DARK WEB: IL LATO OSCURODELLA RETE
CHE COSA E’, COME FUNZIONA, PERCHE’ ESISTE,
COME PROTEGGERSI DAI PERICOLI
PROF. ALESSANDRO GUFFANTI – SCUOLA MEDIA “G.NEGRI” – I.C.CALASANZIO
L’INTERNET VISIBILE: MOTORIDI RICERCA
Ricerca
INFORMATICA: esaminare il file di un computer, un disco,
una banca dati o una rete per una particolare
informazione
Motore
Qualcosa che fornisce la forza trainante o l’energia ad un
movimento, un sistema o a una direzione
Motore di ricerca
Un programma per computer che ricerca per una
particolare parola chiave e ritrova una lista di documenti
nei quali e’ stata trovata.
COME FUNZIONANO I MOTORI DI RICERCA ?
The Web
URL1
URL2
URL3 URL4
Crawler
Indexer
SearchEngine
Database Eggs?Eggs.
All AboutEggsby
S. I. Am
COME FUNZIONANO I MOTORI DI RICERCA ?
* crawlers, spiders: programmi che esplorano
periodicamente Internet cercando contenuti
aggiornati o nuovi siti
* Nessun motore di ricerca lavora in tempo reale
* Alcuni motori di ricerca lo fanno per se stessi, altri
comprano il contenuto da aziende esterne
* Per diverse ragioni i crawlers non riescono a
coprire tutto il web, ma solo una frazione
* Cio’ che non e’ coperto da crawlers e spiders e’ il
dark web o “web invisibile”
DIFFERENZE NELLA COPERTURA
Nessun motore di ricerca copre piu’ di una frazione
del WWW, si stima non piu’ del 16%
• Difficile (o persino impossibile) distinguere e
comparare la copertura, ma differiscono
sostanzialmente in quello che ricoprono
• In aggiunta:
- Molti motori di ricerca nazionali con la propria
copertura ed orientamento
- Molti motori di ricerca specializzati in campi di
interesse specifico
- Ancora diverse collezioni di siti curate a mano
ESEMPIO: MOTORE DI RICERCAPER DATASET BIOLOGICI
ESEMPIO: BANCA DATI DI INTERESSE BIOLOGICO
Al Dark Web si può accedere utilizzando uno speciale
browser chiamato TOR (The Onion Router, scaricabile dal
sito: http://www.torproject.org/) Il quale permette di
nascondere il nostro indirizzo IP facendo rimbalzare la
connessione tra vari computer sparsi nel mondo.
In oltre, i siti presenti nel dark web non sono raggiungibili
attraverso i normali indirizzi web (ES:
http://www.google.it) ma, attraverso i cosiddetti indirizzi
Onion (ES: http://hss3uro2hsxfogfq.onion).
I siti presenti nel Dark Web non sono indicizzabili da
nessun motore di ricerca standard (no DNS..), ma
richiedono software creati ad hoc
MOTORI DI RICERCA IN DARK WEB
I PRINCIPALI DARK MARKET
Per le gole profonde che vogliono restare
anonime Wikileaks ha da sempre una pagina
".onion", accessibile solo nel Deep Web. 'Mister X'
ha trovato l'indirizzo 'profondo' di Wikileaks su
'The Hidden Wiki', una pagina che raccoglie molti
siti presenti nel Deep Web.
E' il momento: tira fuori dalla tasca una chiavetta
Usb, la inserisce nel pc e comincia l'upload. Dopo
mezz'ora è fuori, i file sono nelle mani di
Wikileaks e non resta che attendere. Tra qualche
giorno, un paio di settimane al massimo, saranno
pubblici.
Bitcoin: cos’è?
Bitcoin è una moneta decentralizzata:
non esiste alcun potere centrale in
grado di controllarla.
Al suo posto, esiste una rete di “peers”
che gestisce tutte le transazioni.
Inoltre, grazie alla crittografia è
possibile garantire la sicurezza di tale
moneta.
Block ChainI blocchi hanno un preciso ordine
cronologico: questa sequenza di blocchi
viene chiamata block chain.
L'ultimo blocco aggiunto sarà quindi quello
contenente le transazioni inserite più
recentemente.
Come aggiungere blocchi?Ogni peer della rete può proporre un nuovoblocco da aggiungere alla block chain.Tra tutti quelli proposti, viene scelto il bloccoche contiene la soluzione al problemacrittografico del blocco precedente.Il blocco viene quindi inviato al resto della rete:è immediato verificare se la soluzione ècorretta. Se questo è il caso, la rete accetta ilblocco, e inizia a lavorare sul nuovo problema.
