La convinzione comune è che Deep e Dark Web, nella loro virtualità, siano ambienti loschi e inquietanti. Spazi e portali a cui si accede tramite interfacce e layout incomprensibili, vere e proprie controparti digitali di covi nascosti, dove i cyber criminali, rigorosamente col cappuccio della felpa calato sugli occhi, possono agire indisturbati.
La realtà è che Deep e Dark Web somigliano all’Internet che conosciamo e che frequentiamo quotidianamente molto più di quanto si possa immaginare.
Gli aggettivi Deep e Dark, nonostante suggeriscano qualcosa di cupo, alludono infatti al semplice fatto che questo tipo di reti esiste a livelli più profondi – e quindi meno visibili – degli strati su cui si trovano le piattaforme social, i forum e i marketplace normalmente indicizzati dai motori di ricerca.
Tutto sommato, però, non sono così dissimili in termini di aspetto e user experience dalle app di largo consumo.
Ciò che cambia, invece, è che proprio in virtù della loro diversa logica di accesso diventano i luoghi in cui è possibile, per chi è alla ricerca di informazioni e strumenti utili a bucare i sistemi informatici, fare buoni affari lontano da occhi indiscreti.
Indice degli argomenti
Il lavoro dell’ethical hacker nei livelli nascosti del Web
Ogni giorno, ethical hacker ed esperti di cybersecurity entrano sotto copertura nel Deep e nel Dark Web per monitorare la situazione e indagare sull’evoluzione delle iniziative potenzialmente più pericolose, svolgendo per i propri committenti attività di threat intelligence, specie per quanto riguarda il tema delle identità digitali, una delle merci di maggior valore nel mondo del cyber crime.
Roberto Veca, Head of Cyber Security di Cyberoo, tra i suoi impegni, ha anche quello di addentrarsi in questi spazi e coordinare un team di collaboratori che ogni giorno esplorano forum e marketplace clandestini per scoprire quali soluzioni e quali informazioni sono richieste, cercate e vendute.
“È un lavoro ormai indispensabile. Di solito le aziende – anche quelle con una buona cultura in termini di cyber security – ignorano il sottobosco del Web, e soprattutto non hanno idea che molte informazioni che le riguardano, direttamente e indirettamente, vengono offerte e scambiate in questi ambienti”, spiega Veca.
“Nel Dark Web si trova letteralmente di tutto: ci sono thread che ospitano conversazioni in cui c’è chi si offre di andare a costruire dataset e dossier su organizzazioni e persone specifiche. Il grado di preparazione del target non conta, anzi a volte più è skillato, più diventa ambito. Basti pensare che persino Cyberoo è stata nel mirino di alcuni attaccanti, proprio perché azienda di cyber security. Abbiamo scoperto che in vista della quotazione, avvenuta il 7 ottobre 2019, un gruppo di criminali si proponeva in un forum di violarci, offendo un resoconto dei top vip aziendali, a cui era stata assegnata, per ciascuno, una percentuale di probabile compromissione dei loro account. Nessuno, per fortuna, ha raccolto l’offerta, ma noi siamo qui a poterlo raccontare solo perché eravamo lì a monitorarli”.
Il Dark Web e la compravendita di identità digitali
Veca sottolinea quanto i vip aziendali siano interessanti per gli attaccanti. “Gli alti dirigenti e i membri del board, spesso, sono tecnologicamente a digiuno, e non sono interessati a impegnarsi su questo fronte a meno che la minaccia non li coinvolga direttamente e personalmente. E, quasi inutile dirlo, sono potentissimi: chiunque in azienda riceva un messaggio da qualcuno che riesca a impersonarli non si pone troppe domande su ciò che gli viene detto di fare. Ma un vip può essere anche un dipendente che dispone di accessi ai sistemi con privilegi da amministratore”.
A questo proposito, Veca spiega come non siano rari i casi in cui un attaccante che colpisce un’azienda e recupera un accesso da admin, non sappia come utilizzarlo. “Così usa i forum e i marketplace del Dark Web per vendere le informazioni a un altro soggetto, qualcuno che magari dispone del ransomware giusto, e aspetta solo l’accesso per sferrare un’iniziativa mirata”.
Veca, però, parla anche di inserzioni relative al bottino di attacchi già avvenuti e non sfruttati. “Esistono siti di vendita specializzati, dove vengono pubblicate online le informazioni ottenute da malware che compromettono le macchine scaricando le credenziali salvate nei browser aziendali e personali. Parliamo di veri e propri identikit digitali, pieni di dettagli doviziosi: il venditore precisa in quale tipo di PC ci si è introdotti, chi è l’utente violato e che ruolo ricopre nell’organizzazione per cui lavora, la nazionalità dell’IP e le piattaforme e i domini su cui possono essere utilizzate le credenziali sottratte. Il malware non si limita a fornire le informazioni, ma le aggiorna costantemente. E quando qualcuno compra il pacchetto, questi dataset spariscono dal marketplace. Il tutto avviene in maniera automatica”, puntualizza Veca. “Quindi è chiaro che se non c’è un osservatore che monitora con attenzione queste dinamiche, nessuno saprà mai che quelle informazioni sono state violate, pubblicate e rivendute”.
