Deep & Dark Web. Stefano Ramacciotti, CISSP Pierluigi Paganini del G.d.L. «Educazione alla Sicurezza Informatica»

Transcript

1 Deep & Dark Web Stefano Ramacciotti, CISSP Pierluigi Paganini del G.d.L. «Educazione alla Sicurezza Informatica»

2 Disclaimer Le informazioni contenute nella presentazione sono fornite a scopo esclusivamente didattico, prendiamo quindi distanza da qualunque abuso se ne possa fare. Ricordiamo che molte delle attività descritte sono pratiche illegali e quindi perseguibili dalle autorità.

3 (ISC) 2 International Information Systems Security Certification Consortium

4 (ISC) 2 organizzazione no-profit che, nel mondo, promuove la conoscenza, la formazione e lo sviluppo delle competenze nella Sicurezza dei Sistemi Informativi Wikipedia la descrive come la più grande (100K p.) organizzazione del genere nel panorama mondiale (ISC)² sviluppa un programma di certificazioni fra i più attivi e riconosciuti al mondo CISSP, Certificated Information System Security Professional. Nel mondo vi sono c CISSP, di cui in USA, in Olanda e più di 300 in Italia

5 (ISC) 2 Il 26/06/2012 viene ufficialmente riconosciuto da (ISC)² il (ISC)² Chapter Italy, aperto anche a persone non certificate I Soci provengono principalmente (80%) dalle aziende che impiegano personale certificato con un profilo da ICT security manager E un associazione ad accesso gratuito (subordinata ad accettazione statuto e codice etico)

6 Deep & Dark Web G.d.L. «Educazione alla Sicurezza Informatica»

7 Agenda Hidden, Deep e Invisible Web (12 slide) Dark Web (12 slide) TOR (64 slide): Come si entra (17 slide) Cosa ci si può trovare (45 slide) Cosa fare in azienda (2 slide)

8

9 Dati indicizzati da Google (2011) Eric Schmidt, il CEO di Google (il più grande indice del mondo di Internet), ha stimato la dimensione [N.d.r: di Internet] a circa di terabyte di dati. Schmidt ha inoltre osservato che nei suoi sette anni di attività, Google ha indicizzato circa 200 terabyte pari a circa lo 0,004% della dimensione totale (McGuigan, 2011)

10 Bibliotecario in grado di trovare solo 4 libri in una biblioteca contenente volumi

11 Distribuzione dati indicizzati

12 Hidden, Deep e Invisible Web

13 Hidden, Deep e Invisible Web La parte sommersa del Web è anche chiamata: Web nascosto (Hidden Web) Web invisibile (Invisibile Web) Web profondo (Deep Web)

14 Deep e Dark Web in queste slide Deep Web Rappresenta la parte del web che non è stata ancora indicizzata dai comuni motori di ricerca Dark Web Insieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP è nascosto ma ai quali chiunque può accedervi purché ne conosca l indirizzo Insieme di contenuti privati scambiati in un network chiuso di computer per il file sharing Dark Web Bright o clear Web Deep Web

15 Confusione sui termini Non esiste una tassonomia riconosciuta dei termini InfoSec

16 Confusione sui termini Non esiste una tassonomia riconosciuta dei termini InfoSec

17 Web nascosto Pagine dinamiche e pagine private Pagine senza collegamenti Pagine contenuto variabile o non HTML

18 Pagine dinamiche e pagine private Pagine dinamiche, generate a seguito di: una richiesta (query) ad un database con la compilazione di un form come le Yellow pages, i cataloghi e i portali (tipico per dati medici, finanziari, scientifici, siti aziendali che da soli rappresentano più della metà del web nascosto) Pagine private: accesso previa registrazione, come i siti di quotidiani, biblioteche e librerie che non vengono scandagliate dai Web crawler (detti anche ragni, spider, o robot: programmi in grado di analizzare i contenuti di un DB o di una rete e inviati automaticamente per acquisire nuove risorse)

19 Pagine senza collegamenti Pagine alle quali non fa riferimento alcuna pagina esterna (non linkate ) ranking di Google proporzionale a quante volte una pagina Web viene citata da pagine esterne Pagine che fanno riferimento solo interno al sito Basso rank Pagine prive di collegamenti (il classico «Work in progress») Pagine raggiungibili solo con link realizzati con script, come Javascript o Flash

