Dark web: cos’è e come evitarne i trabocchetti

pittogramma Zerouno

Prospettive

Dark web: cos’è e come evitarne i trabocchetti

Gran parte di Internet, non accessibile con tradizionali motori di ricerca, racchiude anche mercati neri illegali dove, fra l’altro, prosperano i cybecriminali che possono utilizzare informazioni riservate e credenziali di imprese senza che queste ne siano consapevoli. Nell’articolo che segue cerchiamo di fare chiarezza sui meccanismi che regolano questi black market e dare qualche indicazione di prevenzione, anche con il contributo di esperti che hanno partecipato a NetEvent 2019 di San Josè, California

23 Dic 2019

di Elisabetta Bevilacqua

C’è una parte di Internet normalmente non accessibile, descritta con la metafora dell’iceberg, a significare che solo una piccola parte emerge ed è visibile, mentre la gran parte è sott’acqua. Parliamo in questo caso di deep web, ossia la parte non indicizzata dai motori di ricerca classici, che contiene a sua volta un settore dove sono presenti attività criminali e mercati illegali, il cosiddetto dark web.

1 Dark web

Gli esperti considerano i termini deep web e dark web ingannevoli. Infatti, visitare il dark web non è di per sé illegale né implica effettuare azioni criminali, servono solo strumenti adatti, i browser speciali, detti darknet, come TOR (che sta per The Onion Router), I2P e Freenet, che di fatto consentono la navigazione anonima. Secondo Nicolas Christin, professore alla Carnegie Mellon University, uno dei conoscitori più esperti sul tema, il dark web designa semplicemente tutte quelle pagine che non possono essere trovate dai motori di ricerca e gran parte del deep web non ha niente di malevolo. Viene ad esempio utilizzato da persone che vivono sotto regimi totalitari e non hanno libero accesso a Internet, come dimostra il fatto che la BBC abbia creato una pagina sul dark web per consentire l’accesso a chiunque nel mondo.
In una piccola parte del dark web sono però presenti i dark market, dei veri e propri portali e-commerce dove si trova di tutto: droghe, armi, killer, gioielli, film pedopornografici, dati trafugati, credenziali aziendali e bancarie…

Quanto vale il mercato dei black market?

Armi, droga, gioielli, ma anche psicofarmaci, droga e carte di credito clonate erano ad esempio vendute su Berlusconi market (nessuna relazione con il politico italiano se non il nome) sgominato nel novembre 2019 e che rappresentava il quarto più grande sito di ecommerce illegale, dopo Silk Road, Alpha Bay e Hansa Market, tutti chiusi, ma probabilmente già rimpiazzati.
È tuttavia praticamente impossibile avere informazioni certe sui mercati ancora attivi. L’Economist aveva pubblicato nel 2016 i dati relativi a 1,5 terabytes di informazioni per circa 360mila vendite fra dicembre 2013 e luglio 2015 su dark market come Agora, Evolution e Silk Road 2, per un totale di circa 50 milioni di dollari di transazioni. Per ciascuna operazione si sa cosa è stato venduto, importo, modalità di consegna, prezzo in bitcoin. Christin, in uno studio ha provato a misurare il business di Silk Road, mercato specializzato nella vendita di droghe online, chiuso nel 2014 da FBI. In otto mesi di indagine ha calcolato un fatturato di circa 1,2 milioni di dollari al mese, con commissioni di 92mila dollari per i gestori del market.