Per chi se lo chiedesse, c’è anche un preciso tariffario per ciascuno degli item in vendita. “Generalmente i prezzi non sono stabiliti da aste, a meno che non ci sia in ballo qualcosa di particolare” dice Veca. “Di solito il tutto è gestito da un algoritmo, che analizza i contenuti e stabilisce un valore in base a criteri predefiniti. L’accesso a due browser di un utente privato residente in Italia può costare sui 14 dollari. Diverso è se si cerca, per esempio, un accesso al dominio Marinamilitare.it: lì ci vogliono su per giù 60 dollari. Un non addetto ai lavori potrebbe aspettarsi una cifra più alta, ma in questi casi il prezzo resta basso perché magari si tratta delle credenziali di accesso al portale di un dipendente che dispone di un raggio d’azione limitato”.
Il sistema, nel complesso, è affidabile. Al di là del fatto che esiste una sorta di codice d’onore nel Dark Web, se qualcuno prova, con annunci ingannevoli, a frodare gli altri utenti, non soltanto riceve recensioni negative, ma viene anche segnalato alla comunità ed estromesso dal marketplace, proprio come succede sui nostri Amazon ed eBay.
Come ci si muove nel Deep Web: le precauzioni e le contromisure da prendere
Si può intervenire per impedire queste transizioni? “Certamente – risponde Veca – l’importante è che una minaccia non venga risolta acquistando le informazioni che ti riguardano: non si fa altro che favorire il mercato, in questo modo. Un analista esperto invece comprende il problema e sa di volta in volta chi contattare perché quell’informazione non valga più niente”.
Entrare nel Deep Web, in effetti, non è difficile. Il vero problema è riuscire a muoversi e seguire gli indizi senza farsi notare. “C’è innanzitutto una forte barriera linguistica”, racconta Veca. “Molti utenti sono russofoni, e si esprimono normalmente in cirillico. Se non si conosce il russo, si può usare un traduttore per comunicare con loro, certo, ma i test non mancano: c’è chi ti scrive una frase in dialetto russo o bielorusso per vedere come reagisci: se non rispondi a tono, capiscono subito che stai utilizzando un translator e che probabilmente sei un ospite indesiderato. È il motivo per cui i centri di ricerca Cyberoo hanno sede in Est Europa e si avvalgono di collaboratori madrelingua che parlano correntemente le lingue slave”.
Va poi detto che anche se non si collabora attivamente ad azioni criminose, bisogna dimostrare di essere attivi in chat, e soprattutto stringere rapporti con gli altri frequentatori dei forum. “Questo ti permette di ricevere inviti a gruppi chiusi e di poterti muovere sempre più in profondità. Tra l’altro, ogni due-tre mesi la situazione cambia radicalmente, ed è necessario stare sul pezzo per capire come si sono evolute le cose. È un lavoro che richiede una presenza H24, anche perché alcuni agenti criminali lavorano in fasce orarie precise, o addirittura solo di notte. Non è qualcosa di semplice da gestire per un utente singolo, occorre una squadra che sia ben coordinata e che usi alias e nomi fittizi generati ad hoc per restare nell’anonimato ed evitare associazioni pericolose”.
Le ritorsioni nei confronti di chi viene identificato come qualcuno che intende mettere i bastoni tra le ruote ai cyber criminali, infatti, non mancano. “Se scoprono chi sei sono in grado di rovinarti la vita, e non solo online: possono disseminare il web di informazioni che possono farti passare per un pedofilo, giusto per fare un esempio. È un’operazione ormai abbastanza facile, se si conosce bene il proprio bersaglio”, avvisa Veca. “Ecco perché, quando ci si vuole addentrare nel Deep e nel Dark Web, è fondamentale ricorrere a dei professionisti, che sono addestrati a pensare fuori dagli schemi e conoscono le tecniche necessarie a muoversi, e operare e a interagire in quel tipo di ambiente”.
Rafforzare la collaborazione a cavallo di pubblico e privato
Da questo punto di vista, gli ethical hacker possono essere considerati alla stregua di fuorilegge, nel senso romantico del termine, primo e ultimo baluardo nella difesa delle identità digitali. “Anche perché la legge può ancora abbastanza poco quando si parla di violazione delle digital identity” dice Veca. “Si stanno senza dubbio facendo passi importanti in tema di cyber bullismo e di protezione del copyright, ma sulla prevenzione, sulla difesa e sulla risposta a certi tipi di attacchi, la legge ha le mani legate, perché il fenomeno dipende essenzialmente dalla preparazione tecnologica, e qui parliamo di soggetti che si evolvono alla velocità della luce”.
A marzo ha fatto notizia la chiusura di Breached, noto anche come Breach Forums, una delle community più famigerate del Dark Web, da parte dell’FBI, che ne ha arrestato l’amministratore, Conor Fitzpatrick, di appena vent’anni.
“La verità, però, è che per un forum chiuso ne aprono altri cento. Queste persone sono sempre un passo avanti. E se ciò vale per le agenzie governative americane, come NSA ed FBI per l’appunto, che sono molto più avanzate sul piano digitale, è facile immaginare quale possa essere la situazione italiana. L’Agenzia per la Cybersicurezza Nazionale, del resto, è molto giovane e ancora poco strutturata rispetto ad altre controparti occidentali, ma siamo sulla strada giusta. Dal mio punto di vista”, chiosa Veca, “potrebbe risultare vincente un modello basato sulla cooperazione tra pubblico e privato, facendo leva sui Csirt (Computer Security Incident Response Team) e sui Cert (Computer Emergency Response Team), tra cui c’è anche Cyberoo, che contribuisce con le sue conoscenze e competenze a condividere informazioni di livello critico e a creare una rete difensiva nazionale sempre più efficace”.
Contributo editoriale sviluppato in collaborazione con Cyberoo