Deep Web & Hacking Communities
Qualche mese fa sono stato intervistato da Pierluigi Paganini per Infosec Institute riguardo l’argomento: Hacking Communities in the Deep Web.
Vi propongo quindi la sessione di Q&A tradotta in Italiano, l’articolo originale è ben più vasto di questo piccolo “recap” e ne consiglio la lettura.
Table of Contents
Si sente spesso parlare di Deep Web, cosa s’intende con questo termine?
Il Deep Web è l’insieme di tutti i contenuti internet non indicizzati dai motori di ricerca e pertanto difficilmente raggiungibili dagli utenti standard. Sovente viene utilizzato impropriamente per indicare l’insieme dei siti raggiungibili solamente tramite protocolli di anonimato ma questi in realtà sono un sottoinsieme del Deep Web.
Gran parte delle informazioni appartenenti al mondo del Deep Web non vengono indicizzate in quanto sono generate dinamicamente dai server, sono accessibili solo previa autenticazione o vengono gestite con formati o protocolli non interpretabili dai motori di ricerca. Una fetta interessante è quella che richiede degli specifici strumenti di comunicazione finalizzati all’anonimato per l’accesso alle risorse, tra questi i più noti sono Tor, I2P e FreeNet.
Sono stati sviluppati alcuni strumenti (Ahmia, GRAMS, Onion City, Uncensored Hidden Wiki) che permettono di effettuare ricerche tramite keywords di: informazioni, prodotti, venditori e servizi all’interno delle reti che si basano su protocolli di anonimato.
Cosa si è in grado di trovare tramite questi siti/protocolli?
In questa “realtà nascosta” simile a un far west si è in grado di trovare ogni genere di risorsa e tutti quei contenuti che per vari motivi non posso essere pubblicati in internet senza dover affrontare delle conseguenze legali.
Tra questi elementi vi sono anche market che propongono merci e servizi illegali, per esempio: mercati in cui si vende droga, armi, banconote false, merce rubata, carte di credito, accessi a conti bancari, identità, account vari, traffico di persone, organi, servizi di hacking e omicidi.
Il mercato dell’hacking nel Deep Web è molto fiorente grazie alle garanzie di anonimato offerte dai protocolli di comunicazione, che rendono minime le possibilità che i servizi e i loro fornitori possano essere individuati dalle autorità.
L’ultimo trend vede l’hacking as a service, ossia la vendita di servizi anziché software: trasformazione naturale di ciò che era il modello economico di vendita precedente. L’aggiunta di un supporto tecnico agli strumenti di hacking (interfacce semplificate, supporto tecnico per email o IRC) abbassando così la difficoltà di utilizzo degli strumenti offerti, i ransomware kit sono un esempio di questa semplicità, chiunque per 50€ o poco più può dare vita alla propria attività.
Si può trovare qualsiasi cosa e ovviamente tutto ha un prezzo, tra i servizi offerti possiamo trovare:
- Hire an Hacker
- Botnet
- Exploit kit
- 0day
- Crypter
- DDoS
- Doxing
- Spam
- Malware
- Money laundering
Per l’affitto di una botnet, spesso utilizzata per spam o per attacchi DDoS, la fascia di prezzo è di 2-5$/mese per la possibilità di effettuare un numero limitato di sessioni di attacco della durata di pochi minuti, fino ad arrivare a 100-200$ ogni giorno di down per attacchi più complessi.
Gli exploit kit vengono ancora venduti integralmente (codice sorgente compreso) ma hanno prezzi esorbitanti (20-30k$), è generalmente più facile affittarli per delle giornate o per un mese (500$/mese), lo stesso discorso vale per gli 0day, vulnerabilità non pubblicamente note per le quali non esiste una patch, capaci di costare anche centinaia di migliaia di euro (MS-15-034).
Quali sono i maggiori protagonisti di questo mondo?
Nel Deep Web vi sono parecchie Hacking Communities, accessibili sia tramite protocolli di anonimato sia in clearnet.
