10.06.2015_ramacciotti-paganin
Transcript
10.06.2015_ramacciotti-paganin
Deep & Dark Web Stefano Ramacciotti, CISSP – Pierluigi Paganini del G.d.L. «Educazione alla Sicurezza Informatica» Disclaimer Le informazioni contenute nella presentazione sono fornite a scopo esclusivamente didattico, prendiamo quindi distanza da qualunque abuso se ne possa fare. Ricordiamo che molte delle attività descritte sono pratiche illegali e quindi perseguibili dalle autorità. (ISC)2® International Information Systems Security Certification Consortium (ISC)2® • organizzazione no-profit che, nel mondo, promuove la conoscenza, la formazione e lo sviluppo delle competenze nella Sicurezza dei Sistemi Informativi • Wikipedia la descrive come la più grande (100K p.) organizzazione del genere nel panorama mondiale • (ISC)²® sviluppa un programma di certificazioni fra i più attivi e riconosciuti al mondo • CISSP, Certificated Information System Security Professional. Nel mondo vi sono c. 85.000 CISSP, di cui 55.000 in USA, 1.400 in Olanda e più di 300 in Italia (ISC)2® • Il 26/06/2012 viene ufficialmente riconosciuto da (ISC)² il (ISC)²® Chapter Italy, aperto anche a persone non certificate • • I Soci provengono principalmente (80%) dalle aziende che impiegano personale certificato con un profilo da ICT security manager • E’ un’associazione ad accesso gratuito (subordinata ad accettazione statuto e codice etico) Deep & Dark Web G.d.L. «Educazione alla Sicurezza Informatica» Agenda • Hidden, Deep e Invisible Web (12 slide) • Dark Web (12 slide) • TOR (64 slide): – Come si entra (17 slide) – Cosa ci si può trovare (45 slide) – Cosa fare in azienda (2 slide) Dati indicizzati da Google (2011) “Eric Schmidt, il CEO di Google (il più grande indice del mondo di Internet), ha stimato la dimensione [N.d.r: di Internet] a circa 5.000.000 di terabyte di dati. Schmidt ha inoltre osservato che nei suoi sette anni di attività, Google ha indicizzato circa 200 terabyte pari a circa lo 0,004% della dimensione totale” (McGuigan, 2011) Bibliotecario in grado di trovare solo 4 libri in una biblioteca contenente 100.000 volumi Distribuzione dati indicizzati Hidden, Deep e Invisible Web Hidden, Deep e Invisible Web • La parte sommersa del Web è anche chiamata: – Web nascosto (Hidden Web) – Web invisibile (Invisibile Web) – Web profondo (Deep Web) Deep e Dark Web in queste slide • Deep Web – Rappresenta la parte del web che non è stata ancora indicizzata dai comuni motori di ricerca Dark Web Bright o clear Web • Dark Web – Insieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP è nascosto ma ai quali chiunque può accedervi purché ne conosca l’indirizzo – Insieme di contenuti privati scambiati in un network chiuso di computer per il file sharing Deep Web Confusione sui termini • Non esiste una tassonomia riconosciuta dei termini InfoSec Confusione sui termini • Non esiste una tassonomia riconosciuta dei termini InfoSec Web nascosto • Pagine dinamiche e pagine private • Pagine senza collegamenti • Pagine contenuto variabile o non HTML Pagine dinamiche e pagine private • Pagine dinamiche, generate a seguito di: – una richiesta (query) ad un database con la compilazione di un form come le Yellow pages, i cataloghi e i portali (tipico per dati medici, finanziari, scientifici, siti aziendali che da soli rappresentano più della metà del web nascosto) • Pagine private: – accesso previa registrazione, come i siti di quotidiani, biblioteche e librerie – che non vengono scandagliate dai Web crawler (detti anche ragni, spider, o robot: programmi in grado di analizzare i contenuti di un DB o di una rete e inviati automaticamente per acquisire nuove risorse) Pagine senza collegamenti • Pagine alle quali non fa riferimento alcuna pagina esterna (non “linkate”) – ranking di Google proporzionale a quante volte una pagina Web viene citata da pagine esterne • Pagine che fanno riferimento solo interno al sito – Basso rank • Pagine prive di collegamenti (il classico «Work in progress») • Pagine raggiungibili solo con link realizzati