10.06.2015_ramacciotti-paganin

Deep
&
Dark Web
Stefano Ramacciotti, CISSP – Pierluigi Paganini
del
G.d.L. «Educazione alla Sicurezza Informatica»
Disclaimer
Le informazioni contenute nella presentazione sono
fornite a scopo esclusivamente didattico, prendiamo
quindi distanza da qualunque abuso se ne possa fare.
Ricordiamo che molte delle attività descritte sono
pratiche illegali e quindi perseguibili dalle autorità.
(ISC)2®
International Information Systems
Security Certification Consortium
(ISC)2®
• organizzazione no-profit che, nel mondo, promuove la
conoscenza, la formazione e lo sviluppo delle
competenze nella Sicurezza dei Sistemi Informativi
• Wikipedia la descrive come la più grande (100K p.)
organizzazione del genere nel panorama mondiale
• (ISC)²® sviluppa un programma di certificazioni fra i
più attivi e riconosciuti al mondo
• CISSP, Certificated Information System Security
Professional. Nel mondo vi sono c. 85.000 CISSP, di cui
55.000 in USA, 1.400 in Olanda e più di 300 in Italia
(ISC)2®
• Il 26/06/2012 viene ufficialmente riconosciuto da
(ISC)² il (ISC)²® Chapter Italy, aperto anche a persone
non certificate
•
• I Soci provengono principalmente (80%) dalle aziende
che impiegano personale certificato con un profilo da
ICT security manager
• E’ un’associazione ad accesso gratuito
(subordinata ad accettazione statuto e codice etico)
Deep
&
Dark Web
G.d.L. «Educazione alla Sicurezza Informatica»
Agenda
• Hidden, Deep e Invisible Web (12 slide)
• Dark Web (12 slide)
• TOR (64 slide):
– Come si entra (17 slide)
– Cosa ci si può trovare (45 slide)
– Cosa fare in azienda (2 slide)
Dati indicizzati da Google (2011)
“Eric Schmidt, il CEO di Google (il più grande indice del
mondo di Internet), ha stimato la dimensione [N.d.r: di
Internet] a circa 5.000.000 di terabyte di dati. Schmidt
ha inoltre osservato che nei suoi sette anni di attività,
Google ha indicizzato circa 200 terabyte pari a circa lo
0,004% della dimensione totale”
(McGuigan, 2011)
Bibliotecario in grado di
trovare solo 4 libri in una
biblioteca contenente
100.000 volumi
Distribuzione dati indicizzati
Hidden, Deep e Invisible Web
Hidden, Deep e Invisible Web
• La parte sommersa del Web è anche
chiamata:
– Web nascosto (Hidden Web)
– Web invisibile (Invisibile Web)
– Web profondo (Deep Web)
Deep e Dark Web in queste slide
• Deep Web
– Rappresenta la parte del web che non
è stata ancora indicizzata dai comuni
motori di ricerca
Dark
Web
Bright o
clear Web
• Dark Web
– Insieme di contenuti accessibili
pubblicamente che sono ospitati in
siti web il cui indirizzo IP è nascosto
ma ai quali chiunque può accedervi
purché ne conosca l’indirizzo
– Insieme di contenuti privati
scambiati in un network chiuso di
computer per il file sharing
Deep
Web
Confusione sui termini
• Non esiste una tassonomia riconosciuta dei
termini InfoSec
Confusione sui termini
• Non esiste una tassonomia riconosciuta dei
termini InfoSec
Web nascosto
• Pagine dinamiche e pagine private
• Pagine senza collegamenti
• Pagine contenuto variabile o non HTML
Pagine dinamiche e pagine private
• Pagine dinamiche, generate a seguito di:
– una richiesta (query) ad un database con la compilazione di un form
come le Yellow pages, i cataloghi e i portali (tipico per dati medici,
finanziari, scientifici, siti aziendali che da soli rappresentano più della
metà del web nascosto)
• Pagine private:
– accesso previa registrazione, come i siti di quotidiani, biblioteche e
librerie
– che non vengono scandagliate dai Web crawler (detti anche ragni,
spider, o robot: programmi in grado di analizzare i contenuti di un DB o
di una rete e inviati automaticamente per acquisire nuove risorse)
Pagine senza collegamenti
• Pagine alle quali non fa riferimento alcuna pagina esterna
(non “linkate”)
– ranking di Google proporzionale a quante volte una pagina Web viene
citata da pagine esterne
• Pagine che fanno riferimento solo interno al sito
– Basso rank
• Pagine prive di collegamenti (il classico «Work in progress»)
• Pagine raggiungibili solo con link realizzati con script, come
Javascript o Flash
Pagine contenuto variabile o non HTML
• Pagine il cui contenuto varia a seconda del contesto, come:
– indirizzo IP da cui è stata originata la richiesta o dalla pagina visitata
in precedenza
• Pagine non-HTML che fanno uso di altri formati di file come:
– come video (MS © Windows Media Video - .wmv -, Apple Quick Time .mov, ecc.)