20 Pagine contenuto variabile o non HTML Pagine il cui contenuto varia a seconda del contesto, come: indirizzo IP da cui è stata originata la richiesta o dalla pagina visitata in precedenza Pagine non-html che fanno uso di altri formati di file come: come video (MS Windows Media Video -.wmv -, Apple Quick Time -.mov, ecc.) documenti (MS Word -.doc -, Adobe Acrobat -.pdf -, ecc.) archivi usenet ed altri

21 Motori di ricerca per il Deep Web Principali motori di ricerca per il Deep Web ipl2 (formerly Librarians Index to the Internet) Digital Librarian Library of Congress Online Catalog CompletePlanet Union Institute A-Z Database List GeniusFind New York Public Library Databases Online InfoMine SearchSystems Public Records Directories Turbo 10 Invisible-Web.net IncyWincy Search Gary Price's Direct Search Argus Clearinghouse MedNets Medical Database Gateway ProFusion MedBioWord: Science & Medical Journals & Databases PooGee Northern Light Surwax Weblens

22 Dark Web Hic sunt leones

23 Esiste una sola darknet? The Onion Router (TOR) Questa rappresenta la principale delle darknet I2P Network Peer-to-Peer (P2P) pseudo-anonimo Normali servizi che operano su una rete sicura Freenet Data store distribuito di blocchi cifrati Piattaforma P2P di comunicazioni resistente alla censura anonet Network Friend to Friend (F2F) pseudo-anonimo decentralizzato che rende difficiloltoso conoscere le identità degli altri

24 The Onion Router (TOR)

25 Principali caratteristiche di TOR Accesso anonimo a Internet (non solo alla parte nascosta) Usando TOR è possibile accedere a un sito web senza che venga mostrato l indirizzo IP del client TOR fornisce "servizi nascosti" (2% del traffico) Anonimi perché non raggiungibili con comuni indirizzi IP Non è possibile eseguire la scansione di Internet per trovarli (2 80 siti) È possibile connettersi a loro solo se si sta utilizzando TOR Permette di bypassare i filtri Come ad esempio i filtri posti da alcuni governi Il tutto ad un costo: la VELOCITA

26 Principali caratteristiche di TOR Dominio:.onion ad esempio, Tor Library: Per navigare si utilizzano: liste compilate di link come la Hidden Wiki forum di utenti N.B.: per garantire la massima sicurezza e l anonimato, le pagine cambiano indirizzo molto spesso

27 La storia di TOR Anno Evoluzione di TOR 1995 Inizio dello sviluppo del "Onion Routing" (ONR) 1997 Finanziato dalla DARPA un Programma per una rete ad alta fiducia 1998 Creati i primi 13 nodi di cui uno in Canada dal Ministero della Difesa 2001 Ulteriori finanziamenti DARPA 2002 Lo US Naval Research Lab rilascia ONR v2 (cioè TOR) 2003 Altri finanziamenti DARPA 2004 Introdotti alcuni servizi nascosti come l Hidden Wiki 2014 Gli sponsor includono: SRI, DoD USA, NSF, Radio Free Asia, la Fondazione Ford, Google, EFF e 4300 individui

28 Come funziona TOR TOR richiede tre diversi intermediari Ogni computer nel diagramma (tranne Alice) è un nodo TOR. Solo il primo nodo sa chi è Alice Non è possibile prevedere quali nodi saranno utilizzati da TOR Le comunicazioni tra i nodi sono tutte cifrate tranne l ultima con Bob Eve non può intercettare il traffico Nomi dei nodi (i nodi cambiano ogni 10 min): 1. Guard node 2. Relay node 3. Exit node Alice Nodo TOR Coll. cifrato Coll. chiaro 1 2 Eve Bob 3 Server

29 The Invisible Internet Project (I2P) I2P ha similitudini con Tor Anche se è possibile utilizzarlo come anonymizing gateway quello non è il suo scopo primario I2P è stato progettato principalmente per ospitare i propri servizi e fornire crittografia end to end Utilizza una struttura decentrata per proteggere l'identità del mittente e ricevente, per essere utilizzata con diverse applicazioni, tra cui , navigazione web, i.c., etc. A differenza di Tor che usa il TCP, I2P usa UDP