con script, come Javascript o Flash Pagine contenuto variabile o non HTML • Pagine il cui contenuto varia a seconda del contesto, come: – indirizzo IP da cui è stata originata la richiesta o dalla pagina visitata in precedenza • Pagine non-HTML che fanno uso di altri formati di file come: – come video (MS © Windows Media Video - .wmv -, Apple Quick Time .mov, ecc.) – documenti (MS © Word - .doc -, Adobe Acrobat -.pdf -, ecc.) – archivi “usenet” ed altri Motori di ricerca per il Deep Web Principali motori di ricerca per il Deep Web iPL2 (formerly Librarians Index to the Internet) Digital Librarian Library of Congress Online Catalog CompletePlanet Union Institute A-Z Database List GeniusFind New York Public Library Databases Online InfoMine SearchSystems Public Records Directories Turbo 10 Invisible-Web.net IncyWincy Search Gary Price's Direct Search Argus Clearinghouse MedNets Medical Database Gateway ProFusion MedBioWord: Science & Medical Journals & Databases PooGee Northern Light Surwax Weblens Dark Web “Hic sunt leones” Esiste una sola darknet? • The Onion Router (TOR) – Questa rappresenta la principale delle darknet • I2P – Network “Peer-to-Peer” (P2P) pseudo-anonimo – Normali servizi che operano su una rete sicura • Freenet – “Data store” distribuito di blocchi cifrati – Piattaforma P2P di comunicazioni resistente alla censura • anoNET – Network “Friend to Friend” (F2F) pseudo-anonimo decentralizzato che rende difficiloltoso conoscere le identità degli altri The Onion Router (TOR) Principali caratteristiche di TOR • Accesso anonimo a Internet (non solo alla parte nascosta) – Usando TOR è possibile accedere a un sito web senza che venga mostrato l’indirizzo IP del client • TOR fornisce "servizi nascosti" (2% del traffico) – Anonimi perché non raggiungibili con comuni indirizzi IP – Non è possibile eseguire la scansione di Internet per trovarli (280 siti) – È possibile connettersi a loro solo se si sta utilizzando TOR • Permette di bypassare i filtri – Come ad esempio i filtri posti da alcuni governi • Il tutto ad un costo: la VELOCITA’ Principali caratteristiche di TOR • Dominio: – “.onion” – ad esempio, Tor Library: http://am4wuhz3zifexz5u.onion/ • Per navigare si utilizzano: – liste compilate di link come la Hidden Wiki – forum di utenti • N.B.: per garantire la massima sicurezza e l’anonimato, le pagine cambiano indirizzo molto spesso La storia di TOR Anno Evoluzione di TOR 1995 Inizio dello sviluppo del "Onion Routing" (ONR) 1997 Finanziato dalla DARPA un “Programma per una rete ad alta fiducia” 1998 Creati i primi 13 nodi di cui uno in Canada dal Ministero della Difesa 2001 Ulteriori finanziamenti DARPA 2002 Lo US Naval Research Lab rilascia ONR v2 (cioè TOR) 2003 Altri finanziamenti DARPA 2004 Introdotti alcuni servizi nascosti come l’Hidden Wiki 2014 Gli sponsor includono: SRI, DoD USA, NSF, Radio Free Asia, la Fondazione Ford, Google, EFF e 4300 individui Come funziona TOR • TOR richiede tre diversi intermediari – Ogni computer nel diagramma (tranne Alice) è un nodo TOR. Solo il primo nodo sa chi è Alice – Non è possibile prevedere quali nodi saranno utilizzati da TOR – Le comunicazioni tra i nodi sono tutte cifrate tranne l’ultima con Bob – Eve non può intercettare il traffico – Nomi dei nodi (i nodi cambiano ogni 10 min): 1. Guard node 2. Relay node Eve 1 Alice 3. Exit node 2 Nodo TOR Coll. cifrato Coll. chiaro Bob 3 Server The Invisible Internet Project (I2P) • I2P ha similitudini con Tor • Anche se è possibile utilizzarlo come anonymizing gateway quello non è il suo scopo primario • I2P è stato progettato principalmente per ospitare i propri servizi e fornire crittografia end to end • Utilizza una struttura decentrata per proteggere l'identità del mittente e ricevente, per essere utilizzata con diverse applicazioni, tra cui e-mail, navigazione web, i.c., etc. • A differenza di Tor che usa il TCP, I2P usa UDP Crittografia di I2P Differenze tra TOR e I2P TOR I2P TCP UDP Directory Server NetDB (P2P) Separazione di Nodi e “client” Ognuno può fare il routing