– documenti (MS © Word - .doc -, Adobe Acrobat -.pdf -, ecc.)
– archivi “usenet” ed altri
Motori di ricerca per il Deep Web
Principali motori di ricerca per il Deep Web
iPL2 (formerly Librarians Index to the Internet)
Digital Librarian
Library of Congress Online Catalog
CompletePlanet
Union Institute A-Z Database List
GeniusFind
New York Public Library Databases Online
InfoMine
SearchSystems Public Records Directories
Turbo 10
Invisible-Web.net
IncyWincy Search
Gary Price's Direct Search
Argus Clearinghouse
MedNets Medical Database Gateway
ProFusion
MedBioWord: Science & Medical Journals & Databases
PooGee
Northern Light
Surwax
Weblens
Dark Web
“Hic sunt leones”
Esiste una sola darknet?
• The Onion Router (TOR)
– Questa rappresenta la principale delle darknet
• I2P
– Network “Peer-to-Peer” (P2P) pseudo-anonimo
– Normali servizi che operano su una rete sicura
• Freenet
– “Data store” distribuito di blocchi cifrati
– Piattaforma P2P di comunicazioni resistente alla censura
• anoNET
– Network “Friend to Friend” (F2F) pseudo-anonimo decentralizzato che
rende difficiloltoso conoscere le identità degli altri
The Onion Router (TOR)
Principali caratteristiche di TOR
• Accesso anonimo a Internet (non solo alla parte nascosta)
– Usando TOR è possibile accedere a un sito web senza che venga
mostrato l’indirizzo IP del client
• TOR fornisce "servizi nascosti" (2% del traffico)
– Anonimi perché non raggiungibili con comuni indirizzi IP
– Non è possibile eseguire la scansione di Internet per trovarli (280 siti)
– È possibile connettersi a loro solo se si sta utilizzando TOR
• Permette di bypassare i filtri
– Come ad esempio i filtri posti da alcuni governi
• Il tutto ad un costo: la VELOCITA’
Principali caratteristiche di TOR
• Dominio:
– “.onion”
– ad esempio, Tor Library: http://am4wuhz3zifexz5u.onion/
• Per navigare si utilizzano:
– liste compilate di link come la Hidden Wiki
– forum di utenti
• N.B.: per garantire la massima sicurezza e l’anonimato, le
pagine cambiano indirizzo molto spesso
La storia di TOR
Anno
Evoluzione di TOR
1995
Inizio dello sviluppo del "Onion Routing" (ONR)
1997
Finanziato dalla DARPA un “Programma per una rete ad alta fiducia”
1998
Creati i primi 13 nodi di cui uno in Canada dal Ministero della Difesa
2001
Ulteriori finanziamenti DARPA
2002
Lo US Naval Research Lab rilascia ONR v2 (cioè TOR)
2003
Altri finanziamenti DARPA
2004
Introdotti alcuni servizi nascosti come l’Hidden Wiki
2014
Gli sponsor includono: SRI, DoD USA, NSF, Radio Free Asia, la
Fondazione Ford, Google, EFF e 4300 individui
Come funziona TOR
• TOR richiede tre diversi intermediari
– Ogni computer nel diagramma (tranne Alice) è un nodo TOR. Solo il
primo nodo sa chi è Alice
– Non è possibile prevedere quali nodi saranno utilizzati da TOR
– Le comunicazioni tra i nodi sono tutte cifrate tranne l’ultima con Bob
– Eve non può intercettare il traffico
– Nomi dei nodi (i nodi cambiano ogni 10 min):
1. Guard node
2. Relay node
Eve
1
Alice
3. Exit node
2
Nodo TOR
Coll. cifrato
Coll. chiaro
Bob
3
Server
The Invisible Internet Project (I2P)
• I2P ha similitudini con Tor
• Anche se è possibile utilizzarlo come anonymizing gateway
quello non è il suo scopo primario
• I2P è stato progettato principalmente per ospitare i propri
servizi e fornire crittografia end to end
• Utilizza una struttura decentrata per proteggere l'identità del
mittente e ricevente, per essere utilizzata con diverse
applicazioni, tra cui e-mail, navigazione web, i.c., etc.
