Deep Web cos’è, il Web profondo… occulto, o ancora Dark Web, il lato oscuro del web, della Rete, dove tutto accade e dove si aggirano entità quasi mitologiche e, soprattutto, poco definite per consistenza e identità. Un tempo, nemmeno troppo lontano, la situazione era un po’ questa, a cavallo tra leggenda e fascinosa goliardata. Oggi la machera del Web oscuro è ormai gettata e i contorni del fenomeno sono molto più definiti ma, non per questo, più rassicuranti… anzi.
Una cosa è certa però, a prescindere da ogni discorso, nell’anno dei danni devastanti arrecati da Wannacry, dal redivivo Criptolocker e delle cyber guerre come sfondo sempre più strategico di gran parte delle tensioni internazionali, ogni tipo di discorso, strategia, idea di sviluppare business intorno alla security può e deve passare dall’analisi del fenomeno Deep Web e Dark Web e del Deep Web cos’è.
Anche e soprattutto per questo nasce il report che segue. Una guida, “viva” sul Deep Web cos’è, che sarà alimentata strada facendo dalla redazione di Digital4Trade ma soprattutto, dai contributi critici e dagli aggiornamenti dei nostri lettori e dei massimi esperti di sicurezza in Italia e in Europa. daknet
Indice degli argomenti
Cos’è il Deep Web (in cui si trova il Dark Web)
Intanto una definizione di massima deep web cos’è che, come spesso accade, ci è utile per sfrondare il campo da malintesi e fraintendimenti e per capire meglio il mondo della cybersecurity.
A fornircela è Pierluigi Paganini, tra i massimi esperti di sicurezza IT a livello internazionale, collaboratore del Clusit e Collaboratore SIPAF – Prevenzione dell’utilizzo del sistema finanziario per fini illegali – Ministero dell’Economia e delle Finanze
«Negli ultimi anni – spiega Paganini proprio in una delle ultime versioni del rapporto Clusit sulla sicurezza – si sente sempre più spesso parlare di Deep Web e Dark Web, termini spesso abusati e confusi e di consueto associati ad attività criminali. Con il termine Deep Web si indica l’insieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es. Google, Bing), mentre con il termine Dark Web si indica l’insieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP è nascosto, ma ai quali chiunque può accedere purché ne conosca l’indirizzo. Elementi appartenenti al Dark Web sono anche i contenuti privati scambiati tra utenti all’interno di un network chiuso di computer, strutture definite come darknet».
Come entrare nel deep web: le darknet (cosa sono)
Detto delle darknet cosa sono (network chiuso di computer presenti all’interno del Dark Web) vale la pena di capire quali sono e come funzionano. «Tra le darknet più popolari – spiega ancora Paganini – annoveriamo la rete TOR (The Onion Router), The Invisible Internet, Project (I2P), Freenet ed anoNet. Senza dubbio la rete Tor è la più popolare tra esse, tale infrastruttura consente di anonimizzare l’accesso a internet dei suoi utenti e proprio le condizioni di pseudo-anonimato che essa offre la rendono un elemento di attrattiva per organizzazioni dedite al crimine informatico.
Altri elementi che rendono la rete TOR popolare nell’ecosistema criminale sono la difficoltà delle forze dell’ordine a svolgere operazioni di monitoraggio su larga scala e la funzione di aggregatore che si riconosce ai principali black market che la rete ospita.
Quanto è grande il deep web?