La gran parte delle community sono accessibili solamente tramite invito risultando pertanto esclusive; in generale trattano tematiche ben precise (es. trojanforge: malware e reversing) ma non mancano comunities generiche (hackforum) in cui vengono affrontate svariate tematiche legate al mondo hacking ad eccezione del carding, delle truffe o dei “reati finanziari”.
Nel Deep Web accessibile solo tramite protocolli di anonimato sono nati forum e chat dedicate ad attività di Black Hacking, ma la vendita di prodotti e servizi è spesso stata demandata ai black market generici, così da attrarre una clientela più vasta
Dopo svariate operazioni condotte dall’FBI e la “morte” naturale di alcuni grandi black market:
- The farmers Market (nato nel 2006, chiuso nel 2012 dalla DEA)
- Silkroad & silkroad 2.0 (FBI)
- Sheep Marketplace & Evolution (Exit Scam)
- Blackmarket Reloaded (Uscita spontanea)
- Utopia (dutch police)
I maggiori protagonisti in “scena” nel Deep Web anonimo sono:
- Agora (TOR)
- silkroadreloaded (I2P – potenzialmente morente a causa del trasferimento da TOR a I2P con conseguente riduzione delle utenze)
- TheRealDeal (TOR) passato alla ribalta recentemente grazie alla possibilità di acquisto di exploit 0day
- DreamMarket (TOR)
- MRNiceGuy (TOR, clone dell’originale)
- Outlaw (TOR)
- MajesticGarden (TOR)
Tra i blackmarket in clearnet ritroviamo
- Rescator
- Lampeduza
Quali sono i rischi per gli acquirenti?
I black market accessibili solamente tramite protocolli di anonimato, aumentano la sicurezza del venditore e dell’acquirente rendendoli difficili da rintracciare dalle autorità. In ogni caso l’utente rischia di navigare su pagine controllate da enti governativi (che grazie all’utilizzo di exploit tracciano la sua navigazione) o da malintenzionati (può cadere vittima di exploit e consentire l’accesso al computer da parte degli attaccanti). L’utente rischia inoltre di cadere vittima di phishing poiché il nome di questi siti non è mnemonico (ie. silkroad6ownowfk.onion).
Il rischio principale per l’acquirente risiede all’esterno del mondo internet in quanto, la merce acquistata (nel caso di droghe o di armi), può essere intercettata dagli enti governativi.
Come avviene il pagamento, quali sono le garanzie dell’acquirente?
La fiducia rimane uno dei grossi problemi di queste community, nei black market, per attirare utenze sempre più vaste, sono stati implementati strutture di garanzia per l’acquirente quali: sistemi di reputazione (in stile eBay) dove i compratori danno feedback sui venditori o sistemi di middleman/escrow ove il compratore paga a un moderatore/gateway della community, il venditore rilascia il prodotto e solamente a quel punto, dopo la verifica della merce, il gateway invia i soldi al venditore. Altre garanzie sono nate utilizzando protocolli crittografici, tramite MultiSignature dei BTC e alle chiavi PGP dei venditori.
Il pagamento avviene generalmente tramite currency anonime come i bitcoin e litecoin; raramente paypal, western union, linden coin, altre valute virtuali e a mezzo baratto.
La verifica della validità del prodotto o del servizio acquistato sovente è immediata o potenzialmente evidente, in particolare nel caso di servizi di hacking; in ogni caso vendor affermati sono interessati a mantenere un livello di reputazione elevato per poter continuare il loro mercato.
Quali attività svolge VoidSec nel deep web?
VoidSec grazie all’attività di Underground Intelligence svolge ricerca e prevenzione delle minacce, principalmente monitorando i market e le community, analizzando i nuovi trend, i prodotti e i servizi commercializzati. Grazie a un lavoro costante e metodologico si può apprendere quali asset in un determinato momento è vulnerabile o sotto attacco e quindi prestare particolare attenzione allo stesso, al fine di ridurre la superficie di attacco e mitigare le vulnerabilità presenti.
di VoidSec & kalup