30 Crittografia di I2P

31 Differenze tra TOR e I2P TOR I2P TCP Directory Server Separazione di Nodi e client Exit Nodes Circuits UDP NetDB (P2P) Ognuno può fare il routing del traffico Outproxies Tunnels anonymizing gateway progettato principalmente per ospitare i propri servizi fornisce crittografia end to end

32 Entriamo in TOR Entrate a vostro rischio e pericolo! Guida per principianti Beginners-Guide-to-Exploring-the-Darknet

33 In quanti frequentano TOR 5000 : Web = 1 : TOR Roma 2,7 M ab. -> c. 500 utenti TOR

34 Come entrare in TOR 1. TAILS: The Amnesiac Internet System (consigliata - massima sicurezza ) Distribuzione Linux avviabile pre-configurata per garantire la privacy (mantenere ben nascosto il vostro IP) Ha ottimi controlli di sicurezza È possibile eseguirla in una macchina virtuale 2. TOR Browser Bundle (basato su Firefox consigliata solo per provare) Va bene solo per uso occasionale. Gira voce che potrebbe essere stato compromesso dall FBI Necessarie ottime conoscenze per rendersi anonimi e non mostrare indirizzo IP Non adatto a raccogliere informazioni sulle minacce I criminali posso contrattaccare e raccogliere di informazioni sulla vostra identità. In tal caso potreste essere attaccati o DOXati

35 Come entrare in TOR 1. Whonix (poco raccomandata per ragioni di sicurezza) Richiede due host, un gateway e un client Buon progetto non esente da critiche 2. Vidalia (sconsigliata per questioni di sicurezza) Non raccomandato 3. (da evitare accuratamente per questioni di sicurezza)

36 Per accedere a TOR è sufficiente un normale browser Non necessita di ulteriori strumenti (i.e. non necessita di Tor Browser) Acquisto semplice di armi, droga e carte di credito rubate Indicizza contenuti principali black market Indicizzate già circa pagine uniche della rete Tor Utiilizza Tor2web proxy ( Attenzione su Google: «drug onion» fornisce risultati in 2^ pag.

37 I minorenni e TOR Gravità del comportamento Percezione del crimine Timore della sanzione sociale e legale Percezione del danno inferto alla vittima Anonimità (possibilità di perseguire) Stima dei rischi di essere scoperto, denunciato e catturato Persone normali che commettono crimini o illeciti Riciclaggio di denaro falso Money mule Acquisto di sostanze stupefacenti non rappresentano un grosso problema per molti teenager se l intermediario è il Web

38 Precauzioni per navigare in TOR Obbligatori: Antivirus Firewall, IDS WAF

39 Precauzioni per navigare in TOR: i NON NON usare onion.city per entrare in TOR NON installare o attivare plug-ins sul TOR browser NON eseguire applicazioni Web NON effettuare transazioni nel Dark Web NON impiegare programmi di P2P quando su Tor NON scaricare MAI niente (nel caso controllare sempre con l AV) NON aprire i documenti scaricati da Tor quando online NON visionare video (anche le foto possono rappresentare un rischio) NON impiegare Tor se non necessario (rallenta molto la navigazione) NON entrare mai su dei siti o directory precedute da CP, Candy e Chan NON partecipare a Forum NON cercare contenuti relativi a terrorismo, pedopornografia e simili

40 Precauzioni per navigare in TOR in TOR è possibile partecipare come: Client (non partecipa alla rete): consigliato. E la modalità di default del Tor browser per evitare che chi sta sotto regimi repressivi possa avere problemi con la giustizia Non exit relay (relay interno): sconsigliato. In questo modo il nostro indirizzo IP non sarà visibile anche se si potrebbe permettere a qualche malintenzionato di fare attività illegali. Sconsigliato Exit relay: sconsigliato. Il nostro indirizzo IP è visibile e se fosse usato per azioni illecite potremmo avere problemi legali.