Le dimensioni sono come sempre oggetto di dibattiti accesi ma alcuni numeri, orami conosciuti, sono sempre di un certo effetto. Secondo i principali esperti di sicurezza mondiale il “Surface Web”, ovvero la rete visibile e che ha contenuto che può essere trovato utilizzando motori di ricerca come Google o Yahoo, e soprattutto è sotto costante sorveglianza da parte dei governi, rappresenta il 4% dei contenuti del world wide web. Il Deep Web cos’è invece? Conosciuto come “Invisible Web”, ed è, come detto, il contenuto che non può essere indicizzato dai motori di ricerca rappresenta il 96% dei contenuti del WWW. Le dimensioni sono dunque 500 volte quelle del Surface Web. Qui comunque una bella infografica, a cura degli esperti di Whoishostingthis in cui è possibile trovare una mappa di massima di tutto quello che c’è da sapere sul Deep Web e sul Dark Web
Tor browser: il modo più efficace per accedere al Deep Web con Darknet da record e come si entra
Come detto esistono molte tipologie di Darknet, la più popolare delle quali è senza dubbio la rete TOR ed è per questo motivo che analizzeremo i principali fenomeni che l’hanno caratterizzata negli ultimi tempi.
Prima di partire però, come nel caso del Deep Web vale la pena di soffermarsi su una definizione di massima e soprattutto su un focus su Tor come funziona e Tor browser come si entra.
Come scaricare e installare TOR Browser, cos’è e come funziona
Come detto Tor è acronimo di The Onion Router e si tratta di un applicativo che consente di navigare sul web in totale anonimato. Alla base di Tor Browser c’è una versione “particolare” di Mozilla Firefox impacchettata in modo tale da non rilasciare informazioni personali in Rete, durante la navigazione.
Uno strumento che, proprio per tale caratteristica viene molto sfruttato dal crimine organizzato con, ancora, grande “successo” come confermato di recente, all’Agi, dal maggiore della direzione centrale per i Servizi antidroga, Giuseppe Grimaldi «Le possibilità di essere scoperti sono ridotte. Non a caso, uno zero-day (vulnerabilità software di cui lo sviluppatore non è ancora a conoscenza e che gli hacker sfruttano per “attaccare”) in grado di controllare la rete Tor, può essere pagato anche un milione di dollari». Tornando comunque a Tor, il software è disponibile per Windows, Mac OS X e Linux presso questo indirizzo ufficiale dove per accedere basta cliccare su Start Tor Browser.
Deep Web e Tor Browser come si usa
Sarà Tor Browser, da questo momento in avanti, a occuparsi dell’aggiornamento di Firefox (evitando attacchi di siti malevoli) e a gestire il collegamento alla rete Tor e ai cosiddetti “Onion Routers”. Una volta “scaricato” e avviato il software, nella barra degli strumenti di navigazione, comparirà infatti un pulsante/icona inconfondibilmente a forma di Cipolla
Dopo aver avviato Tor Browser, infatti, si noterà la presenza di un piccolo pulsante, nella barra degli strumenti, raffigurante l’icona di Tor (una cipolla).
L’icona a cipolla deriva dal nome e soprattutto dal funzionamento “a cipolla” della rete dove i dati di passaggio vengono crittografati su più livelli diventando invisibili se non per chi li trasmette e riceve. Anche per questo Tor Browser impedisce di utilizzare ogni tipo di plugin, compreso Flash. Associarlo a Tor Browser vorrebbe infatti dire dare informazioni sulla propria identità al server remoto visitato.
Altro consiglio pratico fornito da più siti di riferimento è quello di non utilizzare Google per effettuare ricerche. Il consiglio è quello di utilizzare StartPage (che è anche il motore di ricerca che parte in automatico una volta avviato Tor browser) o in alternativa DuckDuckGo.
Deep Web pericoli, Tor Browser, darknet e dark web chi li usa e cosa cerca
Detto, a puro scopo informativo, di cosa è, come funziona e di come si accede al Deep Web, vale ora la pena di capire chi utilizza oggi questi sistemi e di che tipo di mercato sia collegato ad un simile fenomeno. Un aiuto in questo senso arriva ancora una volta dal Clusit che ha recentemente sviluppato una interessante analisi del fenomeno Tor.
«Non esiste – spiegano dal Clusit – una vera e propria tipologia di utente in quanto la popolare rete Tor è frequentata da attori diversi e per motivazioni distinte. Una analisi dei contenuti consente la facile verifica della presenza di gruppi di criminali, hacktivist, script kiddies, giornalisti, dissidenti, terroristi e molto probabilmente agenzie di intelligence.
