Deep Web e Dark Web Il lato oscuro del web - intellisync.it
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Deep Web e Dark Web Introduzione Il web è un territorio sterminato e in continua espansione di cui non si conosce in dettaglio l’intera geografia. I principali cartografi del web - i Von Humboldt della rete digitale - sono certamente Google, Bing, Yahoo, Yandex e l’insieme dei motori di ricerca che operano cercando siti e contenuti e poi indicizzandoli. Grazie al lavoro dei motori di ricerca si conoscono ubicazione e contenuti di milioni di siti altrimenti dispersi come costellazioni celesti nell’infinità della rete. Ma non tutto ciò che esiste nell’universo web è noto ai motori di ricerca. Non tanto perché i loro navigatori automatici (crawler) non siano in grado di scoprire tutto il pubblicato ma perché vi sono siti che deliberatamente bloccano l’accesso a tali strumenti per ragioni di varia natura ma fondamentalmente legate alla segretezza dei dati. In sostanza, è possibile a livello di directory di un sito, o di singola pagina, impedire l’indicizzazione. Nel momento in cui ciò accade il contenuto di quella directory, o di quella pagina, entra automaticamente a far parte del deep web. Il deep web è quella parte del web pubblico i cui indirizzi non sono inseriti nello stradario dei motori di ricerca ma che nondimeno esistono e sono raggiungibili tramite i classici browser e il protocollo HTTP. Dunque i contenuti del deep web non sono raggiungibili tramite alcuna ricerca su Google ma solo se si conosce l’esatto URL e lo si digita nel browser. Tipicamente nel deep web si trovano documenti legali, report accademici, dati medico-scientifici. Insomma roba legittima, pubblica e condivisibile ma solo tra pochi eletti. Si stima che il deep web sia molto più esteso del web di superficie che raggiungiamo tramite lo stradario offerto dai motori di ricerca. E poi c’è il dark web. Il dark web è un sottoinsieme del deep WEB web e costituisce una sorta di rete Internet Bing, Google, Yahoo, Yandex parallela a cui non si accede con i normali strumenti di navigazione HTTP. C’è bisogno di specifici browser, di configurazioni ad hoc e istruzioni ed autorizzazioni. Insieme deep e dark web sono circa il 96% dell’intero spazio DEEP WEB Internet e il secondo è significativamente Dati medici, Dati finanziari, Report scientifici, Documenti meno esteso del primo! legali Qual è la differenza di fondo tra deep e dark web? Semplice, si stima che almeno il 90% dei contenuti presenti nel dark web DARK WEB sia di natura illegale e rappresenti prove Dati relativi ad attività illegali sostanziali di una qualche attività criminosa. Dati relativi ad attività di protesta La struttura “allargata” del web viene spesso Dati frutto di attacchi informatici rappresentata come un iceberg, la cui punta è costituita dai contenuti indicizzati dai motori di ricerca e la parte sommersa, ben più estesa, include il deep web e il dark web. Solitamente non si parla molto della parte non indicizzata del web in chiaro (deep web), ma si opera una più semplice dicotomia tra web in chiaro (clearnet) e web criptato (darknet). Il web in chiaro comprende tutto il web che si può raggiungere tramite browser, indicizzato e non. Il web criptato, invece, si compone di varie reti parallele, alcune molto piccole e ad accesso controllato ed altre ben più grandi e frequentate come Tor, Freenet e I2P. intellisync.it