41 Precauzioni per navigare in TOR TOR Browser Bundle: Avere sempre l ultima versione dei programmi per collegarsi. Attenzione il TOR Browser Bundle non ha l aggiornamento automatico controllare periodicamente Andare su impostazioni e disabilitare l uso di Java Script Verificare prima e dopo il lancio del Tor Browser su le tracce che lasciamo in rete mentre navighiamo

42 TOR e la «Primavera araba»

43 Silk Road (ex)

44 Silk Road (3 ottobre 2013) 3/10/2013: sequestro sito Silk Road e arresto Dread Pirate Roberts I primi di novembre ne viene annunciata la riapertura

45 Silk Road 2.0 (6 novembre 2014) 6/11/2014: F.B.I. Operation Onymous sequestro Silk Road 2.0 e 17 arresti Le attività criminali migrate subito su altri siti

46 Robert Ulbricht (aka Dread Pirate Roberts) Il 29 Maggio 2015 Ross Ulbricht, il fondatore del mercato di Silk Road è stato condannato all ergastolo ed al risarcimento da 183 milioni di dollari su una stima di 187 guadagnati

47 The Hidden Wiki (facili da trovare anche nel Clear Web) Hacking (buono e cattivo) Droga Pedopornografia

48 Motori di ricerca su TOR Motore di ricerca indirizzo DuckDuck Go! Ixquick DeepPeep Ahmia (clear e deep web) TorSearch Torch Tor Find Dark Tor

49 Il progetto Memex Febbraio 2015 L agenzia DARPA rivela per la prima volta una nuovo strumento di ricerca nel Web chiamato Memex Il progetto Memex è stato avviato per consentire la ricerca di contenuti non indicizzati, -pare- probabilmente a uso di agenzie di Intelligence sempre alla ricerca di nuove informazioni Memex può effettuare ricerche anche nel "Deep Web Il sistema è attualmente in fase di test, supporterà le ricerche condotte dalle forze dell'ordine per le loro indagini e per la prevenzione dei i crimini

50 Motori di ricerca alternativi L azienda Digital Shadows ha implementato un motore di ricerca che è in grado di scandagliare forum ed hidden services nel deep web in tempo reale

51 Cosa è possibile trovare su TOR 1/3 Archivio NoReason Conspiracy Theories WikiLeaks DOX and DOXing Hacker Forums & Zines: HTP Hack the Planet TorChan IntelExchange Tor Carding Forums Overchan HackBB Repository di materiale coperto da Copyright

52 Archivio NoReason NoReason è un enorme archivio Riflette altri siti darknet (passati e presenti). Ha una grossa biblioteca di documenti: Strani Pericolosi Inaffidabili Noiosi Questa diapositiva è solo una piccola parte di ciò che c è in NoReason. Questo ricorda molti le BBS della fine degli anni '80 e primi anni '90.

53 Conspiracy Theories Tutto sulle teorie della cospirazione a cominciare dagli UFO per continuare con i misteri della morte di John Lennon, di Marilyn Monroe, di JFK, ecc.

54 Conspiracy Theories ma anche gli Illuminati, dal 1776

55 WikiLeaks WikiLeaks è il più conosciuto. Fondato da Julian Assange, tuttora autorecluso nell ambascita dell Equador a Londra dal 2012, è ormai un sito con notizie datate. Gli archivi sono ancora disponibili Ci sono altri siti attivi su TOR simili a WikiLeaks ma aggiornati con le ultime notizie

56 DOX and DOXing DOXed: furto delle informazioni personali come nome, indirizzo e telefono, e loro diffusione sul Web Spesso in DOXing qualcuno chiama all'azione per stalking, rapimenti o per omicidio DOXing è spesso un precursore dello SWATing SWATing è quando viene chiamata la polizia e denunciato che qualcuno ha una pistola. Viene comunicato l indirizzo della vittima nella speranza che la polizia invii una squadra SWAT in modo che la vittima sia uccisa, ferita o molestata (vedi vicenda di Brian Krebs)

57 Hacker Forums & Zines (HF&Z) Hacker Forums & Zines: HTP Hack the Planet TorChan IntelExchange Tor Carding Forums Overchan HackBB

58 HF&Z: HTP Hack the Planet

59 HF&Z: TorChan TorChan è simile a 4chan Più per appassionati di hacking che non per i professionisti

60 HF&Z: IntelExchange Più per appassionati di hacking che non per i professionisti Intel Exchange è un tipico esempio di un forum di discussione generale, come: Teorie del complotto // "Energia alternativa"