Dopo una rapida perlustrazione di questa parte del web è facile rendersi conto che la maggior parte delle transazioni che sono effettuate nei principali black market sono relative alla vendita di sostanze stupefacenti e a servizi/prodotti per la realizzazione di frodi finanziarie».
Per quanto concerne i reati perpetrati attraverso lo strumento informatico, attività illegali che di recente l’Interpol ha raggruppato nelle seguenti categorie:
- Attacchi informativi contro sistemi hardware e software
- Crimini finanziari
- Pedo pornografia
Le darknet offrono ogni genere di servizio e prodotto per agevolare le pratiche illegali citate. «Il dark web – spiegano dal Clusit – è un luogo particolarmente interessante per le comunità di sviluppatori di malware e per i loro clienti. Nel molti black market che vi risiedono è molto semplice reperire codici malevoli e servizi utili alla personalizzazione e distribuzione di malware. Le Darknet sono utilizzate dagli sviluppatori di malware per celare le strutture di comando e controllo delle botnet e renderle resistenti alle operazioni delle forze dell’ordine. I Command & Control server occultati in reti come Tor ed I2P risultano di difficile individuazione, garantendo maggiori possibilità di successo ai gestori delle botnet».
Deep Web, Dark Web, un mercato fiorente
Critroni, Cryptowall, Vawtrak e Dyre sono solo alcuni esempi di malware che hanno occultato i C&C server nelle reti Tor ed I2P. Nell’underground criminale è facile trovare kit per lo sviluppo di malware, nel Maggio 2015 gli esperti dell’azienda di sicurezza McAfee hanno scoperto una piattaforma per la creazione di ransomware denominata Tox.
Per darvi un’idea dei servizi e dei relativi prezzi si pensi che per acquistare un malware è possibile spendere da poche decine fino a qualche migliaio di dollari per un servizio di personalizzazione completa di un codice malevolo.
Deep Web cosa si trova, Dark Web i servizi in vendita
Le Darknet offrono comunque molto altro. «È infatti possibile fruire di numerosi servizi accessori, quali servizi di crypting e servizi di distribuzione del malware – racconta ancora il Clusit -. I servizi di cripting (Crypting services) sono essenziali per nascondere le principali componenti di un codice malevolo ai principali sistemi di sicurezza. Per fruire di tali servizi è sufficiente inviare il codice del malware a un servizio che provvede ad offuscarne le parti di interesse rendendone difficile l’analisi. Secondo dati forniti da Trend Micro nell’ecosistema criminale russo è possibile spendere dagli 80 ai 130 dollari per mille istallazioni di malware su macchine europee». A preoccupare maggiormente le forze dell’ordine e l’Europol è la diffusione di servizi di malware-as-a-service in cui gli utenti pagano per avere una propria versione di un codice malevolo. A farla da padrone nel 2015 sono stati i ransomware, software in grado di bloccare l’accesso alle risorse di un computer (ad es. file utente) fino al pagamento di una somma di denaro da parte delle vittime. (qui lo speciale per sapere ransomware cos’è) Tanto per citare un esempio, gli esperti dell’azienda Sensecy hanno scoperto la piattaforma ORX-Locker che consentiva ai propri utenti di creare il proprio ransomware in soli tre passi.
Dark Web: Black Market cosa sono e cosa si vende su siti come SILK ROAD
A questo punto dell’analisi, dopo averli citati più volte vale anche la pensa di focalizzarsi sui Black Market cosa sono e come funzionano.
Si tratta infatti dei luoghi in cui gli utenti possono acquistare prodotti e servizi nel Deep web. Luoghi su cui gli esperti del Clusit sono al lavoro da tempo.
