Cosa sono Deep e Dark Web, e perché, per garantire la sicurezza del business, è bene monitorarli con attenzione? Nonostante i nomi attribuiti a questi “strati” profondi del web siano utilizzati spesso come sinonimi, hanno differenze sostanziali.
Entrambe le definizioni, semplicemente, indicano che si tratta di livelli del web non indicizzati dai motori di ricerca, con sistemi di accesso differenti rispetto a quelli a cui è abituato l’utente medio. La fama che si sono guadagnati è dovuta al fatto che, proprio in virtù di queste caratteristiche, Deep e Dark Web sono potenzialmente spazi ideali per agire lontano da occhi indiscreti, e per questo possono diventare i luoghi d’elezione per chi vuole vendere o acquistare prodotti e servizi illeciti, così come dati e strumenti utili a penetrare i sistemi informatici di aziende e pubbliche amministrazioni.
Si tratta, in ogni caso, di due livelli che hanno caratteristiche specifiche e una “natura” diversa. Il Deep Web, infatti, può essere considerato uno spazio che sfugge all’indicizzazione per questioni squisitamente tecniche. Questo non significa però che si tratti di spazi completamente “invisibili”.
Nel caso di un sito il cui accesso sia subordinato a una procedura di login, per esempio, i contenuti non verranno indicizzati, ma la sua presenza sul web (per lo meno quella della pagina di login) è evidente, così come è possibile rintracciare le informazioni su chi lo ha registrato o l’indirizzo IP del server che ne ospita i contenuti.
Quando si parla di Dark Web, le cose cambiano radicalmente. Per navigare tra le pagine ospitate al suo interno, infatti, è necessario utilizzare strumenti specifici come Tor (The Onion Router), un sistema che garantisce l’anonimato attraverso un sistema di crittografia e una complessa rete composta da nodi che impediscono di tracciare il traffico al suo interno.
Non solo: le pagine web che fanno riferimento al dominio .onion e che compongono il Dark Web, non sono soggette a registrazione come accade nel web “di superficie”. Questo rende pressoché impossibile rintracciare i gestori di un sito nel Dark Web attraverso strumenti tradizionali.
Questo relativo anonimato rende il Dark Web uno spazio in cui è possibile comunicare sfuggendo alla maggior parte delle forme di controllo. Non è un caso che Tor sia spesso utilizzato per diffondere notizie sfuggendo alla censura di regimi autoritari e rappresenta uno strumento prezioso per giornalisti e attivisti politici. A questi soggetti che fanno un uso “etico” del Dark Web, però, si affiancano i cyber criminali, per i quali il circuito Tor rappresenta una sorta di “zona franca” in cui gestire i propri affari.
Monitorare i livelli più profondi del Web, facendo leva su strumenti e tattiche di Threat Intelligence, è essenziale sia per comprendere come si stanno evolvendo le minacce, che per identificare conversazioni che riguardano la propria organizzazione.
Quando si parla di Dark Web, l’attenzione dell’opinione pubblica si concentra di solito sui marketplace che offrono prodotti e servizi illegali come droga, armi e documenti falsi. In ambito cybersecurity, però, il ruolo dei marketplace incide su un altro livello. Buona parte di questi siti di “commercio elettronico” si inseriscono infatti nella filiera del cyber crimine, offrendo un duplice vantaggio ai criminal hacker.
Da un lato, hanno la possibilità di monetizzare facilmente i loro attacchi, per esempio attraverso la compravendita di dati riservati (numeri di carte di credito, credenziali di servizi online) sottratti alle loro vittime; dall’altro ci sono marketplace che consentono di acquistare malware e strumenti di attacco. Un mercato fiorente, dunque, che permette anche a soggetti dotati di competenze tecniche medio-basse di procurarsi tutto ciò che serve per le attività illegali.
I marketplace di questo tipo contribuiscono in modo determinante a quella “professionalizzazione del cyber crimine” che, negli ultimi anni, ha portato a un aumento esponenziale degli attacchi diretti alle aziende e rappresentano ormai una parte fondamentale dell’ecosistema in cui si muovono i gruppi specializzati in attacchi ransomware.
In particolare, sul Dark Web ha preso piede la logica del Ransomware as a Service. La logica è simile a quella del franchising e prevede un sistema di affiliazione, attraverso il quale i cyber criminali collaborano in una struttura organizzata in cui il vertice fornisce il malware e la piattaforma per gestire l’estorsione, mentre gli affiliati portano l’attacco vero e proprio. I profitti vengono poi spartiti tra i vari attori.