Nel dark web le nostre credenziali e molto altro

In questo articolo ci focalizzeremo soprattutto sulle attività legate alla cybercriminalità e sulle informazioni e dati sensibili esposti sui dark market che vengono al secondo posto per volume, secondo le stime, dopo il commercio di droghe.
Raramente le imprese sono consapevoli che le loro credenziali e altre informazioni aziendali riservate sono presenti nel dark web: “Quando mostriamo le loro informazioni presenti nel dark web, le imprese sono quasi sempre sorprese. Solo un numero sorprendentemente piccolo è consapevole che loro credenziali sono effettivamente là fuori; credo che questo sia un grande problema”, ha dichiarato, in occasione della sua presentazione a NetEvents 2019 di San Josè, l’esperto di fama internazionale Ted Ross CEO & Founder, SpyCloud.
Come vedremo in seguito, gli investigatori che danno la caccia a organizzazioni criminali o indagano per limitare i danni di eventuali data breach devono frequentare la parte più oscura del dark web. Qui si trovano progetti industriali, ricerche di mercato, email più o meno compromettenti, grandi quantità di documenti riservati, credenziali di accesso a reti e server aziendali, password, numeri di carte di credito ….
Quando avvengono violazioni di un database, non necessariamente gli autori utilizzano direttamente i dati per sottrarre denaro, ma li passano (ovviamente non in modo gratuito) ad altri criminali specializzati a realizzare guadagni più o meno immediati. Come ha ricordato Jan Guldentops, hacker white hat, in occasione del citato NetEvents, un bravo hacker si nasconde e di aggira nei meandri dell’azienda anche per diversi anni.
Ross ha spiegato come operano i criminali a partire dal momento zero, quando avviene il data breach o le credenziali vengono sottratte. Spesso basta una singola password di un dipendente, anche privata, per accedere, dopo sofisticate elaborazioni, ai dati critici aziendali. Dal momento zero a circa 500 giorni le credenziali e le password vengono condivise prima con un numero ristretto di individui che cercano di monetizzare le informazioni, ad esempio cercando di accedere all’azienda attraverso un botnet o attraverso altri sistemi (come Purple Spray, che cerca con migliaia di variazioni della password sottratta) finché non riescono ad accedere senza che nessuno se ne accorga.
Nel dibattito nel corso della tavola rotonda di NetEvents 2019 è emerso che l’obiettivo principale è monetizzare le informazioni e che il meccanismo più comune è trasferire soldi in un conto per poi trasferirli rapidamente in molte altre banche, in modo che si possano praticamente riciclare, spostandoli più velocemente degli investigatori. Ci sono casi di conti per fondi pensione svuotati gradualmente in diversi mesi senza che nessuno se ne accorgesse.
“Si ha a che fare con reti internazionali presenti in più continenti con un fantastico coordinamento per sfruttare tutte le possibili vulnerabilità”, ha commentato Ross.
Quando, dopo circa 500 giorni, i criminali finiscono di monetizzare, le informazioni sottratte filtrano in un qualche forum del dark web. “Mentre all’inizio era a disposizione di un team di attori super-sofisticati, ora la potranno utilizzare centinaia di criminali e truffatori”, ha sottolineato Ross.

1 dark web

Solo il 10% degli attacchi è targettizzato, ma da questi deriva l’80% delle perdite, contro il 20% che deriva dagli attacchi generici, come ha calcolato una grande istituzione finanziaria, cliente di SpyCloud.
Quando le credenziali arrivano sul dark web è ormai troppo tardi per correre ai ripari, visto che sono già state utilizzate per la maggior parte del tempo da attori sofisticati che ne hanno tratto il massimo beneficio. È dunque indispensabile scoprire cosa è stato sottratto prima che i criminali agiscano, nelle prime ore dopo il breach.