• A differenza di Tor che usa il TCP, I2P usa UDP
Crittografia di I2P
Differenze tra TOR e I2P
TOR
I2P
TCP
UDP
Directory Server
NetDB (P2P)
Separazione di Nodi e “client”
Ognuno può fare il routing del traffico
Exit Nodes
Outproxies
Circuits
Tunnels
anonymizing gateway
• progettato principalmente per
ospitare i propri servizi
• fornisce crittografia end to end
Entriamo in TOR
Entrate a vostro
rischio e pericolo!
Guida per principianti
http://electronician.hubpages.com/hub/ABeginners-Guide-to-Exploring-the-Darknet
In quanti frequentano TOR
5000 : Web = 1 : TOR
Roma 2,7 M ab. -> c. 500 utenti TOR
Come entrare in TOR
1. TAILS: The Amnesiac Internet System
(consigliata - massima “sicurezza”)
– Distribuzione Linux avviabile pre-configurata per
garantire la privacy (mantenere ben nascosto il
vostro IP)
– Ha ottimi controlli di sicurezza
– È possibile eseguirla in una macchina virtuale
2. TOR Browser Bundle (basato su Firefox consigliata
solo per provare)
– Va bene solo per uso occasionale. Gira voce che
potrebbe essere stato compromesso dall’FBI
– Necessarie ottime conoscenze per rendersi anonimi
e non mostrare indirizzo IP
– Non adatto a raccogliere informazioni sulle minacce
– I criminali posso contrattaccare e raccogliere di
informazioni sulla vostra identità. In tal caso potreste
essere attaccati o DOXati
Come entrare in TOR
1. Whonix (poco raccomandata per ragioni di
sicurezza)
– Richiede due host, un gateway e un client
– Buon progetto non esente da critiche
2. Vidalia (sconsigliata per questioni di
sicurezza)
– Non raccomandato
3. http://onion.city/ (da evitare accuratamente per
questioni di sicurezza)
http://onion.city/
• Per accedere a TOR è sufficiente un normale browser
– Non necessita di ulteriori strumenti (i.e. non necessita di Tor Browser)
•
•
•
•
•
Acquisto semplice di armi, droga e carte di credito rubate
Indicizza contenuti principali black market
Indicizzate già circa 348.000 pagine uniche della rete Tor
Utiilizza Tor2web proxy (https://tor2web.org/)
Attenzione su Google: «drug onion» fornisce risultati in 2^ pag.