Il Dark Web, infine, è anche il luogo che ospita i “siti di rappresentanza” dei gruppi specializzati in attacchi ransomware. È su queste pagine che i criminal hacker pubblicano l’elenco delle loro vittime per ottenere una leva ulteriore nel meccanismo estorsivo. Lo stratagemma è legato alla tattica della doppia estorsione che prevede, oltre alla crittazione dei dati e alla richiesta di un riscatto per ottenere le chiavi che permettono di decodificarli, la minaccia di pubblicare tutte le informazioni sottratte dai sistemi compromessi.
Il conto alla rovescia che indica il momento in cui i dati verranno pubblicati, in quest’ottica, è un elemento di pressione ulteriore nei confronti delle vittime.
Se i marketplace offrono strumenti di hacking e malware, l’organizzazione più squisitamente logistica dei gruppi ispirati alla logica del Ransomware as a Service si basa sulle Darknet, cioè reti virtuali private all’interno delle quali sono ammessi solo utenti che dispongono di credenziali specifiche.
L’attività dei cyber criminali, all’interno delle Darknet, è meno codificata e decisamente più pericolosa. È in questi ambiti, infatti, che i criminal hacker scambiano informazioni riservate e pianificano i loro attacchi attraverso strategie che hanno raggiunto un elevato livello di sofisticazione.
L’esplosione del fenomeno ransomware ha modificato completamente lo scenario in cui le aziende si trovano a gestire la cybersecurity. Abbandonati gli attacchi “a strascico”, i cyber criminali si dedicano sempre più spesso a operazioni mirate e più letali: una parte fondamentale di questa attività è legata proprio allo sfruttamento delle informazioni ottenute nel Dark Web. Queste potrebbero permettere, ad esempio, di estrapolare le credenziali di utenti registrati sul sistema e introdursi nella rete usando un profilo aziendale, dotato quindi di tutti i privilegi utili per muoversi all’interno del network.
I dati più ricercati e più scambiati sono, di norma, quelli delle persone che ricoprono ruoli apicali o di responsabilità all’interno dell’organizzazione: tipicamente figure manageriali, che non solo risultano al di sopra di ogni sospetto, ma che spesso hanno meno familiarità con il tema dei rischi cyber e risultano essere vittime più “abbordabili”.
Anche semplici informazioni sull’ecosistema IT delle organizzazioni (software utilizzati, configurazioni a livello di rete) sono utili ai cyber criminali, perché consentono loro di individuare quelle vulnerabilità atte a compromettere i sistemi aziendali.
Naturalmente dati come questi hanno un costo, che però i cyber criminali sono ben disposti a sopportare. Considerate le potenziali prospettive di guadagno, i gruppi specializzati in attacchi ransomware possono investire anche decine di migliaia di euro, scommettendo su un ritorno molto più elevato.
Se i normali strumenti di protezione e una postura di cybersecurity adeguata all’interno dell’azienda sono elementi imprescindibili per contrastare gli attacchi, nel contesto attuale diventa indispensabile agire anche in un’ottica preventiva. Ed è proprio il Dark Web il “campo di battaglia” in cui è possibile garantirsi un vantaggio determinante sui cyber criminali.
Un monitoraggio costante del “web oscuro” consente infatti di intercettare informazioni riguardanti le attività criminali, individuare i loro pattern di attacco e prepararsi a contrastarne l’azione.
La Cyber Threat Intelligence, sotto questo profilo, permette ad esempio di individuare tempestivamente nuove tecniche di hacking, emerse in seguito alla scoperta di vulnerabilità che coinvolgono i sistemi informatici utilizzati in azienda. Grazie a questa attività, è possibile per esempio prioritizzare l'attività di patching in base al livello di rischio legato a una tipologia di attacco. In alcuni casi, poi, è possibile intercettare attività preparatorie legate a uno specifico attacco, identificando per esempio eventuali comunicazioni o scambi di informazioni riguardanti un’azienda.
Una particolare attenzione, nel corso delle attività di Cyber Threat Intelligence, deve essere rivolta alla protezione dell’identità digitale delle figure apicali dell’azienda. Si tratta, infatti, di bersagli privilegiati per i pirati informatici. L’eventuale leak di informazioni riguardati un utente VIP può infatti presagire a un attacco di phishing mirato (spear phishing) propedeutico, ad esempio, a un attacco BEC (Business Email Compromise) che sfrutta il furto di credenziali per impersonare il manager a scopi fraudolenti.