«Rappresentando tali ambienti con una struttura piramidale – spiega ancora Pierluigi Paganini -, avremo al vertice figure con elevate competenze informatiche: questi operatori amministrano il sistema e ne gestiscono
I proventi del Deep Web
i proventi. Nella parte intermedia troviamo i broker e i venditori, ovvero coloro che utilizzano le piattaforme per proporre servizi di varia natura, dal noleggio di botnet a servizi di spamming. Non sempre questi operatori hanno skill elevati, tuttavia è facile imbattersi in professionisti che accanto a spiccate capacità informatiche hanno competenze di mercato che usano per proporre al meglio i propri prodotti o agendo da broker per terze parti.
Alla base della piramide, ma non per questo meno importante, troviamo i “mules”, ovvero quelle figure che consentono di “convertire” le attività illegali in denaro (cash out), ad esempio attraverso attività di riciclaggio. Queste figure spesso non sono dotate di capacità tecniche, a loro sono assegnati compiti per convertire i proventi dell’attività illegale in danaro, ad esempio fisicamente acquistare merce con carte clonate oppure effettuare bonifici verso conti gestiti dai criminali trattenendo per sè una piccola quota delle somme loro versate».
Mercato nero: armi, droga e rock n roll
«Tra gli studi italiani di maggiore interesse nell’analisi dei black market pubblicati vi è senza dubbio l’analisi presente nell’annuale Rapporto statistico sulle frodi con le carte di pagamento No. 5/2015 prodotto dall’Ufficio Centrale Antifrode dei Mezzi di Pagamento (UCAMP) – racconta il Clusit -. Il rapporto include un’approfondita analisi sulle attività fraudolente attraverso il Dark Web. Gli esperti hanno osservato i principali black market, monitorando i cambiamenti nelle offerte di prodotti e servizi per un’ampia gamma di attività illegali relative alle frodi con carte di pagamento. Si è potuto constatare che il prezzo dei dati delle carte di credito è andato riducendosi nel tempo. Tale flessione è imputabile alla grande disponibilità di dati relativi a carte di pagamento sottratti nel corso dei numerosi attacchi osservati nei mesi precedenti. Alla stesura del presente rapporto i principali black marker attivi in rete TOR erano i seguenti. Gli esperti del gruppo di lavoro hanno constatato la possibilità di acquistare prodotti relativi alle frodi con carte di pagamento ai prezzi riportati nella tabella seguente. I prezzi sono riferiti a pezzi singoli e sono indicativi essendo le quotazioni variabili e funzione del volume di dati che si intende acquistare, dalla provenienza geografia, dall’importo minimo garantito e dalla data di scadenza delle carte di pagamento».
Di seguito alcuni esempi relativi all’offerta delle principali comunità di hacker nelle darknet
- Un record contenente informazioni personali di un utente (PII record) è venduto a $1. (Fonte: Trend Micro).
- Account PayPal ed eBay sono acquistabili a partire da $300 (Fonte: Trend Micro).
- Account per online banking sono venduti a prezzi compresi tra $200 e $500 in funzione del saldo contabile e della relativa storia.
- Le scansioni di documenti di identità e patenti sono acquistabili per una cifra compresa tra i $10 ed i $35 (Fonte: Trend Micro).
- Documenti contraffatti costano dai $200 ai $1000, mentre una falsa patente americanapuò essere acquistata ad una cifra di $100-$150.
- Hackerare un account Facebook, Twitter o di altre piattaforme di social networking può costare dai $50 ai $200 dollari.
- Un Remote Access Trojan costa dai $150 ai $400.
- Il codice sorgente di un malware bancario con annessa personalizzazione è offerto per una cifra dai $900 ai $1500.
- Noleggio di una botnet per un attacco di un DDoS di circa 24 ore può arrivare a costare fino a $1500.
È lecito chiedersi a questo punto quale sia il volume di affari dell’ecosistema criminale che stiamo analizzando, un gruppo di esperti ha studiato i 35 principali black market verificando che essi riescono a gestire transazioni per un ammontare che oscilla dai $300,000 ai $500,000 al giorno.