Deep Web e Dark Web Architettura di una darknet Alla base di qualunque di qualsiasi darknet c’è il concetto di overlay network, ovvero la sovrapposizione di due reti di cui una è esposta pubblicamente tramite host virtuali e l’altra, nascosta, è la rete fisica. Si ha dunque una sorta di effetto reverse proxy in cui la rete fisica non si vede ma un software intermediario mappa gli indirizzi e le credenziali inviate agli host pubblici sugli effettivi nodi della rete. Nel caso di molte darknet la separazione logica dei pacchetti della rete overlay avviene al livello 7 del modello OSI ed è del tutto trasparente per l’utente finale. Overlay Network Virtual Node Physical Node Physical Network Naturalmente si tratta solo della home page da cui è possibile scaricare il software di navigazione, concettualmente equivalente ad un normale browser per il web in chiaro. C’era bisogno, infatti, di reti che ricevessero dati da ARPANET ma che al contempo restassero invisibili agli utenti di primo livello. A partire dagli anni settanta la definizione di darknet si è allargata includendo altri due tipi di reti: Friend- to-friend (F2F) network e Anonimity network. Nel primo caso si tratta di una rete punto-a-punto i cui partecipanti sono reciprocamente fidati (amici). Nel secondo caso si intende una rete overlay in cui il software intermedio che smista i pacchetti verso la rete fisica sottostante li fa prima transitare su svariati nodi geografici (solitamente messi a disposizione da volontari) per ostacolare ogni traccia- mento ed aumentare la garanzia di anonimato. TOR (The Onion Router) e I2P (Invisible Internet Project) sono oggi le principali reti anonime. Esse si possono raggiungere dai seguenti indirizzi. https://www.torproject.org https://geti2p.net Naturalmente si tratta solo della home page da cui è possibile scaricare il software di navigazione, concettualmente equivalente ad un normale browser per il web in chiaro. intellisync.it
Deep Web e Dark Web Il Routing a Cipolla Il progetto TOR nasce nel 1995 presso lo U.S. Naval Research Lab con due obiettivi: ~ Aumentare il livello di sicurezza della rete Internet di allora ~ Limitare la possibilità (che ancora permane) di farne uso per tracciare e sorvegliare gli utilizzatori La mente di David Goldschlag, Mike Reed e Paul Syverson partorisce così l’idea del routing a cipolla (onion routing). La tecnica dell’onion routing consiste nel far passare il traffico in entrata su un certo numero di server geograficamen- te distribuiti prima di consegnarlo al server di destinazione. Ad ogni cambio di server, inoltre, avviene la cifratura dei pacchetti. Nell’ottobre del 2002 il codice sorgente di TOR viene rilasciato come open source e nel secondo semestre del 2003 conta già una rete composta da decine di nodi, ospitati da volontari, principalmente negli Stati Uniti e in Germania. Nel 2007 TOR evolve ulteriormente grazie ai cosiddetti nodi bridge creati ad arte per aggirare la crescente censura dei firewall governativie. Entry guard TOR Client TOR Network Destination Middle relay Exit relay Encrypted by TOR Not encrypted by TOR L’accesso alla rete TOR avviene per mezzo di un nodo di ingresso detto entry guard. Tale nodo è in grado di rilevare l’indirizzo IP del chiamante. A dire il vero anche il provider che fornisce la connessione Internet al chiamante è in grado di rilevare la connessione alla rete TOR e può farlo perché esiste una lista pubblica di entry guard. La lista si trova costantemente aggiornata all’indirizzo: https://check.torproject.org/torbulkexitlist L’entry guard fa poi transitare i pacchetti attraverso vari nodi intermedi (middle relay) che sono responsabili della cifratura del contenuto e hanno una visione molto limitata della rete. In pratica ciascun middle relay vede solo il nodo precedente e quello successivo. La rete dei middle relay, però, deve avere un punto di uscita (exit relay) che sarà responsabile per l’instradamento dei pacchetti verso la destinazione finale. È importante notare che il nodo exit relay è giuridicamente responsabile di eventuali azioni illecite perché direttamente visibile al nodo destinazione e dunque identificato come sorgente del traffico. Va da sé che i punti di ingresso e di uscita nella rete intermedia sono pubblici e dunque facilmente censurabili a livello nazionale. I nodi bridge servono proprio ad aggirare questo problema. In sostanza essi sono indirizzi di exit relay temporanei, non divulgati pubblicamente ma comunicati per altre vie, e configurabili solo a mano all’interno dei software di navigazione. In questo modo la navigazione è anonima. TorFlow è una mappa animata real-time che mostra tutti i relay della rete TOR ed il relativo traffico. Si trova all’indirizzo: https://torflow.uncharted.software intellisync.it
