
Scrittore americano, padre del movimento beatLeading Digital Change intellisync.it
Puoi anche leggere