61 HF&Z: Tor Carding Forums Per i professionisti del carding con anche una sezione sull hacking

62 HF&Z: Overchan Comportamento membri al limite dell antisociale con sito che contiene immagini oscene, linguaggio maleducato, comportamenti offensivi

63 HF&Z: HackBB E un social network per hacker agli inizi e anche per hacker capaci Ha associato un mercato per lo scambio Siti di hacking: sembra siano pesantemente infiltrati da strutture di intelligence

64 Materiale coperto da Copyright Grossi archivi non troppo diversi dalla vecchie BBS Presenza di depositi di ebook, di testi html, txt, doc e pdf di ogni tipo Esempio di raccolta di libri di Premi Pulitzer

65 Cosa è possibile trovare su TOR 2/3 Documenti falsi: Passporti Patenti di guida Vendita di soldi falsi : Counterfeit USD Wall Street Vendita di numeri di carte di credito: Black & Yellow TOR Carding Forums Original Skimmed Cards Furti di soldi: ATMs & Skimmers Vendita di: Tecnologia (iphone) Armi

66 Documenti falsi: Passaporti Es.: passaporto canadese 800 USD Mercato meno florido per documenti USA

67 Documenti falsi: Patenti di guida Non solo passaporti e patenti di guida ma anche documenti a corredo per creare un identità come: fotocopia di estratto conto bancario, bollette telefoniche, ecc.. In kit dai 250 agli 800 USD

68 Vendita di soldi falsi: Counterfeit USD Poco appetibili per i criminali veri perché non lo considerano molto efficace

69 Vendita di soldi falsi: Wall Street "Wall Street": vendita di valuta e informazioni relative ai pagamenti Notare l'etichetta «TRUSTED VENDOR» a protezione dell acquirente

70 Vendita carte di credito: Black & Yellow Esempio: Black & Yellow che mostra il costo delle carte di credito Il sito recita che provengono dai Paesi più ricchi sulla terra

71 Vendita carte di credito: TOR Carding Forums Quasi in ogni black market è possibile acquistare prodotti relativi a frodi con carte di pagamento. AlphaBay e Agorà sono tra le comunità più attive delle ultime settimane Non solo carte di credito, ma anche servizi connessi come money laundering e carding personalizzato

72 Vendita carte di credito: Original Skimmed Cards Sito che vende i dati di carte clonate con lo skimmer in cambio di bitcoin Non viene usato il gergo dei carderz, ma: "riceverete carta, pin e istruzioni"

73 Furti di soldi: ATMs & Skimmers Ci sono siti e guide per aggirare la sicurezza o rubare dal bancomat Normalmente il lettore sporge ma è incassato e difficile da individuare

74 Vendita di iphone Gli iphone sono molto popolari in Darknet Traffico in Nord America per acquisto di iphone rubati per la vendita in Asia

75 Vendita di armi Ai trafficanti d'armi in online non occorre vedere un porto d armi Alcuni di questi vendono anche farmaci, passaporti e documenti falsi Molti vendono in bitcoin. Altri richiedono di prendere accordi

76 Cosa è possibile trovare su TOR 3/3 Malware Chewbacca Attackers Using TOR Killer: Hitman Network $US10,000 Unfriendlysolution Tuttofare: Fixer Terrorismo (o un sito civetta per I sostenitori) Cloroformio (Nota: Address di Internet) Vendita di droghe Image Hosting Services

77 Norse hunting down malware on the deep web TOR è un ambiente privilegiato per i bot master che sfruttano la capacità di anonimato che offre la darknet per nascondere i server di C&C favoriti da: Disponibilità di servizi nascosti autenticati Reti private su Tor Flood sugli exit node

78 Norse hunting down malware on the deep web TOR C&C server/botnet famosi: The Skynet Botnet Mevade Botnet (5 milioni di utenti attivi) The Atrax Crimekit 64-bit Zeus Banking Trojan Using Tor Network ChewBacca Financial Malware The Bifrose Malware

79 Malware e Deep Web 2012: una struttura di controllo (invio info acquisite ai cracker): Skynet 2013: tre strutture di controllo (C&C anche di milioni di utenti) 2014: tre strutture di controllo (OnionDuke per spionaggio in larga scala) 2015: due strutture di controllo su Tor e due su I2P (i.e. per Ransomware)

80 Malware: Chewbacca Chewbacca è un malware POS che si connette a un sistema C&C in Darknet come Zeus che è il famoso Trojan bancario trasformato il malware toolkit