Deep Web e Dark Web Navigare nel dark web Al di là di strumenti come TOR browser, va detto che la navigazione all’interno del dark web non è intuitiva come una ricerca su Google. La ragione di ciò sta proprio nella totale assenza di indicizzazione dei contenuti e anche nei nomi di dominio che sono molto poco intellegibili. Gli URL delle risorse accessibili, infatti, sono spesso composti da sequenze di caratteri alfanumerici e sono condivisi pubblicamente su apposite directory e pagine wiki aggiornate frequente- mente. Una di queste pagine è https://thehiddenwiki.orgIn alternativa si ricorre a canali privati riservati a pochi eletti. In sostanza nel dark web si lavora sulla fiducia e per conoscenza diretta. I Contenuti del dark web Una ricerca condotta nel 2016 da Intelliag e Darksum mostra che nella sola rete TOR i siti dedicati alla condivisione di informazioni precedentemente oggetto di esfiltrazione sono intorno al 30% del totale. In quantità analoga sono i siti che mettono a disposizione file spesso con informazioni riservate. Al terzo e quarto posto della classifica redatta troviamo informazioni finanziarie e notizie. Armi e droga sono pure presenti ma in posizioni di retroguardia. FILE SHARING LEAKED DATA FINANCIAL FRAUD NEWS MEDIA PROMOTION DISCUSSION FORUM DRUGS INTERNET/COMPUTING HACKING PORNO/FETISH WEAPONS OTHER Uno dei contenuti più importanti del dark web è il CVE, ovvero Common Vulnerabilities and Exposure, un dizionario contenente tutte le vulnerabilità informatiche note. Lo si può vedere come una specie di guida per hacker con i dettagli delle vulnerabilità note di siti e reti e classificazione di complessità di un eventuale attacco. La pubblicazione del CVE risale oramai al 1999 e ha indubbiamente “aiutato” negli anni la crescita di attacchi informatici. Il dizionario CVE ha anche stimolato la nascita dei cosiddetti black market, ovvero di siti dark che hanno come che hanno come core business la vendita di informazioni sensibili oggetto di precedenti esfiltrazioni. Il black market, però, non è tutto qui. Esso infatti comprende anche pacchetti su misura pensati per attacchi alla sicurezza informatica e alla reputazione di aziende. Un esempio sono i provider di DDoS-As-a-Service che affittano infrastrutture con elevata larghezza di banda per un periodo limitato e che consentono di lanciare un attacco DDoS contro una rete aziendale. Poi vi sono anche servizi per così dire più evoluti come gli exploit zero-day per specifici sistemi e le console di comando di intere batterie di bot (botnet) in grado di inviare comandi remoti a reti precedentemente infettate da malware di tipo zombie. L’obiettivo in questo casi è di sfruttare la capacità di elaborazione dei nodi vittima e la larghezza di banda del collegamento Internet per attività quali il mining di bitcoin, l’invio massivo di email contenenti spam e phishing o il lancio di attacchi DDoS verso asset strategici. intellisync.it
Deep Web e Dark Web Quando e quanto preoccuparsi? Il dark web diventa un possibile problema nel momento in cui si subisce un attacco e una fuga di informazioni. È possibile infatti che i dati rubati finiscano in vendita o vengano addirittura resi disponibili gratuitamente. Ed è anche possibile che le vulnerabilità scoperte vengano divulgate rendendo possibile, almeno sulla carta, nuovi attacchi. Finire nel dark web è uno stato che va sotto il nome di dark web exposure. Per evitarlo non ci sono mezze misure: è necessaria una strategia di sicurezza IT che non conceda fiducia a nessuno (zero trust): familiari, amici, colleghi e dipendenti. I fattori che possono portare un’azienda sul dark web sono molteplici e tutti legati alle cause che rendono efficaci eventuali attacchi e che abbimo discusso nei precedenti capitoli. Tra essi vi è sicuramente