I minorenni e TOR
Percezione del crimine
Gravità del comportamento
Timore della sanzione sociale e legale
Percezione del danno inferto alla vittima
Anonimità (possibilità di perseguire)
Stima dei rischi di essere scoperto, denunciato e catturato
Persone “normali” che commettono crimini o illeciti
• Riciclaggio di denaro falso
• Money mule
• Acquisto di sostanze stupefacenti
… non rappresentano un grosso problema per molti teenager se
l’intermediario è il Web
Precauzioni per navigare in TOR
• Obbligatori:
– Antivirus
– Firewall,
– IDS
– WAF
–…
Precauzioni per navigare in TOR: i NON
•
•
•
•
•
•
•
•
•
•
•
•
NON usare “onion.city” per entrare in TOR
NON installare o attivare plug-ins sul TOR browser
NON eseguire applicazioni Web
NON effettuare transazioni nel Dark Web
NON impiegare programmi di P2P quando su Tor
NON scaricare MAI niente (nel caso controllare sempre con l’AV)
NON aprire i documenti scaricati da Tor quando online
NON visionare video (anche le foto possono rappresentare un rischio)
NON impiegare Tor se non necessario (rallenta molto la navigazione)
NON entrare mai su dei siti o directory precedute da CP, Candy e Chan
NON partecipare a Forum
NON cercare contenuti relativi a terrorismo, pedopornografia e simili
Precauzioni per navigare in TOR
• in TOR è possibile partecipare come:
– Client (non partecipa alla rete): consigliato. E’ la
modalità di default del Tor browser per evitare che chi
sta sotto regimi repressivi possa avere problemi con la
giustizia
– Non exit relay (relay interno): sconsigliato. In questo
modo il nostro indirizzo IP non sarà visibile anche se si
potrebbe permettere a qualche malintenzionato di
fare attività illegali. Sconsigliato
– Exit relay: sconsigliato. Il nostro indirizzo IP è visibile e
se fosse usato per azioni illecite potremmo avere
problemi legali.
Precauzioni per navigare in TOR
• TOR Browser Bundle:
– Avere sempre l’ultima versione dei programmi per
collegarsi.
– Attenzione il TOR Browser Bundle non ha
l’aggiornamento automatico  controllare
periodicamente
– Andare su impostazioni e disabilitare l’uso di Java
Script
– Verificare prima e dopo il lancio del Tor Browser su
www.ipleak.net le tracce che lasciamo in rete mentre
navighiamo
TOR e la «Primavera araba»
Silk Road (ex)
Silk Road (3 ottobre 2013)
• 3/10/2013: sequestro sito Silk Road e arresto “Dread Pirate Roberts”
• I primi di novembre ne viene annunciata la riapertura
Silk Road 2.0 (6 novembre 2014)
• 6/11/2014: F.B.I. Operation Onymous sequestro “Silk Road 2.0” e 17 arresti
• Le attività criminali migrate subito su altri siti
Robert Ulbricht (aka Dread Pirate Roberts)
Il 29 Maggio 2015 Ross Ulbricht, il fondatore del mercato di Silk Road è stato
condannato all’ergastolo ed al risarcimento da 183 milioni di dollari su una
stima di 187 guadagnati
The Hidden Wiki (facili da trovare anche nel Clear Web)
Hacking (buono e cattivo)
Droga
Pedopornografia
Motori di ricerca su TOR
Motore di ricerca
DuckDuck Go!
Ixquick
DeepPeep
Ahmia (clear e deep web)
TorSearch
Torch
Tor Find
Dark Tor
indirizzo
http://3g2upl4pq6kufc4m.onion/
https://www.ixquick.com/
http://www.deeppeep.org/
http://ahmia.fi/
http://kbhpodhnfxl3clb4.onion/
http://xmh57jrzrnw6insl.onion/
http://ndj6p3asftxboa7j.onion/
http://fcouc4utxl6guwrm.onion/
Il progetto Memex
• Febbraio 2015 – L’agenzia DARPA rivela per la prima volta una
nuovo strumento di ricerca nel Web chiamato Memex
• Il progetto Memex è stato avviato per consentire la ricerca di
contenuti non indicizzati, -pare- probabilmente a uso di
agenzie di “Intelligence” sempre alla ricerca di nuove
informazioni
• Memex può effettuare ricerche anche nel "Deep Web”
• Il sistema è attualmente in fase di test, supporterà le ricerche
condotte dalle forze dell'ordine per le loro indagini e per la
prevenzione dei i crimini
Motori di ricerca alternativi
• L’azienda Digital Shadows ha implementato un motore di
ricerca che è in grado di scandagliare forum ed hidden
services nel deep web in tempo reale
Cosa è possibile trovare su TOR 1/3
•
•
•
•
•
Archivio “NoReason”
Conspiracy Theories
WikiLeaks
DOX and DOXing
Hacker Forums & Zines:
–
–
–
–
–
–
“HTP Hack the Planet”
“TorChan”
“IntelExchange”
“Tor Carding Forums”
“Overchan”
“HackBB”
• Repository di materiale coperto da Copyright
Archivio “NoReason”
• NoReason è un enorme archivio
• Riflette altri siti darknet (passati e
presenti).
