Descritto spesso come una sorta di “universo parallelo” e con tratti spesso più vicini alla fantascienza che alla sua dimensione reale, il Dark Web rappresenta una dimensione fondamentale per chi lavora nella cyber-security. Ma cosa si intende esattamente per Dark Web?
Molti lo confondono con il Deep Web, cioè quella parte di Internet composta da server e dispositivi connessi alla rete che non vengono indicizzati dai motori di ricerca. In realtà il Dark Web è qualcosa di diverso: oltre a non essere raggiungibile tramite i normali canali utilizzati dalla maggior parte delle persone (browser e motori di ricerca) il Dark Web si caratterizza per la presenza di ulteriori barriere all’accesso. Può trattarsi di software particolari come Tor, o di sistemi di accesso che prevedono l’uso di credenziali che possono essere fornite solo da chi gestisce i siti “nascosti”.
Cosa si trova nel dark web?
All’interno del Dark Web si trova un po’ di tutto: da siti e blog relativamente legittimi, come quelli di associazioni e attivisti che preferiscono rimanere lontani dai riflettori, a forum e market online che trattano temi e prodotti decisamente illegali. Se l’attenzione dei media per il Dark Web si concentra spesso sui traffici di armi e droga, l’interesse degli esperti di sicurezza per i “bassifondi di Internet” è motivato dal fatto che i cyber-criminali lo utilizzano in maniera intensiva. Da una parte il Dark Web è il luogo ideale per vendere e acquistare strumenti di hacking, servizi illegali e malware. Dall’altra offre un ecosistema che consente loro di incassare i proventi delle azioni illegali, per esempio attraverso la vendita di interi set di credenziali rubate, dati di carte di credito e informazioni sensibili.
Nel dark web si trova anche il malware as a service
Uno dei fenomeni in crescita negli ultimi anni riguarda lo sviluppo del modello di cyber-crimine ispirato alla formula “as a service”, attraverso il quale i pirati informatici offrono i loro servizi attraverso una vera e propria filiera che rende ancora più facile portare attacchi informatici a privati e aziende. Nei market e nei forum specializzati si trova un po’ di tutto: dalla possibilità di richiedere attacchi DDoS mirati al noleggio di intere botnet utilizzabili per gli scopi più disparati come invio di spam e campagne di phishing. L’unico limite è rappresentato dalla fantasia dei criminali informatici, che negli ultimi tempi hanno ideato anche formule decisamente originali, come la messa a disposizione di ransomware attraverso una sorta di partnership che consente di dividere i proventi al 50% tra chi mette a disposizione il codice del malware e chi si occupa della sua distribuzione. Una delle conseguenze di questo sistema è che i cyber-criminali non devono più avere grandi conoscenze tecniche: basta qualche centinaio di dollari per procurarsi malware sofisticati che possono essere utilizzati facilmente anche da chi non sa scrivere nemmeno una riga di codice.
Come monitorare i siti del dark web
In questo quadro, il monitoraggio del Dark Web mette a disposizione degli esperti di sicurezza una serie di informazioni preziosissime, che permettono loro di individuare le nuove minacce che si stanno affacciando sulla scena e rilevare le tendenze all’interno delle community hacker. Infiltrarsi nei market e nei forum può permettere di comprendere con un certo anticipo cosa sta per accadere e, in alcuni casi, permette anche di individuare le fasi preparatorie di un attacco mirato. I pirati informatici, infatti, utilizzano il Dark Web anche per raccogliere le informazioni necessarie per pianificare le loro azioni. Individuare un hacker che dimostra troppo “interesse” per una specifica azienda o per strumenti particolari può consentire di bloccare sul nascere un attacco mirato.