Appare chiaro, dunque, che la Cyber Threat Intelligence ha il ruolo che ha il controspionaggio in contesti più tradizionali. Individuando le attività di intelligence in atto nell’ambiente criminale diventa possibile anticipare le strategie di attacco e, in alcuni casi, individuare i bersagli nel mirino di gruppi specifici.
Per le sue caratteristiche, il Dark Web è un ambiente in cui le attività di monitoraggio richiedono un approccio specifico. Automatizzarne il controllo, proprio in virtù dell’adozione diffusa di sistemi che limitano l’accesso a Darknet e marketplace dedicati al cyber crimine, è quasi impossibile.
L’efficacia delle attività di Cyber Threat Intelligence dipende, in definitiva, dall’abilità dei professionisti della cybersecurity che operano come veri e propri “agenti sotto copertura”. Per garantirsi l’accesso ai meandri del Dark Web è necessario creare relazioni e guadagnarsi la fiducia dei cyber criminali: gli esperti di sicurezza che si occupano di questo genere di attività, in alcuni casi, si mettono in gioco personalmente, esponendo anche il loro volto e ricorrendo a identità fittizie che permettono loro di raccogliere le informazioni necessarie per contrastare le attività dei cyber criminali.
Prevenire le minacce insite nel Dark Web e proteggere il business da criminali che sfruttano tecniche avanzate per farsi strada tra i sistemi aziendali significa agire su 4 fronti.
Sai come prevedere le minacce in arrivo dal Deep e Dark Web?
Non basta tenere sotto controllo l’ambiente IT interno, ma anche estendere la visibilità a tutte minacce emergenti da aree meno presidiate. Ma quali sono queste insidie, come possiamo anticiparle e, soprattutto, come proteggere davvero il perimetro aziendale?
In questo contesto, fa la differenza instaurare un clima di fiducia e trasparenza con i consulenti esterni cui è affidato il compito di gestire le operazioni di Cyber Threat Intelligence. Per mettere a fuoco la situazione, infatti, gli Ethical Hacker dovrebbero avere accesso ai log dei database aziendali, fermo restando che file e informazioni riservate, di solito, non vengono condivisi.
Nel momento in cui dovesse rendersi necessario anche il disclosure di dati sensibili, i consulenti sono comunque vincolati da contratti con clausole specifiche e SLA di altissimo livello, come prescritto dai framework normativi vigenti e in particolare dal GDPR.
D’altra parte, per svolgere attività di open source intelligence non è richiesta alcuna autorizzazione: accedere alle informazioni che girano nei livelli più profondi della rete, infatti, non è illegale. L’illecito si verifica nel momento in cui vengono scambiate o vendute. Eppure, soprattutto nel quadro della Direttiva NIS2, che punta i riflettori sulla resilienza digitale di imprese e pubbliche amministrazioni, è imprescindibile muoversi con cognizione di causa per trovare i dati sensibili prima che possa farlo qualcun altro (e a scopi meno nobili della cyber defense).
NIS2: tempo scaduto!
A partire dal 18 ottobre 2024, la Direttiva entra in vigore: le imprese operanti nei settori interessati devono aggiornare i loro sistemi di sicurezza informatica per conformarsi ai nuovi standard e alle misure di protezione introdotte. La tua azienda è pronta?
Puntare su un buon stack tecnologico è solo una delle componenti di una strategia efficace di cybersecurity. Proteggersi dal cyber crime e in particolare dalle minacce che arrivano dal Deep e dal Dark Web vuol dire oggi far leva su servizi specialistici di outsourcing, ovvero esperti in grado di interpretare le specifiche esigenze dell’organizzazione e di fornire competenze e conoscenze per occuparsi di monitoraggio, analisi e risposta.
È esattamente ciò che fa un partner come Cyberoo, che offre servizi MDR (Managed Detection & Response) e di Cyber Threat Intelligence gestiti da team altamente qualificato e disponibile 24/7. In particolare, la Cyber Security Suite coniuga tecnologia e skill avanzate e permette così di monitorare e analizzare il livello di sicurezza e resilienza informatica di un’organizzazione senza soluzione di continuità.
A questo si aggiunge un’equipe di specialisti che studia i segnali che emergono dagli strati più profondi di Internet per verificare ogni tipologia di minaccia possibile ed entrare immediatamente in azione per affrontarla prima ancora che si traduca in un incidente.