• Ha una grossa biblioteca di
documenti:
–
–
–
–
Strani
Pericolosi
Inaffidabili
Noiosi
• Questa diapositiva è solo una
piccola parte di ciò che c’è in
NoReason.
• Questo ricorda molti le BBS della
fine degli anni '80 e primi anni
'90.
Conspiracy Theories
Tutto sulle teorie della cospirazione a cominciare dagli
UFO per continuare con i misteri della morte di John
Lennon, di Marilyn Monroe, di JFK, ecc.
Conspiracy Theories
… ma anche gli “Illuminati”,
© dal 1776
WikiLeaks
• WikiLeaks è il più conosciuto. Fondato da Julian Assange, tuttora
autorecluso nell’ambascita dell’Equador a Londra dal 2012, è ormai un sito
con notizie datate. Gli archivi sono ancora disponibili
• Ci sono altri siti attivi su TOR simili a WikiLeaks ma aggiornati con le ultime
notizie
DOX and DOXing
• DOXed: furto delle
informazioni
personali come
nome, indirizzo e
telefono, e loro
diffusione sul Web
• Spesso in DOXing
qualcuno chiama
all'azione per
stalking, rapimenti
o per omicidio
• DOXing è spesso un precursore dello SWATing
• SWATing è quando viene chiamata la polizia e denunciato che qualcuno ha
una pistola. Viene comunicato l’indirizzo della vittima nella speranza che la
polizia invii una squadra SWAT in modo che la vittima sia uccisa, ferita o
molestata (vedi vicenda di Brian Krebs)
Hacker Forums & Zines (HF&Z)
• Hacker Forums & Zines:
– “HTP Hack the Planet”
– “TorChan”
– “IntelExchange”
– “Tor Carding Forums”
– “Overchan”
– “HackBB”
HF&Z: “HTP Hack the Planet”
HF&Z: “TorChan”
• TorChan è simile a 4chan
• Più per appassionati di hacking che non per i professionisti
HF&Z: “IntelExchange”
• Più per appassionati di hacking che non per i professionisti
• Intel Exchange è un tipico esempio di un forum di discussione generale, come:
• Teorie del complotto // "Energia alternativa"
HF&Z: “Tor Carding Forums”
Per i professionisti del carding con anche una sezione sull’hacking
HF&Z: “Overchan”
Comportamento membri al limite dell’antisociale con sito che contiene
immagini oscene, linguaggio maleducato, comportamenti offensivi
HF&Z: “HackBB”
• E’ un social network per hacker agli inizi e anche per hacker capaci
• Ha associato un mercato per lo scambio
• Siti di hacking: sembra siano pesantemente infiltrati da strutture di intelligence
Materiale coperto da Copyright
• Grossi archivi non troppo diversi dalla vecchie BBS
• Presenza di depositi di ebook, di testi html, txt, doc e pdf di ogni tipo
• Esempio di raccolta di libri di Premi Pulitzer
Cosa è possibile trovare su TOR 2/3
• Documenti falsi:
– Passporti
– Patenti di guida
• Vendita di soldi falsi :
– “Counterfeit USD”
– “Wall Street”
• Vendita di numeri di carte di credito:
– “Black & Yellow”
– “TOR Carding Forums”
– “Original Skimmed Cards”
• Furti di soldi:
– “ATMs & Skimmers”
• Vendita di:
– Tecnologia (iPhone)
– Armi
Documenti falsi: Passaporti
• Es.: passaporto canadese 800 USD
• Mercato meno florido per documenti USA
Documenti falsi: Patenti di guida
• Non solo passaporti e patenti di guida ma anche documenti a corredo per
creare un’identità come: fotocopia di estratto conto bancario, bollette
telefoniche, ecc.. In kit dai 250 agli 800 USD
Vendita di soldi falsi: “Counterfeit USD”
Poco appetibili per i criminali veri perché non lo considerano molto efficace
Vendita di soldi falsi: “Wall Street”
• "Wall Street": vendita di valuta e informazioni relative ai pagamenti
• Notare l'etichetta «TRUSTED VENDOR» a protezione dell’acquirente
Vendita carte di credito: “Black & Yellow”
• Esempio: “Black & Yellow” che mostra il costo delle carte di credito
• Il sito recita che “provengono dai Paesi più ricchi sulla terra”
Vendita carte di credito: “TOR Carding Forums”
• Quasi in ogni black market è
possibile acquistare
prodotti relativi a frodi con
carte di pagamento.