del traffico Exit Nodes Outproxies Circuits Tunnels anonymizing gateway • progettato principalmente per ospitare i propri servizi • fornisce crittografia end to end Entriamo in TOR Entrate a vostro rischio e pericolo! Guida per principianti http://electronician.hubpages.com/hub/ABeginners-Guide-to-Exploring-the-Darknet In quanti frequentano TOR 5000 : Web = 1 : TOR Roma 2,7 M ab. -> c. 500 utenti TOR Come entrare in TOR 1. TAILS: The Amnesiac Internet System (consigliata - massima “sicurezza”) – Distribuzione Linux avviabile pre-configurata per garantire la privacy (mantenere ben nascosto il vostro IP) – Ha ottimi controlli di sicurezza – È possibile eseguirla in una macchina virtuale 2. TOR Browser Bundle (basato su Firefox consigliata solo per provare) – Va bene solo per uso occasionale. Gira voce che potrebbe essere stato compromesso dall’FBI – Necessarie ottime conoscenze per rendersi anonimi e non mostrare indirizzo IP – Non adatto a raccogliere informazioni sulle minacce – I criminali posso contrattaccare e raccogliere di informazioni sulla vostra identità. In tal caso potreste essere attaccati o DOXati Come entrare in TOR 1. Whonix (poco raccomandata per ragioni di sicurezza) – Richiede due host, un gateway e un client – Buon progetto non esente da critiche 2. Vidalia (sconsigliata per questioni di sicurezza) – Non raccomandato 3. http://onion.city/ (da evitare accuratamente per questioni di sicurezza) http://onion.city/ • Per accedere a TOR è sufficiente un normale browser – Non necessita di ulteriori strumenti (i.e. non necessita di Tor Browser) • • • • • Acquisto semplice di armi, droga e carte di credito rubate Indicizza contenuti principali black market Indicizzate già circa 348.000 pagine uniche della rete Tor Utiilizza Tor2web proxy (https://tor2web.org/) Attenzione su Google: «drug onion» fornisce risultati in 2^ pag. I minorenni e TOR Percezione del crimine Gravità del comportamento Timore della sanzione sociale e legale Percezione del danno inferto alla vittima Anonimità (possibilità di perseguire) Stima dei rischi di essere scoperto, denunciato e catturato Persone “normali” che commettono crimini o illeciti • Riciclaggio di denaro falso • Money mule • Acquisto di sostanze stupefacenti … non rappresentano un grosso problema per molti teenager se l’intermediario è il Web Precauzioni per navigare in TOR • Obbligatori: – Antivirus – Firewall, – IDS – WAF –… Precauzioni per navigare in TOR: i NON • • • • • • • • • • • • NON usare “onion.city” per entrare in TOR NON installare o attivare plug-ins sul TOR browser NON eseguire applicazioni Web NON effettuare transazioni nel Dark Web NON impiegare programmi di P2P quando su Tor NON scaricare MAI niente (nel caso controllare sempre con l’AV) NON aprire i documenti scaricati da Tor quando online NON visionare video (anche le foto possono rappresentare un rischio) NON impiegare Tor se non necessario (rallenta molto la navigazione) NON entrare mai su dei siti o directory precedute da CP, Candy e Chan NON partecipare a Forum NON cercare contenuti relativi a terrorismo, pedopornografia e simili Precauzioni per navigare in TOR • in TOR è possibile partecipare come: – Client (non partecipa alla rete): consigliato. E’ la modalità di default del Tor browser per evitare che chi sta sotto regimi repressivi possa avere problemi con la giustizia – Non exit relay (relay interno): sconsigliato. In questo modo il nostro indirizzo IP non sarà visibile anche se si potrebbe permettere a qualche malintenzionato di fare attività illegali. Sconsigliato – Exit relay: sconsigliato. Il nostro indirizzo IP è visibile e se fosse usato per azioni illecite potremmo avere problemi legali. Precauzioni per navigare in TOR • TOR Browser Bundle: – Avere sempre l’ultima versione dei programmi per collegarsi. – Attenzione il TOR Browser Bundle non ha l’aggiornamento automatico controllare periodicamente – Andare su impostazioni e disabilitare l’uso di Java Script – Verificare prima e dopo il lancio del Tor Browser su www.ipleak.net le tracce che