Il Dark Web è quell’area di Internet accessibile solo tramite browser specifici, quali ad esempio Tor o I2P, e si differenzia dal Deep Web che è invece la porzione di Internet non indicizzata dai motori di ricerca tradizionali, ma navigabile utilizzando browser standard: i tool di Dark Web Monitoring permettono di effettuare una scansione del Dark Web e creare vasti database contenenti le informazioni disponibili nella parte oscura del Web, come ad esempio i nostri dati personali rubati durante un data breach.
Cerchiamo dunque di capire come funzionano questi servizi e come possono tornare utili in più di un’occasione.
Indice degli argomenti
Tool di Dark Web Monitoring: come funzionano
L’architettura su cui si basa il Dark Web ha lo scopo di garantire agli utenti l’anonimato. Ciò avviene principalmente utilizzando tecnologie di cifratura del traffico ed effettuando il routing dei dati trasmessi attraverso numerosi elaboratori situati in diverse posizioni geografiche.
Naturale conseguenza di questa caratteristica è che il Dark Web rappresenta terreno fertile anche per il cyber crime e per attori che perseguono scopi illegali.
Buona parte del Dark Web è composto da siti in cui è possibile comprare e vendere i prodotti più disparati, dalle armi alla droga. Nell’offerta non possono mancare i dati che vengono trafugati durante attacchi o data breach. Si tratta in gran parte di numeri di carte di credito, credenziali di login o account collegati a sistemi di pagamento, passaporti, patenti o carte di identità.
Tutte queste informazioni finiscono online, dove i cyber criminali possono consultarle e sfruttarle. Un malintenzionato potrebbe utilizzare i dati di un passaporto per creare una falsa identità o i dati di una carta di credito per effettuare acquisti online.
I costi per accedere ai dati sono generalmente bassi, in quanto gli stessi vengono spesso venduti in bulk, senza alcuna verifica e garanzia: un account PayPal può valere alcune centinaia di euro e una carta di credito meno di dieci euro.
Ecco, dunque, che i servizi di Dark Web Monitoring vengono in nostro aiuto per verificare quali dei nostri dati siano presenti in questa parte oscura del web.
In particolare, essi procedono effettuando una scansione del Dark Web e creando vasti database con le informazioni disponibili e in vendita. Diviene quindi possibile, per l’utente, effettuare ricerche e capire se e quando i propri dati sono stati esposti.
Sono chiaramente presenti dei limiti. In primo luogo, nessuno può creare un prodotto che sia in grado di compiere ricerche sull’intero Dark Web. Questo perché non è possibile individuare né manualmente né automaticamente tutti gli URL dei portali che nascono, muoiono e mutano in continuazione.
In seconda battuta, non è possibile rispondere alla generica domanda “la mia azienda è stata compromessa?” ma solamente avere un riscontro di quali record siano effettivamente disponibili sulla darknet. Non essendo infatti possibile scansionare l’intero Dark Web, ne risulta che il riscontro ottenuto non possa essere considerato completo e definitivo.
Come costruire un tool di Dark Web Monitoring
Costruire un tool in grado di monitorare il Dark Web è senza dubbio molto complesso in quanto, oltre alle skill tecnologiche e alle infrastrutture, è richiesta un’ottima conoscenza del mercato underground e accesso a fonti riservate, come ad esempio canali Telegram o IRC privati.
Le sfide principali da superare sono le seguenti:
- identificazione dei target sui quali effettuare le operazioni di ricerca. Non essendo disponibile una lista dei servizi presenti sul Dark Web, e mutando essi continuamente, è molto difficile avere a disposizione una serie di obiettivi aggiornati e di qualità, sui cui siano effettivamente presenti informazioni interessanti. Identificare tutti siti presenti sul Dark Web è una operazioni praticamente impossibile, in quanto si tratta di portali estremamente isolati che, si stima, nel 90% dei casi non contengono alcun link ad altri siti;
- dimensionamento di una architettura adeguata allo scanning automatizzato e manuale dei portali rilevati. In molti casi, per accedere ad informazioni interessanti e di valore, il crawling dei portali pubblici non è sufficiente. Diviene necessario effettuare step aggiuntivi, che spaziano da una semplice registrazione sino alla necessità di ottenere la fiducia di gestori di board private, che garantiscano l’accesso. Attività che richiedono skill e interventi manuali;
- necessità di avere un tool rapido che sia in grado di analizzare in tempo reale i dati e le modificazioni che avvengono sui portali inseriti nelle liste di analisi. Effettuare attività in ambienti statici non permette un adeguato monitoraggio, a causa della velocità di evoluzione del Dark Web e dei dati in esso contenuti. Anche in questo caso è sempre necessario validare poi quanto raccolto tramite intervento umano.