Circa il 70% di tutti i venditori si limita alla vendita di prodotti per un ammontare complessivo inferiore ai 1.000 dollari, un altro 18% dei venditori realizza vendite tra i $ 1.000 e $ 10.000, solo il 2% dei produttori è riuscito a vendere più di $ 100.000.
Ci troviamo dinanzi ad una economia in espansione, considerando che il popolare black market Silk Road nel 2012 aveva un giro di affari annuo di circa 22 milioni di dollari (Studio Carnegie Mellon 2012).
Cos’è il Dark Web e cosa si trova: tra terrorismo e pedopornografia
Detto dei crimini informatici e dello “spaccio” di malware e ransomware è impossibile parlare di Deep web e Dark Web senza citare le due piaghe maggiori, con ogni probabilità: ovvero terrorismo e pedopornografia.
Molti siti del dark web sono infatti utilizzati da membri di organizzazioni come l’ISIS e Al Qaeda per attività di propaganda, tali siti vengono utilizzati per condividere video e immagini relative alle attività dei gruppi radicali, come spiega il Clusit che ha sviluppato una ricerca ad hoc.
Il Dark Web, come abbiamo visto, è un ambiente difficile da monitorare per ammissione stessa degli esponenti delle agenzie di intelligence e delle forze dell’ordine, è naturale quindi che cellule terroristiche lo utilizzino per le proprie attività. «Alcuni hidden service – spiegano dal Clusit – presenti nella rete TOR sono stati utilizzati come repositori degli eseguibili di mobile app utilizzate da gruppi jihadisti per comunicazioni sicure. Abbiamo notizia di alcuni siti utilizzati per condividere indirizzi Bitcoin per la raccolta di fondi per finanziare attività delle cellule operative in occidente. In rete è reperibile il testo “Bitcoin wa Sadaqat al Jihad” che spiega come acquistare armi nel dark web per azioni terroristiche. Le darknet sono state anche utilizzate per diffondere un manuale, intitolato “How to Tweet Safely Without Giving out Your Location to NSA.” Che istruisce i militanti dell’ISIS a eludere le attività di sorveglianza operate dalle agenzie di intelligence occidentali».
L’anonimato di queste reti offre un ambiente ideale anche per i crimini pedopornografici purtroppo. Una ricerca condotta da Trend Micro ha infatti dimostrato che proprio il materiale pedo pornografico presente nelle darknet rappresenta una porzione significativa del contenuto complessivo di queste reti.
Gli esperti hanno condotto un singolare esperimento, una volta identificate 8,707 pagine “sospette” in rete hanno analizzato i link contenuti in queste pagine e che referenziavano contenuti nelle darknet. I contenuti dei siti web presenti nel dark web sono risultati i seguenti:
- Siti utilizzati per la distribuzione di malware (drive-by download) (33.7%).
- Siti per anonimizzare la navigazione in rete (31.7%).
- Siti contenenti materiale Pedopornografico (26%).
I risultati, seppur condotti su un campione non rappresentativo, lasciano poco spazio ai dubbi, le darknet sono un ambiente familiare per criminali e pedofili.
Tor deep web e siti deep web, tor hacker «non hanno bucato il deep web» la voce di Matteo Flora
Nelle ultime ore si sono inseguite news e voci sulla possbilità che alcuni gruppi di hacker fossero riusciti finalmente a “bucare” Tor Browser e dunque i “siti deep web”. In realtà non è proprio cosi e un punto prezioso della situazione ci viene fornito da uno dei massimi esperti di sicurezza e reputation online in Italia, Matteo Flora, Ceo di The Fool
Ecco perchè Anonymous ha colpito Governo e istituzioni italiane
Detto del Deep web cos’è in tutte le sue declinazioni, ecco che vale la pena studiarne i protagonisti. Come Anonymous il famoso collettivo di hacker che proprio in questi giorni ha gettato nel panico le massime cariche dello Stato italiano sferrando un attacco senza precedenti proprio alle nostre istituzioni. Qui comunque lo speciale per sapere perchè e come Anonymous ha attaccato l’Italia
I perchè del legame Bitcoin / Dark Web
Sicuramente per anni i Bitcoin, la più celebre delle criptovalute, sono stati profondamente legati al Deep Web. Anzi, si può dire Bitcoin sono infatti tuttora il metodo di pagamento più utilizzato nel Deep Web, per tutta una serie di ragioni che hanno a che fare con le caratteristiche stesse della criptovaluta e che abbiamo cercato di raccontare in questo articolo.