lasciamo in rete mentre navighiamo TOR e la «Primavera araba» Silk Road (ex) Silk Road (3 ottobre 2013) • 3/10/2013: sequestro sito Silk Road e arresto “Dread Pirate Roberts” • I primi di novembre ne viene annunciata la riapertura Silk Road 2.0 (6 novembre 2014) • 6/11/2014: F.B.I. Operation Onymous sequestro “Silk Road 2.0” e 17 arresti • Le attività criminali migrate subito su altri siti Robert Ulbricht (aka Dread Pirate Roberts) Il 29 Maggio 2015 Ross Ulbricht, il fondatore del mercato di Silk Road è stato condannato all’ergastolo ed al risarcimento da 183 milioni di dollari su una stima di 187 guadagnati The Hidden Wiki (facili da trovare anche nel Clear Web) Hacking (buono e cattivo) Droga Pedopornografia Motori di ricerca su TOR Motore di ricerca DuckDuck Go! Ixquick DeepPeep Ahmia (clear e deep web) TorSearch Torch Tor Find Dark Tor indirizzo http://3g2upl4pq6kufc4m.onion/ https://www.ixquick.com/ http://www.deeppeep.org/ http://ahmia.fi/ http://kbhpodhnfxl3clb4.onion/ http://xmh57jrzrnw6insl.onion/ http://ndj6p3asftxboa7j.onion/ http://fcouc4utxl6guwrm.onion/ Il progetto Memex • Febbraio 2015 – L’agenzia DARPA rivela per la prima volta una nuovo strumento di ricerca nel Web chiamato Memex • Il progetto Memex è stato avviato per consentire la ricerca di contenuti non indicizzati, -pare- probabilmente a uso di agenzie di “Intelligence” sempre alla ricerca di nuove informazioni • Memex può effettuare ricerche anche nel "Deep Web” • Il sistema è attualmente in fase di test, supporterà le ricerche condotte dalle forze dell'ordine per le loro indagini e per la prevenzione dei i crimini Motori di ricerca alternativi • L’azienda Digital Shadows ha implementato un motore di ricerca che è in grado di scandagliare forum ed hidden services nel deep web in tempo reale Cosa è possibile trovare su TOR 1/3 • • • • • Archivio “NoReason” Conspiracy Theories WikiLeaks DOX and DOXing Hacker Forums & Zines: – – – – – – “HTP Hack the Planet” “TorChan” “IntelExchange” “Tor Carding Forums” “Overchan” “HackBB” • Repository di materiale coperto da Copyright Archivio “NoReason” • NoReason è un enorme archivio • Riflette altri siti darknet (passati e presenti). • Ha una grossa biblioteca di documenti: – – – – Strani Pericolosi Inaffidabili Noiosi • Questa diapositiva è solo una piccola parte di ciò che c’è in NoReason. • Questo ricorda molti le BBS della fine degli anni '80 e primi anni '90. Conspiracy Theories Tutto sulle teorie della cospirazione a cominciare dagli UFO per continuare con i misteri della morte di John Lennon, di Marilyn Monroe, di JFK, ecc. Conspiracy Theories … ma anche gli “Illuminati”, © dal 1776 WikiLeaks • WikiLeaks è il più conosciuto. Fondato da Julian Assange, tuttora autorecluso nell’ambascita dell’Equador a Londra dal 2012, è ormai un sito con notizie datate. Gli archivi sono ancora disponibili • Ci sono altri siti attivi su TOR simili a WikiLeaks ma aggiornati con le ultime notizie DOX and DOXing • DOXed: furto delle informazioni personali come nome, indirizzo e telefono, e loro diffusione sul Web • Spesso in DOXing qualcuno chiama all'azione per stalking, rapimenti o per omicidio • DOXing è spesso un precursore dello SWATing • SWATing è quando viene chiamata la polizia e denunciato che qualcuno ha una pistola. Viene comunicato l’indirizzo della vittima nella speranza che la polizia invii una squadra SWAT in modo che la vittima sia uccisa, ferita o molestata (vedi vicenda di Brian Krebs) Hacker Forums & Zines (HF&Z) • Hacker Forums & Zines: – “HTP Hack the Planet” – “TorChan” – “IntelExchange” – “Tor Carding Forums” – “Overchan” – “HackBB” HF&Z: “HTP Hack the Planet” HF&Z: “TorChan” • TorChan è simile a 4chan • Più per appassionati di hacking che non per i professionisti HF&Z: “IntelExchange” • Più per appassionati di hacking che non per i professionisti • Intel Exchange è un tipico esempio di un forum di discussione generale, come: • Teorie del complotto // "Energia alternativa" HF&Z: “Tor Carding Forums” Per i professionisti del carding con anche una sezione