• AlphaBay e Agorà sono tra
le comunità più attive delle
ultime settimane
• Non solo carte di credito,
ma anche servizi connessi
come money laundering e
carding personalizzato
Vendita carte di credito: “Original Skimmed Cards”
• Sito che vende i dati di carte clonate con lo skimmer in cambio di bitcoin
• Non viene usato il gergo dei carderz, ma: "riceverete carta, pin e istruzioni"
Furti di soldi: “ATMs & Skimmers”
• Ci sono siti e guide per aggirare la sicurezza o rubare dal bancomat
• Normalmente il lettore sporge ma è incassato e difficile da individuare
Vendita di iPhone
• Gli iPhone sono molto popolari in Darknet
• Traffico in Nord America per acquisto di iPhone rubati per la vendita in Asia
Vendita di armi
• Ai trafficanti d'armi in online non occorre vedere un porto d’armi
• Alcuni di questi vendono anche farmaci, passaporti e documenti falsi
• Molti vendono in bitcoin. Altri richiedono di prendere accordi
Cosa è possibile trovare su TOR 3/3
• Malware
– Chewbacca
– Attackers Using TOR
• Killer:
– “Hitman Network” $US10,000
– “Unfriendlysolution”
•
•
•
•
•
Tuttofare: “Fixer”
Terrorismo (o un sito civetta per I sostenitori)
Cloroformio (Nota: Email Address di Internet)
Vendita di droghe
Image Hosting Services
Norse – hunting down malware on the
deep web
TOR è un ambiente privilegiato per i bot
master che sfruttano la capacità di anonimato
che offre la darknet per nascondere i server di
C&C favoriti da:
• Disponibilità di servizi nascosti autenticati
• Reti private su Tor
• Flood sugli exit node
Norse – hunting down malware on the
deep web
TOR C&C server/botnet famosi:
• The Skynet Botnet
• Mevade Botnet (5 milioni di utenti attivi)
• The Atrax Crimekit
• 64-bit Zeus Banking Trojan Using Tor Network
• ChewBacca Financial Malware
• The Bifrose Malware
Malware e Deep Web
•
•
•
•
2012: una struttura di controllo (invio info acquisite ai cracker): Skynet
2013: tre strutture di controllo (C&C anche di milioni di utenti)
2014: tre strutture di controllo (OnionDuke per spionaggio in larga scala)
2015: due strutture di controllo su Tor e due su I2P (i.e. per Ransomware)
Malware: Chewbacca
Chewbacca è un malware POS che si connette a un sistema C&C in Darknet
come Zeus che è il famoso Trojan bancario trasformato il malware toolkit
Malware: Attackers Using TOR
Uso comune di TOR è quello di eseguire SQL Injection a siti web (per
anonimizzare gli attaccanti). Per difendersi occorrerebbe bloccare tutti i nodi di
uscita TOR, ma questi cambiano frequentemente
Killer: “Hitman Network” $ US 10,000
• Online da novembre 2013
• Non si sa se offrono servizi reali o è un sito civetta
Killer: “Unfriendlysolution”
Molte regole: pagamento in bitcoin, non sprecare il tempo, pagare in anticipo
per spese di viaggio e acquisto armi, non parlare della cosa e no video tape
Tuttofare: “Fixer”
(acquisto di servizi - molto attrattivo per il mondo
criminale, per es. servizio di escrowing)
Un “Fixer” è una persona che collega acquirenti e venditori. Può mettere in
collegamento con funzionari doganali, hacker, avvocati e medici “discreti”, ecc.