I migliori tool di Dark Web Monitoring
Tra i prodotti open source più interessanti per investigare il Dark Web, si segnala OnionScan. I creatori affermano che, nonostante le evoluzioni tecnologiche dei sistemi di sicurezza informatica, è presente una minaccia costante, che non si può patchare: l’errore umano.
OnionScan ha due obiettivi principali:
- aiutare chi gestisce portali nel Dark Web a trovare e risolvere problemi di sicurezza del proprio servizio, in modo da permettere di innalzare il livello di anonimato;
- aiutare i ricercatori e gli investigatori a monitorare i siti presenti nel Dark Web.
Come è possibile leggere sul sito web del progetto, gli sviluppatori in linea di massima non concordano con le ragioni per cui viene effettuata attività investigativa sul Dark Web ma, rendendo questo tipo di azioni più semplici, puntano a stimolare lo sviluppo delle tecnologie che aiutano l’anonimato.
L’installazione in ambiente GNU/Linux è estremamente semplice, basta eseguire questi tre semplici comandi:
go get github.com/s-rah/onionscan
go install github.com/s-rah/onionscan
$GOPATH/bin/onionscan
Per ottenere un report di base che indichi i fattori di rischio, è sufficiente eseguire il comando:
onionscan –verbose [hiddenservice].onion
OnionScan mette a disposizione anche un Correlation Lab, cioè un’interfaccia Web che permette di scoprire, cercare e taggare diverse correlazioni di identità.
Tra i tool di Dark Web Monitoring, da segnalare anche BlackWidow, che è in grado di individuare sottodomini, link, parametri e informazioni come e-mail o numeri di telefono da un sito Web target, integrando anche uno scanner per le vulnerabilità OWASP.
Anche in questo caso l’installazione è molto semplice in ambiente GNU/Linux. Il comando da eseguire è il seguente:
sudo bash install.sh
Per ottenere informazioni da un sito Web generico è invece sufficiente digitare il comando:
blackwidow -u https://[hiddenservice].onion
Il focus del prodotto è l’automazione e l’intervento manuale dovrebbe essere necessario solo per la fase iniziale di inserimento dei target, prima di avviare la scansione.
Conclusioni
Avere visibilità sui contenuti del Dark Web non è però sufficiente per monitorarlo in maniera efficiente. Vista la mole di dati che si genera, è necessario filtrare le varie fonti, identificando in maniera precisa il valore delle informazioni reperite e, collocandole in un quadro di insieme più ampio, definire un threat model per le specifiche esigenze della singola azienda.
Questo tipo di attività richiede skill e capacità di analisi avanzate, reperibili solamente in figure specializzate.
Qui entrano quindi in gioco i prodotti commerciali che, a fronte del pagamento di una sottoscrizione, garantiscono al cliente l’accesso ai propri database, aggiornati più o meno frequentemente, nonché la possibilità di definire le specifiche del monitoraggio da effettuare.
Tra i casi più comuni, la definizione di una lista di indirizzi e-mail sensibili; quotidianamente il sistema di monitoraggio verificherà o meno la presenza di tali indirizzi nei record dei propri database, segnalando a chi di dovere se e quando dovesse esserci un match tra l’indirizzo ed una serie di password violate.
In tale maniera, i responsabili della sicurezza aziendale potrebbero essere notificati in seguito a data breach e intraprendere le azioni più opportune, come, nel caso specifico, la modifica delle password degli account coinvolti.
Da non dimenticare, però che quando avviene una segnalazione da parte del tool di Dark Web Monitoring, siamo di fronte ad un incidente in cui le credenziali eventualmente coinvolte sono già probabilmente state utilizzate, rivendute e pubblicate tramite molti canali.
Generalmente è troppo tardi per intraprendere qualsiasi altra azione che non sia quella di limitare i danni impedendo ulteriori accessi agli account coinvolti da parte dei cyber criminali.
Non trascurabile è inoltre il fatto che, spesso, la gran parte dei record presenti nei database dei tool di monitoring sia composta da dati che di fatto sono pubblicamente disponibili sul Dark Web, mentre viene trascurata la parte più profonda, e di conseguenza più interessante, delle darknet.
I prodotti di Dark Web Monitoring sono una soluzione valida per realtà che hanno già sviluppato e implementato piani di cyber security evoluta. Essi permettono di intraprendere azioni di response mirate in seguito a breach avvenuti e i cui dettagli sono già noti.
Più complesso, e forse ad oggi meno realistico, riuscire a prevedere quali possano essere gli attacchi che una compagnia potrebbe subire nel breve o medio termine in base ai dati raccolti dal Dark Web.
Sicuramente, monitorare la propria esposizione incrociando i dati con le altre metriche rilevate dai prodotti di security presenti in azienda, può comunque permettere di agire in maniera proattiva per ridurre il rischio.
Ricordando sempre che i tool definitivi non esistono e che la sicurezza informatica si basa su layer multipli.