81 Malware: Attackers Using TOR Uso comune di TOR è quello di eseguire SQL Injection a siti web (per anonimizzare gli attaccanti). Per difendersi occorrerebbe bloccare tutti i nodi di uscita TOR, ma questi cambiano frequentemente

82 Killer: Hitman Network $ US 10,000 Online da novembre 2013 Non si sa se offrono servizi reali o è un sito civetta

83 Killer: Unfriendlysolution Molte regole: pagamento in bitcoin, non sprecare il tempo, pagare in anticipo per spese di viaggio e acquisto armi, non parlare della cosa e no video tape

84 Tuttofare: Fixer (acquisto di servizi - molto attrattivo per il mondo criminale, per es. servizio di escrowing) Un Fixer è una persona che collega acquirenti e venditori. Può mettere in collegamento con funzionari doganali, hacker, avvocati e medici discreti, ecc.

85 Terrorismo (sito civetta per i sostenitori?) C'è almeno un sito che pretende di permettere di finanziare gruppi. Potrebbe anche essere un tentativo di qualche governo di identificare le persone che sostengono il terrorismo o di criminali per spillare bitcoin Possibilità di reperire manuali di addestramento

86 Cloroformio (Nota: Address di Internet) Si noti che l'indirizzo non è un sito ".onion" perché spesso i criminali utilizzano Darknet per la pubblicità, mentre operano anche su "Clearnet"

87 Evolution (il dopo Silk Road) In Marzo 2015, il sito sparisce nel nulla e con esso milioni di dollari pagati dai clienti per i servizi di escrowing.

88 I principali Dark market (Giugno 2015) Black Markets Abraxas Agorà AlphaBay Nucleus Outlaw Dream Market Haven Middle Earth Onion address abraxasdegupusel.onion agorahooawayyfoe.onion pwoah7foa6au2pul.onion nucleuspf3izq7o6.onion outfor6jwcztwbpd.onion ltxocqh4nvwkofil.onion havenpghmfqhivfn.onion mango7u3rivtwxy7.onion

89 Image Hosting Services Ci sono una serie di servizi di hosting di immagini nel Darknet, come in Clearnet. Esistono perché si possano inviare campioni o immagini di prodotti come: farmaci, carte di credito, pedopornografia, ecc.

90 Image Hosting Services: pedopornografia

91 Image Hosting Services: pedopornografia

92 Studio su Tor (2014) Gareth Owen e il suo team dell'università di Portsmouth, nel corso del Chaos Computer Conference di Amburgo, ha presentato i risultati di uno studio di sei mesi (da marzo fino a settembre 2014), che ha catalogato un numero significativo di servizi nascosti di Tor Secondo lo studio i siti web sul gioco d'azzardo, i siti di propaganda, i siti dove c è scambio di bitcoin o quelli utilizzati dai whistle-blower anonimi occupano una piccola parte della Darknet investigata Sempre secondo tale studio, l 83 per cento del traffico che fluisce tra i nodi di Tor è generato da pedofili Secondo Owen il numero di siti web di pedopornografia è di oltre cinque volte in più di ogni altra categoria

93 Cosa fare in azienda Rischi se consentiamo agli utenti di muoversi anonimamente: attacchi dall esterno perdita di informazioni aziendali compromissione della privacy non imputabilità azioni (compliance norme?)

94 Cosa fare in azienda Impedire impiego reti per il Dark Web Politiche adeguate Impiegando tecnologie opportune Verificare comportamento utenti on-line N.B.: sempre che non siamo Forze dell Ordine, ricercatori, giornalisti con corrispondenti da zone «calde», ecc.

95 Per bloccare l accesso a TOR Bloccare l'accesso ai Tor Relay. Per farlo, acquisire gli indirizzi da questi file: st_all.csv In relazione al dispositivo di rete usato bloccarne gli accessi. Questo è il caso di un CISCO Security Appliance:

96 GdL EduSicInfo (ISC) 2 Ch-IT Copyright Gruppo di Lavoro Educazione alla Sicurezza Informatica di (ISC) 2 Italy Chapter 2015 Autori: o Stefano RAMACCIOTTI o Pierluigi PAGANINI (autore di «The Deep Dark Web», 2012)