Cosa si acquista sul Deep Web? E sul Dark web?
Ma in linea di massima che cosa si acquista sul Deep Web? Le richieste maggiori riguardano prodotti farmaceutici, droghe pesanti e leggere, su tutte la cannabis. Lo rivela lo studio “Below the Surface: exploring the Deep Web”condotto da Trend Micro. Da questo lavoro è emerso che le merci che vengono più scambiate nel Deep Web sono, al primo posto, come detto, la cannabis seguita da psicofarmaci quali il Ritalin e lo Xanax e a seguire le droghe pesanti come l’MDMA, l’LSD, le metanfetamine, l’eroina per finire con i videogiochi piratati e gli account online.
Dark Web e Deep Web: non solo illegalità
Accedere al Deep Web, di per sè, non è illegale. Illegale può essere il contenuto del sito, non l’accesso. Nel Deep Web e Dark Web si trovano, infatti, anche molte informazioni e siti utili. E assolutamente legali. Siti che riportano archivi di informazioni, spesso associati a istituti di ricerca, che mettono a disposizione documenti di valore scientifico altrimenti accessibili solo per addetti ai lavori e ad alto costo. Anche la musica trova spazio nel Deep Web, e alcuni utenti appassionati hanno creato degli stream audio ad accesso gratuito. Ma Deep Web uò essere anche sinonimo di sicurezza. Pare un ossimoro, ma se si vuole fruire di un servizio di posta elettronica super-sicuro, lo si può fare attraverso Onion, accedendo a Proton Mail, un servizio svizzero di posta elettronica.
La maxi operazione internazionale contro il Dark Web
La pericolosità del Dark Web è testimoniata da una recente operazione di polizia internazionale, che ha portato alla scoperta di un’organizzazione criminale che aveva accumulato oltre 530 milioni di dollari operando su uno dei classici business del settore, vale a dire la clonazione delle carte di credito . I criminali acquisivano codici bancari attraverso tecniche di hacking, poi l’organizzazione gestiva la compravendita di migliaia di carte di credito rubate e clonate, di codici di verifica (CVV) per carte on line, di codici di accesso a servizi di home-banking. Tutto questo era possibile grazie al’anonimato offerto proprio dal Dark Web, in particolare attraverso l´utilizzo di “Liberty Reserve”, nota piattaforma di scambio di cryptomonete virtuali in passato utilizzata da malviventi di tutto il mondo per attivi.
Una maggiore visibilità sulle nuove minacce che arrivano dal Deep Web
Come è possibile allora difendersi dalle minacce del cybercrime, perennemente in agguato sul Deep Web? Occorrerebbe avere una completa visibilità su quello che succede nel Deep Web e Dark Web, in particolare su quelle nuove e non conosciute, ma le tradizionali difese informatiche sono progettate per proteggere i beni all’interno della rete di un’organizzazione. D’altra parte, mettersi a ricercare autonomamente informazioni su potenziali nuovi minacce presenti nella parte oscura del Web rischia di essere troppo oneroso, anche per le organizzazioni di maggiori dimensioni. Sul mercato si stanno perciò affermando nuove soluzioni come FireEye Digital Monitoring, che sono in grado di raccogliere automaticamente i contenuti sul dark e sull’open web, allertando i difensori ogni volta che viene rilevata una potenziale minaccia. Conoscendo tempestivamente le minacce, le organizzazioni hanno la possibilità di identificare più efficacemente le violazioni, le esposizioni e le minacce digitali prima che queste si aggravino, senza aggiungere complessità operativa al lavoro dei team di sicurezza.