Tutti i segreti della Cybersecurity: il blog di Cyberoo

Viaggio nei livelli nascosti del deep web

Scritto da cyberoo-admin | 27 settembre 2023

Come è fatto il web e ci sono i livelli nascosti del deep web? È un argomento che affronto spesso con clienti e partner che entrano in contatto con Cyberoo. Non solo permette di ampliare le proprie competenze in fatto di cybersecurity ma anche di aumentare il livello di consapevolezza dei relativi rischi. Durante le interazioni che avvengono nelle classi di formazione, mi rendo conto che il concetto è ancora piuttosto oscuro. 

La maggior parte dei miei interlocutori immagina Internet come la famosa figura dell’iceberg, la cui punta in superficie rappresenta la parte accessibile del web e il resto, invisibile e sommerso, costituirebbe il deep e il dark web. L’immagine dà un buon modo di semplificare, focalizzare e ricordare il concetto ma la realtà è più complessa e probabilmente non c'è un'unica versione dei fatti, bensì diversi approcci per raccontare, più che descrivere, la “struttura” del web.

 

Quali sono e come accedere ai livelli del deep web (e ha davvero senso classificarli?) 

Chi come me ha visto Internet nascere sa che, sostanzialmente, si tratta di indirizzi IP e domini messi a fattor comune. Protocolli, idee e business hanno permesso, in 50 anni, lo straordinario sviluppo che abbiamo tutti sotto gli occhi. Parlare di livelli vuol dire provare a semplificare con opportune approssimazioni per comprenderne meglio la struttura, ma anche indirizzare la questione da un punto di vista funzionale. Infatti, è come si usano i suddetti indirizzi IP e domini che fa la differenza.

Nell’informatica si parte sempre da 0, ed ecco allora che classifico il livello zero quello costituito da tutti i siti web a cui chiunque ha liberamente accesso. Potremmo inserire qui tutti i siti indicizzabili che non richiedono autenticazione e permettono ricerche completamente libere.

Il livello uno è il cosiddetto surface web, in tutto e per tutto simile allo zero, se si eccettua il fatto che contiene anche circuiti privati come potrebbero essere social, server ftp, forum - come per esempio Reddit.

Nel momento in cui si entra in una community nella quale è necessario identificarsi, o si utilizzano piattaforme di file sharing, ci si introduce in ambienti che non sono più indicizzabili sui motori di ricerca. Qui possiamo cominciare a scindere le tipologie di servizi, private o di business, e parliamo quindi dei livelli 2 e 3 del web, che sono a tutti gli effetti deep web. Anche se li livello 2 (storicamente nominato bergie web) è ancora il livello più superficiale: si esce dall’area di indicizzazione ed è necessario conoscere dove si vuole andare per accedere ai propri contenuti, magari mediante un proxy. Quando poi sono necessari sia un account dedicato che un protocollo specifico di facile accesso (ad esempio https o VPN) per accedere alla propria area privata, allora si è completamente nel deep web.

Scendendo ancora più in profondità si arriva a quello che è considerato il livello 4, chiamato in gergo charter web, conosciuto ai più come dark web.  Con un proxy, una applicazione ed un protocollo appositi si può accedere a determinati forum, ad esempio di hacking e scripting o ad ambienti ad hoc per attività di test. Il più famoso è probabilmente Tor, che consente di effettuare comunicazioni senza essere tracciati.

Qual è l'interesse nel non essere tracciati? L’argomento è talmente diffuso alla massa che chiunque ormai si aspetta di poterci vedere operazioni illecite, quali attività di traffico di armi e droga, pornografia, estremismo politico o religioso e hacking. Spesso si ignora che possono essere molto utili anche per entrare in possesso di informazioni che non possono essere divulgate, ma che ad esempio giornalisti e attivisti possono utilizzare per confermare le proprie fonti. 

Un altro aspetto che spesso si ignora è che anche il dark web è suddivisibile in sottolivelli che a loro volta possono essere numerati come 5, 6, 7 e 8 per i quali si scende spesso in controversie poiché non solo è estremamente complicato entrarvi ma anche molto complesso definirne di esservi dentro in modo così certo e chiaro. 

Il rischio di entrare in leggende metropolitane è sempre molto elevato per cui il viaggio nei livelli del web, lo porto al capolinea citando uno spazio che è diventato quasi mitologico: il Marianas web, che faccio corrispondere al quinto e fra i più profondi strati. Qui il concetto di riservatezza è così assoluto che si dice non ci siano regole. I servizi e gli scambi di informazioni sono ancora più riservati e illegali. Parliamo di un livello per accedere al quale nemmeno Tor basta più: servono app e accessi specifici e multistrato.