sull’hacking HF&Z: “Overchan” Comportamento membri al limite dell’antisociale con sito che contiene immagini oscene, linguaggio maleducato, comportamenti offensivi HF&Z: “HackBB” • E’ un social network per hacker agli inizi e anche per hacker capaci • Ha associato un mercato per lo scambio • Siti di hacking: sembra siano pesantemente infiltrati da strutture di intelligence Materiale coperto da Copyright • Grossi archivi non troppo diversi dalla vecchie BBS • Presenza di depositi di ebook, di testi html, txt, doc e pdf di ogni tipo • Esempio di raccolta di libri di Premi Pulitzer Cosa è possibile trovare su TOR 2/3 • Documenti falsi: – Passporti – Patenti di guida • Vendita di soldi falsi : – “Counterfeit USD” – “Wall Street” • Vendita di numeri di carte di credito: – “Black & Yellow” – “TOR Carding Forums” – “Original Skimmed Cards” • Furti di soldi: – “ATMs & Skimmers” • Vendita di: – Tecnologia (iPhone) – Armi Documenti falsi: Passaporti • Es.: passaporto canadese 800 USD • Mercato meno florido per documenti USA Documenti falsi: Patenti di guida • Non solo passaporti e patenti di guida ma anche documenti a corredo per creare un’identità come: fotocopia di estratto conto bancario, bollette telefoniche, ecc.. In kit dai 250 agli 800 USD Vendita di soldi falsi: “Counterfeit USD” Poco appetibili per i criminali veri perché non lo considerano molto efficace Vendita di soldi falsi: “Wall Street” • "Wall Street": vendita di valuta e informazioni relative ai pagamenti • Notare l'etichetta «TRUSTED VENDOR» a protezione dell’acquirente Vendita carte di credito: “Black & Yellow” • Esempio: “Black & Yellow” che mostra il costo delle carte di credito • Il sito recita che “provengono dai Paesi più ricchi sulla terra” Vendita carte di credito: “TOR Carding Forums” • Quasi in ogni black market è possibile acquistare prodotti relativi a frodi con carte di pagamento. • AlphaBay e Agorà sono tra le comunità più attive delle ultime settimane • Non solo carte di credito, ma anche servizi connessi come money laundering e carding personalizzato Vendita carte di credito: “Original Skimmed Cards” • Sito che vende i dati di carte clonate con lo skimmer in cambio di bitcoin • Non viene usato il gergo dei carderz, ma: "riceverete carta, pin e istruzioni" Furti di soldi: “ATMs & Skimmers” • Ci sono siti e guide per aggirare la sicurezza o rubare dal bancomat • Normalmente il lettore sporge ma è incassato e difficile da individuare Vendita di iPhone • Gli iPhone sono molto popolari in Darknet • Traffico in Nord America per acquisto di iPhone rubati per la vendita in Asia Vendita di armi • Ai trafficanti d'armi in online non occorre vedere un porto d’armi • Alcuni di questi vendono anche farmaci, passaporti e documenti falsi • Molti vendono in bitcoin. Altri richiedono di prendere accordi Cosa è possibile trovare su TOR 3/3 • Malware – Chewbacca – Attackers Using TOR • Killer: – “Hitman Network” $US10,000 – “Unfriendlysolution” • • • • • Tuttofare: “Fixer” Terrorismo (o un sito civetta per I sostenitori) Cloroformio (Nota: Email Address di Internet) Vendita di droghe Image Hosting Services Norse – hunting down malware on the deep web TOR è un ambiente privilegiato per i bot master che sfruttano la capacità di anonimato che offre la darknet per nascondere i server di C&C favoriti da: • Disponibilità di servizi nascosti autenticati • Reti private su Tor • Flood sugli exit node Norse – hunting down malware on the deep web TOR C&C server/botnet famosi: • The Skynet Botnet • Mevade Botnet (5 milioni di utenti attivi) • The Atrax Crimekit • 64-bit Zeus Banking Trojan Using Tor Network • ChewBacca Financial Malware • The Bifrose Malware Malware e Deep Web • • • • 2012: una struttura di controllo (invio info acquisite ai cracker): Skynet 2013: tre strutture di controllo (C&C anche di milioni di utenti) 2014: tre strutture di controllo (OnionDuke per spionaggio in larga scala) 2015: due strutture di controllo su Tor e due su I2P (i.e. per Ransomware) Malware: Chewbacca Chewbacca è un malware POS che si