Terrorismo (sito civetta per i sostenitori?)
• C'è almeno un sito che pretende di permettere di finanziare gruppi.
Potrebbe anche essere un tentativo di qualche governo di identificare le
persone che sostengono il terrorismo o di criminali per spillare bitcoin
• Possibilità di reperire manuali di addestramento
Cloroformio (Nota: Email Address di Internet)
Si noti che l'indirizzo e-mail non è un sito ".onion" perché spesso i criminali
utilizzano Darknet per la pubblicità, mentre operano anche su "Clearnet"
Evolution (il dopo Silk Road)
In Marzo 2015, il sito sparisce nel nulla e con esso milioni di dollari pagati dai
clienti per i servizi di escrowing.
I principali Dark market (Giugno 2015)
Black Markets
Abraxas
Agorà
AlphaBay
Nucleus
Outlaw
Dream Market
Haven
Middle Earth
Onion address
abraxasdegupusel.onion
agorahooawayyfoe.onion
pwoah7foa6au2pul.onion
nucleuspf3izq7o6.onion
outfor6jwcztwbpd.onion
ltxocqh4nvwkofil.onion
havenpghmfqhivfn.onion
mango7u3rivtwxy7.onion
Image Hosting Services
Ci sono una serie di servizi di hosting di immagini nel Darknet, come in
Clearnet. Esistono perché si possano inviare campioni o immagini di prodotti
come: farmaci, carte di credito, pedopornografia, ecc.
Image Hosting Services: pedopornografia
Image Hosting Services: pedopornografia
Studio su Tor (2014)
• Gareth Owen e il suo team dell'Università di Portsmouth, nel
corso del “Chaos Computer Conference” di Amburgo, ha
presentato i risultati di uno studio di sei mesi (da marzo fino a
settembre 2014), che ha catalogato un numero significativo di
servizi nascosti di Tor
• Secondo lo studio i siti web sul gioco d'azzardo, i siti di
propaganda, i siti dove c’è scambio di bitcoin o quelli utilizzati
dai “whistle-blower” anonimi occupano una piccola parte
della Darknet investigata
• Sempre secondo tale studio, l’83 per cento del traffico che
fluisce tra i nodi di Tor è generato da pedofili
• Secondo Owen il numero di siti web di pedopornografia è di
oltre cinque volte in più di ogni altra categoria
Cosa fare in azienda
• Rischi se consentiamo agli utenti di muoversi
anonimamente:
– attacchi dall’esterno
– perdita di informazioni aziendali
– compromissione della privacy
– non imputabilità azioni (compliance norme?)
Cosa fare in azienda
• Impedire impiego reti per il Dark Web
– Politiche adeguate
– Impiegando tecnologie opportune
• Verificare comportamento utenti on-line
N.B.: sempre che non siamo Forze dell’Ordine,
ricercatori, giornalisti con corrispondenti da zone
«calde», ecc.
Per bloccare l’accesso a TOR
Bloccare l'accesso ai Tor Relay. Per farlo, acquisire
gli indirizzi da questi file:
– http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_li
st_ALL.csv
– https://www.dan.me.uk/torlist/
In relazione al dispositivo di rete usato bloccarne
gli accessi.
Questo è il caso di un CISCO Security Appliance:
– https://nbctcp.wordpress.com/2014/10/20/blockingtor-browser-in-cisco-asa-5505
© GdL EduSicInfo (ISC)2 Ch-IT
Copyright “Gruppo di Lavoro Educazione alla
Sicurezza Informatica” di (ISC)2 Italy
Chapter – 2015
– Autori:
o Stefano RAMACCIOTTI
o Pierluigi PAGANINI (autore di «The Deep Dark Web», 2012)