Perché mi sono dilungato in questa classificazione, se la considero essenzialmente scolastica? Perché ci tengo a far comprendere come ciò che differenzia davvero un livello dall'altro non è tanto la sua “profondità”, quanto quello che ci si fa. Pensateci bene: le reti peer to peer (caratterizzate dall'assenza di computer centrali ai quali inviare richieste per accedere ai contenuti) sono di fatto tra le prime forme di darknet; e se decido di creare una connessione crittografata, magari con meccanismo a invito, e la utilizzo per chattare con un mio amico, tecnicamente sono entrato a tutti gli effetti in uno degli strati più profondi della rete - ma da qui a dire che mi sto muovendo nel dark web, lo capite benissimo, ne passa. 

 

Perché è importante sapere cosa succede nel deep e dark web 

Quello che, a mio avviso, conta davvero, è essere consapevoli di cosa succede negli ambienti che non sono visibili a chiunque e che risultano difficili da accedere anche per chi dovrebbe verificare che non avvengano illeciti. Partiamo dal presupposto che oggi è relativamente semplice tracciare e utilizzare informazioni e dispositivi personali. In parte le autorizzazioni vengono concesse attraverso i cookies, ma anche i consensi forniti in chiave GDPR o la fruizione di software e licenze si trasformano in dati che diventano disponibili per chi è in grado di recuperarli e talvolta commercializzarli. Ci sono poi i casi in cui le informazioni sensibili vengono appositamente esfiltrate dai sistemi aziendali attraverso strategie di social engineering, attacchi mirati e opportunistici, e trasformate in merce di scambio con altri hacker o messe all'asta al miglior offerente. Ecco, questo è il tipico ambito di utilizzo del web per cui conviene passare attraverso ambienti deep e dark.  

Ora che dovrebbe essere un po' più chiaro cos'è davvero questa sezione di Internet, e per quali scopi può essere utilizzata, dobbiamo porci un'altra domanda: è possibile monitorarla? Cosa occorre per verificare che non ci siano attività potenzialmente nocive per il nostro business?  

Servono sicuramente servizi a valore e strumenti ad hoc che permettano di monitorare l'evoluzione della situazione, ma non basta: ci vuole anche qualcuno che sia presente, con costanza e continuità, all'interno dei canali dove circolano le informazioni riservate e dove cresce la probabilità che la loro compravendita si traduca in una minaccia per l'azienda.

Dal mio punto di vista, non è ancora sufficiente: occorre che questo professionista parli fluentemente russo, visto che negli ultimi anni le imprese e le pubbliche amministrazioni italiane sono nel mirino specialmente di cybercriminali russi. Introdursi negli ambienti giusti, identificare gli interlocutori che possano fornire indicazioni utili e specialmente non farsi riconoscere come un infiltrato è fondamentale per tenere sotto controllo le attività malevole. È per questo che sconsiglio sempre a tutte le aziende di muoversi in autonomia e di rivolgersi a chi come Cyberoo possiede le competenze e gli strumenti per condurre sessioni di Threat Intelligence senza correre il rischio di peggiorare la situazione. L'improvvisazione è sempre un'arma a doppio taglio, e lo è ancora di più quando occorre muoversi nel rispetto della legalità e dell'etica in ambienti dove questi principi, generalmente, non valgono.  

 

Perché conviene affidarsi con fiducia a vendor come Cyberoo 

Sempre di più i clienti sono evoluti maturando sensibilità e consapevolezza, difficilmente tuttavia hanno tempo e competenze per svolgere il lavoro necessario con una profondità ed una efficacia come quelle svolte da vendor come Cyberoo la cui dedizione è totalmente rivolta alla sicurezza dell’azienda cliente.

Quando mostriamo ai prospect le informazioni riservate presenti nel dark web, capita spesso che siano stupiti e talvolta increduli che possano essere state esfiltrate informazioni che riguardano proprio la loro azienda.

Il fatto è che, a differenza di quanto molti continuano a pensare, oggi nessuno può davvero sentirsi intoccabile: il dark web pullula di dati sottratti alle aziende, a prescindere dalla loro dimensione e dal settore in cui operano.  Risulta, quindi, essenziale muoversi velocemente per trovarle prima che possa farlo qualcuno con intenzioni malevole. Le attività di Open Source Intelligence (OSINT) che svolgiamo permettono di accedere alle informazioni presenti nei livelli più profondi della rete.

A questo proposito vale sempre la pena di chiarire che cercare informazioni e vedere quando queste vengono messe in vendita non è di per sé una attività illegittima. Lo diventa invece scambiarle, venderle o acquistarle.