connette a un sistema C&C in Darknet come Zeus che è il famoso Trojan bancario trasformato il malware toolkit Malware: Attackers Using TOR Uso comune di TOR è quello di eseguire SQL Injection a siti web (per anonimizzare gli attaccanti). Per difendersi occorrerebbe bloccare tutti i nodi di uscita TOR, ma questi cambiano frequentemente Killer: “Hitman Network” $ US 10,000 • Online da novembre 2013 • Non si sa se offrono servizi reali o è un sito civetta Killer: “Unfriendlysolution” Molte regole: pagamento in bitcoin, non sprecare il tempo, pagare in anticipo per spese di viaggio e acquisto armi, non parlare della cosa e no video tape Tuttofare: “Fixer” (acquisto di servizi - molto attrattivo per il mondo criminale, per es. servizio di escrowing) Un “Fixer” è una persona che collega acquirenti e venditori. Può mettere in collegamento con funzionari doganali, hacker, avvocati e medici “discreti”, ecc. Terrorismo (sito civetta per i sostenitori?) • C'è almeno un sito che pretende di permettere di finanziare gruppi. Potrebbe anche essere un tentativo di qualche governo di identificare le persone che sostengono il terrorismo o di criminali per spillare bitcoin • Possibilità di reperire manuali di addestramento Cloroformio (Nota: Email Address di Internet) Si noti che l'indirizzo e-mail non è un sito ".onion" perché spesso i criminali utilizzano Darknet per la pubblicità, mentre operano anche su "Clearnet" Evolution (il dopo Silk Road) In Marzo 2015, il sito sparisce nel nulla e con esso milioni di dollari pagati dai clienti per i servizi di escrowing. I principali Dark market (Giugno 2015) Black Markets Abraxas Agorà AlphaBay Nucleus Outlaw Dream Market Haven Middle Earth Onion address abraxasdegupusel.onion agorahooawayyfoe.onion pwoah7foa6au2pul.onion nucleuspf3izq7o6.onion outfor6jwcztwbpd.onion ltxocqh4nvwkofil.onion havenpghmfqhivfn.onion mango7u3rivtwxy7.onion Image Hosting Services Ci sono una serie di servizi di hosting di immagini nel Darknet, come in Clearnet. Esistono perché si possano inviare campioni o immagini di prodotti come: farmaci, carte di credito, pedopornografia, ecc. Image Hosting Services: pedopornografia Image Hosting Services: pedopornografia Studio su Tor (2014) • Gareth Owen e il suo team dell'Università di Portsmouth, nel corso del “Chaos Computer Conference” di Amburgo, ha presentato i risultati di uno studio di sei mesi (da marzo fino a settembre 2014), che ha catalogato un numero significativo di servizi nascosti di Tor • Secondo lo studio i siti web sul gioco d'azzardo, i siti di propaganda, i siti dove c’è scambio di bitcoin o quelli utilizzati dai “whistle-blower” anonimi occupano una piccola parte della Darknet investigata • Sempre secondo tale studio, l’83 per cento del traffico che fluisce tra i nodi di Tor è generato da pedofili • Secondo Owen il numero di siti web di pedopornografia è di oltre cinque volte in più di ogni altra categoria Cosa fare in azienda • Rischi se consentiamo agli utenti di muoversi anonimamente: – attacchi dall’esterno – perdita di informazioni aziendali – compromissione della privacy – non imputabilità azioni (compliance norme?) Cosa fare in azienda • Impedire impiego reti per il Dark Web – Politiche adeguate – Impiegando tecnologie opportune • Verificare comportamento utenti on-line N.B.: sempre che non siamo Forze dell’Ordine, ricercatori, giornalisti con corrispondenti da zone «calde», ecc. Per bloccare l’accesso a TOR Bloccare l'accesso ai Tor Relay. Per farlo, acquisire gli indirizzi da questi file: – http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_li st_ALL.csv – https://www.dan.me.uk/torlist/ In relazione al dispositivo di rete usato bloccarne gli accessi. Questo è il caso di un CISCO Security Appliance: – https://nbctcp.wordpress.com/2014/10/20/blockingtor-browser-in-cisco-asa-5505 © GdL EduSicInfo (ISC)2 Ch-IT Copyright “Gruppo di Lavoro Educazione alla Sicurezza Informatica” di (ISC)2 Italy Chapter – 2015 – Autori: o Stefano RAMACCIOTTI o Pierluigi PAGANINI (autore di «The Deep Dark Web», 2012)