l’errore umano ma anche il grado di sicurezza di reti e dispositivi IoT, la sicurezza intrinseca dei processi, la solerzia con cui il software in uso viene aggiornato, le tecnologie di intrusion detection e prevention adottate, i sistemi di gestione delle credenziali e delle password. Come si fa a capire se i nostri dati sono finiti nel dark web e le nostre debolezze di rete nel CVE? Non è semplice muoversi nel mondo dark alla ricerca di informazioni (anche su sé stessi) perché l’assenza di indicizzazione dei contenuti limita di gran lunga la possibilità di eseguire ricerche per parole chiave, quantomeno con la stessa naturalezza del web pubblico. Esistono però alcuni strumenti appositi che permettono di eseguire scansioni periodiche della darknet alla ricerca di informazioni per determinare il proprio grado di esposizione e il rischio in termini di brand reputation. Uno di questi strumenti è Immuni Web Radar disponibile all’indirizzo: https://www.immuniweb.com/radar Lo strumento (che è solo in parte gratuito) è raccomandato dalla divisione EC3 (European Cybercrime Centre) di EUROPOL nel report di Giugno 2020. A partire da un nome, per esempio example.com, lo strumento esegue un’analisi realisticamente completa di dark web exposure determinando il numero di citazioni e producendo una stima del rischio. Un altro strumento per il monitoraggio della propria esposizione nel dark web è Have I Been Pwned, disponibile all’indirizzo: https://haveibeenpwned.com Il tool è completamente gratuito e funziona anche come strumento di monitoraggio per il web pubblico dove comunque è possibile che finiscano disponibili informazioni riservate rubate in qualche modo. Altre utility piuttosto comode sono NotifyMe e DomainSearch. Entrambe gli strumenti previa registrazione consentono di ricevere una notifica nel caso in cui uno o più indirizzi email appartenenti ad un dato dominio finissero in un data breach pubblicato sul dark web. Le informazioni personali che è ragionevole aspettarsi di trovare esposte sul dark web comprendono cose come credenziali di accesso a servizi FTP, SSH, VNC, VPN, SMTP ma anche credenziali per sistemi corporate quali CRM, ERP, SalesForce e sistemi centralizzati di posta elettronica. Infine, credenziali che consentono l’accesso diretto a shell operative, Active Directory, file manager. intellisync.it
Deep Web e Dark Web Strategie di difesa Dall’esposizione nel dark web ci si difende applicando pedissequamente le stesse regole consigliate per difendersi da qualsivoglia attacchi informatici. Dunque tutte le buone regole di sicurezza discusse nei precedenti capitoli valgono allo stesso modo. In più, nel momento in cui ci si è scoperti in qualche modo esposti nel dark web, diventa cruciale verificare autonomamente, e a cadenza regolare, l’eventuale compromissione di macchine i cui indirizzi e le cui caratteristiche hardware/software fossero finite nel dizionario CVE classificate come vulnerabilità note. Un altro pilastro di ogni strategia di difesa dalle insidie del dark web è il monitoraggio costante della reputazione del proprio dominio email e la eventuale presenza dello stesso anche in blacklist pubbliche. Una nota blacklist è: https://mxtoolbox.com/blacklists.aspx Inoltre la configurazione di un corretto record SPF (Sender Policy Framework) in un server di posta consente di scongiurare l’uso improprio del dominio email per campagne di bulk mailing e phishing ad opera di altri server non autorizzati. Ciò unitamente alla protezione crittografica di credenziali all’interno di sistemi di rete centralizzati contribuisce a rendere meno probabile l’uso sul mercato nero del dark web di dati esfiltrati proditoriamente. È importante tenere a mente però che il dark web è solo il luogo in cui i dati rubati possono finire e venir mercanteggiati; il punto chiave di ogni strategia di sicurezza IT è non far uscire i dati dalla rete più che rincorrerli nel dark web. Come agire A conti fatti il dark web è una sorta di mercato nero di cui