Quello comunemente conosciuto come Web rappresenta solo la superficie, e si riferisce a una piccolissima parte del “www” o del cosiddetto surfing web: circa il 4%.
Gli studi rivelano che questo 4% è rappresentato da contenuti oggi indicizzati dai motori di ricerca noti, come Google e similari, rappresentando una piccolissima parte dei siti web. Da qui derivano due termini che tipicamente vengono usati come sinonimi, ma che in realtà non lo sono: uno è il Deep Web, che rappresenta esattamente il restante 96% dei siti che semplicemente non sono indicizzati e che non è possibile trovare dai comuni motori di ricerca, o dei siti che sono protetti da password. Per accedere al Deep Web, quindi a questo mondo “sommerso”, è necessario conoscere l’indirizzo dell’utente a memoria o disporre di credenziali specifiche.
All’interno del Deep Web, esiste il mondo del Dark Web. Anch’esso è un contenuto non indicizzato, ma per potervi accedere serve un’ulteriore componente aggiuntiva, ovvero software specifici che consentono di addentrarsi nella cosiddetta DarkNet.
La più famosa e diffusa è TOR. Per accedervi è necessario un browser specifico, Firefox, nella versione dedicata rilasciata da TOR. Il suo nome identifica anche il motivo della necessità nel mondo di avere una DarkNet: l’acronimo sta per “The Onion Router”, ovvero “il router a cipolla”. I router a cipolla servono proprio perché la crittografia che viene costruita all’interno della DarkNet è basata su una cifratura a più livelli – come una cipolla, appunto. Anche un sito in chiaro (http, https) all’interno di TOR viene cifrato a più livelli. L’obiettivo è far sì che un messaggio e il suo contenuto siano visibili esclusivamente tra client e server, quindi tra chi eroga un determinato contenuto e chi ha necessità di usufruirne, mentre tutti gli altri all’interno della rete ne sono esclusi.
Un’altra peculiarità delle DarkNet è che nessuno all’interno della rete può vedere quelli che sono gli indirizzi IP reali che nel mondo internet identificano chi è il client e dov’è fisicamente collegato (provider, nazione, città, ecc…), ovvero dati che permettono a tutti, comprese le forze dell’ordine, di tracciare gli host. È questa la necessità principale per cui nel mondo esistono TOR e le altre DarkNet: rendere invisibili i sevizi, quindi il mascheramento dell’IP e dell’identità, e la cifratura del contenuto. È un modo per accedere a determinati servizi senza lasciare traccia: da TOR è quindi possibile vedere il resto del mondo, ma non viceversa.
Il Dark Web non è, di per sé, un luogo malsano, ma è utilizzato prevalentemente per veicolare contenuti illegali. In certi Stati per esempio, dove determinati siti sono repressi, è possibile accedervi tramite TOR. Alcuni, come Facebook, hanno aperto un sito all’interno di TOR per dare la possibilità di accedere a persone che vivono sotto regimi che applicano la censura a siti di questa natura.
Altro esempio di siti “buoni” che hanno scelto di offrire servizi su TOR è ProPubblica, una piattaforma indipendente e no-profit con lo scopo di denunciare gli abusi da parte di governi, imprese, istruzioni: la versione .onion garantisce ai suoi lettori il completo anonimato per tutelare la loro sicurezza.
Un giro d’affari da milioni di dollari
Da numerosi studi, emerge che i maggiori contenuti diffusi all’interno del dark web sono sicuramente le frodi finanziarie, con una serie di sottodomini che vanno dalla clonazione di carte di credito, all’accesso ad account eBay e PayPal, fino ai codici di accesso a servizi di home banking.
Le analisi dimostrano anche l’esistenza di veri e propri listini: un account bancario online, per esempio, viene venduto a un prezzo tra i 200 e i 500 dollari (a seconda del saldo presente sul conto); un account PayPal o eBay si può acquistare per circa 800 dollari. Esiste quindi una vera e propria rivendita di account, ovvero conti con denaro spendibile. E ancora, documenti falsi come altro servizio frequente all’interno del dark web. Tra i servizi più diffusi negli ultimi anni c’è sicuramente quello di vendita di malware, botnet e attacchi DDoS, e anche in questo caso esistono dei listini: un documento falsificato (carta d’identità o patente) va dai 10 ai 35 dollari, un malware che permette di avere un acceso remoto costa tra i 350 e i 400 dollari, il codice di un malware bancario va dai 900 ai 1500 dollari, oppure 24h di attacco DDoS, quindi botnet a noleggio, possono valere 1500 dollari.
I servizi sicuramente più diffusi all’interno del dark web riguardano quindi la vendita di malware e attacchi a service. Ma i due più grandi, a livello di problematiche e criticità, sono la pedopornografia e il terrorismo: da un’analisi delle pagine sospette che reindirizzavano a link all’interno di DarkNet, circa 1/3 erano di distribuzione di malware, un 1/3 erano siti per anonimizzare la navigazione, e l’altro terzo erano siti di materiale pedopornografico. L’altra componente, con una percentuale molto piccola, ma sicuramente cruciale, è rappresentata dal terrorismo. In questo caso, le DarkNet vengono sfruttate per influenzare e parlare con jihadisti occidentali, o per diffondere informazioni su come acquistare armi attraverso il dark web.
Armi e droga sono poi gli altri due prodotti maggiormente venduti all’interno del dark web. Un’economia in espansione, considerando che il popolare black market Silk Road nel 2012 contava un giro d’affari di circa 22 milioni di dollari, a solo un anno dalla sua nascita. Si tratta di dati in crescita esponenziale.
Le aziende possono contare sulla protezione offerta da Fortinet: nei FortiGate è disponibile il database degli indirizzi IP della rete TOR (exit-node e relay-node) e degli altri proxy di anonimizzazione. Questa lista di oggetti dinamici può essere usata direttamente nelle policy firewall per bloccare la navigazione verso queste reti, e per bloccare l’accesso da queste reti ai propri servizi erogati su Internet. È inoltre possibile utilizzare profili di application control per bloccare o monitorare traffico da e verso sistemi di anonimizzazione, che in questo caso è identificato da firme a livello applicativo.
