Tra le competenze di una società di sicurezza, oltre ai “normali” strumenti di protezione e alle competenze relative alle architetture di rete e infrastrutturali, c’è anche quella della cosiddetta “intelligence”. Con questo termine si intende la capacità di raccogliere, analizzare e comprendere le informazioni sulle minacce cyber, per mettere in campo le azioni corrette di prevenzione e gestione degli incidenti di sicurezza. Un’attività, quella di intelligence, che ha assunto un ruolo sempre più rilevante negli ultimi anni, anche attraverso l’istituzione di organizzazioni e progetti che facilitano lo scambio di informazioni tra gli esperti di sicurezza, organizzati in una sorta di community all’interno della quale vengono messe in comune le informazioni riguardanti le nuove vulnerabilità, le tecniche utilizzate dai pirati informatici e le strategie adottate dai cyber-criminali per portare i loro attacchi a privati e aziende. Una parte di questa attività è affidata alla condivisione di dati, informazioni e statistiche rilevate dalle società di sicurezza informatica nel corso della loro attività. La parte più suggestiva di questa continua attività di ricerca e analisi, però, si svolge in una dimensione particolare: quella che ormai comunemente è indicata come dark web.
Dal deep web al dark web: una rete nascosta
Spesso confuso con il deep web, cioè quella parte di dispositivi connessi a Internet che non vengono indicizzati dai motori di ricerca, il dark web è una sezione di Internet che, per sua natura, sfugge ai normali controlli esercitabili sul world wide web. In questo senso, il dark web è un sottoinsieme del deep web. Quest’ultimo, però, è composto da tutti quei dispositivi, come stampanti, server e simili, che per loro natura non hanno bisogno di affacciarsi “pubblicamente” sul web. Anche se il deep web ha una sua rilevanza per gli esperti di sicurezza informatica, soprattutto perché ogni dispositivo collegato a Internet rappresenta comunque una potenziale superficie d’attacco, dal punto di vista dell’attività quotidiana nella cybersecurity l’attenzione maggiore si concentra sul più affascinante (e circoscritto) dark web, che negli ultimi anni si è trasformato in una sorta di “web parallelo” in grado di sfuggire a qualsiasi controllo. Le darknet che lo compongono sono infatti accessibili solo attraverso particolari strumenti o accessi autorizzativi, che limitano la partecipazione a chi ha le conoscenze per utilizzarli.
Il circuito Tor
La darknet più conosciuta e utilizzata sfrutta Tor (The onion router), un software che adotta una struttura peer to peer (o “a cipolla”, come suggerisce il nome del circuito stesso) in grado di nascondere il reale indirizzo IP degli utenti durante la navigazione. Tor, in questa modalità, è utilizzata anche per scopi legittimi: a usarla sono infatti dissidenti, attivisti per i diritti civili e giornalisti che sfruttano il sistema di navigazione anonima per sfuggire alla censura e al tracciamento operato da regimi e dittature. Lo stesso software, però, consente di pubblicare siti all’interno di una sorta di “web parallelo”, spesso indicato con il nomignolo di onionland. I siti all’interno del dominio .onion possono essere visitati solo da chi utilizza Tor e non possono essere rintracciati attraverso i motori di ricerca come quelli che siamo abituati a usare normalmente. Per navigare nella darknet Tor, invece, è necessario muoversi attraverso un complicato sistema di collegamenti interni il cui utilizzo richiede una buona conoscenza del circuito.
Il gran bazar del cyber-crimine
Sotto questo profilo, Tor rappresenta una sorta di “privé” in cui ogni attività si svolge lontano dai riflettori e, si stima, nel 95% dei casi ha caratteristiche di illegalità. È qui che hacker, pirati informatici e cyber-criminali trovano l’ambiente più adatto per svolgere le loro attività. Sui siti e forum all’interno della darknet Tor è possibile vendere e acquistare malware, strumenti di hacking e informazioni sottratte attraverso attacchi informatici. Negli ultimi anni, infatti, il cyber-crimine si è strutturato secondo una logica commerciale che sfrutta una vera e propria filiera, composta da programmatori che mettono a disposizione il codice per i malware, professionisti nella diffusione di virus informatici e organizzazioni criminali che ne gestiscono il funzionamento o li “noleggiano” per fornire servizi sulla base di tariffari condivisi online. Ed è qui che gli esperti di sicurezza si muovono abitualmente per cercare di intercettare le informazioni che gli consentono di avere un quadro di ciò che sta succedendo (o sta per succedere) nei bassifondi di Internet.
Gli 007 del dark web
L’attività degli esperti di sicurezza che si muovono in questa dimensione alternativa può essere paragonata a quella degli agenti di polizia che agiscono sotto copertura, nel senso letterale del termine. Visti i legami sempre più stretti tra pirateria informatica e criminalità organizzata, gli specialisti che operano nell’intelligence sul dark web cercano di mantenere infatti il più stretto anonimato, ed evitano in ogni caso di esporsi eccessivamente anche nei (rari) casi in cui si concedono ai media di settore. La loro attività, oltre che rischiosa, è estremamente preziosa e spesso permette di individuare con tempestività le nuove minacce prima che emergano. Non solo: in molti casi riescono a raccogliere informazioni che consentono di prevenire attacchi specifici. Nel caso di attacchi portati a bersagli specifici, infatti, i pirati informatici sono soliti preparare il colpo attraverso un’attenta pianificazione, che prevede la raccolta di informazioni e strumenti specifici per colpire l’obiettivo designato. Attività che, se individuate tempestivamente, possono permettere di mettere in campo le contromisure necessarie a fermare l’attacco. Insomma: il ruolo dell’intelligence a livello del dark web rappresenta ormai una parte fondamentale della cybersecurity per tenere il passo o addirittura anticipare le mosse dei cyber-criminali.