tutti conoscono l’esistenza e gran parte delle regole. E anche chi vi si avvicinasse per la prima volta riuscirebbe a trovare con relativa facilità linee guida ed istruzioni per muoversi. Paradossalmente tutto ciò che finisse sul dark web sarebbe più facilmente identificabile e monitorabile che se circolasse su gruppi Telegram, canali IRC e chat di varia natura. La realtà dei fatti è che il dark web è un po’ lo specchietto per le allodole, ma la vendita di informazioni esfiltrate o la semplice divulgazione avviene molto più spesso tramite reti private friend-to-friend, in modo silente e di fatto impossibile da controllare. Che fare dunque? Per banale e poco fascinoso che possa sembrare la cosa migliore è giocare secondo le regole e lasciar perdere avventurieri digitali con agganci tutti da verificare. Scoprendo i propri dati esposti in qualche modo, una cosa da fare è sicuramente la segnalazione alla divisione EC3 dell’Europol. https://www.europol.europa.eu/report-a-crime Il punto, però, è agire per evitare di dover finire a segnalar danni alla polizia postale. Anche perché, per brutale che sia, finire a far ciò è come chiudere la stalla a buoi fuggiti. Per continuare la metafora dell’allevamento bovino, ciò che si deve fare, invece, è illustrato dai seguenti sette punti: 1 ~ Montare una porta all’uscita della stalla; 2 ~ Metterci su una solida serratura; 3 ~ Tenerla oliata e in piena efficienza; 4 ~ Monitorare chi entra e chi esce; 5 ~ Stabilire percorsi e regole di entrata e uscita 6 ~ Montare un sistema di monitoraggio che verifichi costantemente la chiusura della porta 7 ~ Contare periodicamente i buoi. intellisync.it
Deep Web e Dark Web Questi sono i punti elementari di una strategia di difesa cyber-security. Dov’è il dark web in tutto questo? Non c’è. E non c’è perché le aziende possono sì doversi preoccupare della propria esposizione nel dark web ma prima di tutto dovrebbero attrezzarsi per non finirci. È piuttosto improbabile che si finisca nel dark web senza attacchi di qualche tipo e furti di dati. Al tempo stesso però proviamo a guardare la situazione dal punto di vista di un’azienda che non ha mai preso in seria considerazione la cybersecurity e che ad un certo momento decide di farlo. Da dove comincia? I sette punti da implementare sono sempre quelli, ma forse in questo caso conviene prima eseguire un passo preliminare. Per amor di metafora, è come quando si sta per comprar casa e ci si accerta che non esistano debiti con il condominio o ipoteche di qualche tipo. Fuor di metafora, una verifica di esposizione nel dark web affidata a un team esperto potrebbe dare una visione più completa dello stato dell’arte e indirizzare l’implementazione delle misure di cybersecurity. I sette punti sono tutti a carico dell’azienda e del personale interno, al limite con la supervisione di un team esterno. E lo sono perché non si tratta unicamente di faccende digitali ma potrebbero coinvolgere regole di convivenza e comportamento aziendale. Poi vi sono altri punti più ragionevolmente gestibili in outsourcing che riguardano fondamentalmente il costante monitoraggio della reputazione digitale del brand e del server di posta, la presenza di contenuti potenzialmente lesivi, segnalazioni fraudolente e anche l’esposizione sul dark web. Un servizio di questo tipo, interno o esterno che sia, è necessario per ogni azienda a prescindere dal tipo di business. La security, infatti, è un problema di business trasversale. La coscienza del problema è sempre interna; la messa in opera e il monitoraggio, invece, possono essere affidati all’esterno in modo da aver la certezza di analisi costante, notifiche immediate e conoscenza di dominio tale da gestire in prima istanza incidenti di qualsiasi tipo e ridurre al minimo errori umani e furto o perdita di dati. intellisync.it “ L’anonimato nel mondo degli uomini è meglio della fama in cielo. Jack Kerouac Scrittore americano, padre del movimento beat
Leading Digital Change intellisync.it
Puoi anche leggere