Alla ricerca dei dati sottratti: il procedimento di indagine

Gli investigatori, generalmente incaricati dall’azienda che ha scoperto di esser stata vittima di una violazione informatica, scavano nel dark web per cercare tracce facendo una ricerca su parole chiave come il nome di un prodotto, di un servizio e le email dei dipendenti. Se non trova niente, l’investigatore, sotto falsa identità, chiede se qualcuno abbia dei dati utili sull’azienda che l’ha incaricato, tenendo conto del rischio che criminali sfruttino l’interesse manifestato per organizzare truffe e vendere dati o credenziali falsi riconducibili all’azienda. In ogni caso, spesso non si trova niente perché, come già accennato, soprattutto se il furto è stato su commissione, può passare molto tempo prima che le informazioni arrivino sul dark web che va però continuamente monitorato.
Thomas Edwards, U.S. Secret Service ha sottolineato che la sua organizzazione viene generalmente coinvolta dall’azienda vittima della violazione per valutare il danno effettivo, seguendo le linee guida per l’accusa ai fini dei successivi provvedimenti penali, ma lavora con l’impresa anche per rimediare al danno, sistemare le reti e fermare l’emorragia: “Il problema è che si può monetizzare il valore di una carta di credito o di un bonifico ma non si conosce il valore delle credenziali sul dark web né quanto costerà all’impresa riparare le perdite. Accade così che costi che possono arrivare a milioni di dollari non vengono tenuti in considerazione quando si procede in giudizio”.
Il problema è che le stesse aziende non hanno idea dei danni causati dalle violazioni.
Gli investigatori come Ross cercano di interagire con i criminali e recuperare i dati rubati poche ore dopo il data breach: “In questo caso analizziamo i dati, li rielaboriamo per renderli comprensibili e li passiamo all’azienda a cui sono stati sottratti in modo che possa correre ai ripari, rimovendo ad esempio le password dalla rotazione e cambiarle prima che i criminali agiscano”, ha spiegato.

WEBINAR - Deep e Dark Web: nulla sfugge agli specialisti (in outsourcing) della Cyber Security

Il miglior rimedio è la prevenzione

Visti i danni e le difficoltà che derivano dalla sottrazione fraudolenta di dati e credenziali sarebbe saggio investire nella prevenzione. L’indicazione di Ross è il modello zero trust. “Per me, significa che se ho un dispositivo in mano, posso fidarmi solo delle cose che sto trasmettendo da quel dispositivo, il che significa che non mi fido della rete a cui sono collegato; anche se sono al lavoro, non mi fido di tutto ciò che ricevo, e-mail o SMS, di mia moglie, del mio consiglio di amministrazione o dei miei collaboratori. Sembra che sia una posizione molto difficile in cui operare, ma se ti sforzi per un modello a fiducia zero sarai più sicuro”.
Realizzare però un modello di sicurezza assoluto è impossibile. “Il problema numero uno è che la sicurezza si può testare la solo in modo negativo; il numero due è che, a mio parere, le organizzazioni non sono ancora sufficientemente mature sulla sicurezza”, ha aggiunto.
Secondo Guldentops il cloud potrebbe rappresentare un passo in avanti “I dispositivi IoT sono molto probabilmente meglio controllati da qualche azienda che ha una presenza in cloud – esemplifica – Le aziende devono infatti fare i conti con la carenza di competenze, il turnover, il fatto che non si possono patchare tutti i server e molti altre criticità. Ma non appena si sposta tutto ciò nel cloud, diventa responsabilità del provider cloud”. Concorda Edwards, sostenendo che ci sarà sempre un errore umano nel modo in cui le persone configurano le loro reti e i loro dispositivi, anche se lentamente la barriera all’ingresso del crimine organizzato sta diventando leggermente più alta di tre anni fa: “Forse stiamo vincendo una battaglia e non la guerra, ma è importante alzare le barriere all’ingresso”, conclude con un messaggio di ottimismo.

2 DarkWeb
Da sinistra: Jan Guldentops, Thomas Edwards, Ted Ross

Elisabetta Bevilacqua

Giornalista

Sono attiva dal 1989 nel giornalismo hi-tech, dopo esperienze in uffici studi di grandi gruppi e di formazione nel settore dell’informatica e, più recentemente, di supporto alle startup. Collaboro dal 1995 con ZeroUno e attualmente mi occupo soprattutto di trasformazione digitale e Industry 4.0, open innovation e collaborazione fra imprese e startup, smart city, sicurezza informatica, nuove competenze.

Argomenti trattati

Approfondimenti

B
Bitcoin
H
hacker
Dark web: cos’è e come evitarne i trabocchetti

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4