MiningIl processo di ricerca della soluzione delproblema viene detto “mining”; chi loeffettua viene invece chiamato “miner”.Grazie ai miners, le transazioni vengonoaggiunte ai blocchi (ossia vengono“confermate”) dietro un piccoloconsenso.
Fino a poco tempo fa, prima del
boom che lo ha caratterizzato negli
ultimi mesi la più celebre delle
criptovalute, ossia il Bitcoin,(qui tutto
su come funziona) era conosciuta
quasi esclusivamente per il suo
utilizzo non propriamente ortodosso.
Ossia come il mezzo di pagamento
preferito dai criminali, cyber o
meno che fossero, di tutto il mondo.
In particolare per quanto riguarda
il saldo del riscatto dei tanto temuti
cryptolocker.
COME FUNZIONA IL RANSOMWARE
Recente indagine sul ransomware in UK
60% avevano il backup
65% hanno pagato il riscatto
Somma media di riscatto £540
Perdita di produttivita’ del business
44% di aziende infettate
Evoluzione del ransomware
Applicazioni
Ingannevoli
Falsi
Antivirus
Locker
Ransomware
Crypto
Ransomware
2008-2014 2010-2014 2013-
Applicazioni ingannevoli
Antivirus Falsi
Antivirus Falsi
Antivirus Falsi (Android)
(Browser) Locker Ransomware
Locker Ransomware
Locker Ransomware (Android)
Ransomware (AIDS / PC Cyborg) (1989)
Crypto-Ransomware (Cryptolocker) (2013)
.CryptoHasYou., 777, 7ev3n, 7h9r, 8lock8, Alfa Ransomware, Alma Ransomware, Alpha Ransomware, AMBA, Apocalypse,
ApocalypseVM, AutoLocky, BadBlock, BaksoCrypt, Bandarchor, Bart, BitCryptor, BitStak, BlackShades Crypter, Blocatto, Booyah,
Brazilian, BrLock, Browlock, Bucbi, BuyUnlockCode, Cerber, Chimera, CoinVault, Coverton, Cryaki, Crybola, CryFile, CryLocker, CrypMIC,
Crypren, Crypt38, Cryptear, CryptFile2, CryptInfinite, CryptoBit, CryptoDefense, CryptoFinancial, CryptoFortress, CryptoGraphic Locker,
CryptoHost, CryptoJoker, CryptoLocker, Cryptolocker 2.0, CryptoMix, CryptoRoger, CryptoShocker, CryptoTorLocker2015, CryptoWall
1, CryptoWall 2, CryptoWall 3, CryptoWall 4, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 3.1, CTB-Faker, CTB-Locker, CTB-
Locker WEB, CuteRansomware, DeCrypt Protect, DEDCryptor, DetoxCrypto, DirtyDecrypt, DMALocker, DMALocker 3.0, Domino, EDA2 /
HiddenTear, EduCrypt, El-Polocker, Enigma, FairWare, Fakben, Fantom, Fonco, Fsociety, Fury, GhostCrypt, Globe, GNL Locker, Gomasom,
Goopic, Gopher, Harasom, Herbst, Hi Buddy!, Hitler, HolyCrypt, HydraCrypt, iLock, iLockLight, International Police Association,
JagerDecryptor, Jeiphoos, Jigsaw, Job Crypter, KeRanger, KeyBTC, KEYHolder, KimcilWare, Korean, Kozy.Jozy, KratosCrypt,
KryptoLocker, LeChiffre, Linux.Encoder, Locker, Locky, Lortok, LowLevel04, Mabouia, Magic, MaktubLocker, MIRCOP, MireWare, Mischa,
MM Locker, Mobef, NanoLocker, Nemucod, NoobCrypt, Nullbyte, ODCODC, Offline ransomware, OMG! Ransomware, Operation Global
III, PadCrypt, Pclock, Petya, PizzaCrypts, PokemonGO, PowerWare, PowerWorm, PRISM, R980, RAA encryptor, Radamant, Rakhni,,
Rannoh, Ransom32, RansomLock, Rector, RektLocker, RemindMe, Rokku, Samas-Samsam, Sanction, Satana, Scraper, Serpico, Shark,
ShinoLocker, Shujin, Simple_Encoder, SkidLocker / Pompous, Smrss32, SNSLocker, Sport, Stampado, Strictor, Surprise, SynoLocker,
SZFLocker, TeslaCrypt 0.x - 2.2.0, TeslaCrypt 3.0+, TeslaCrypt 4.1A, TeslaCrypt 4.2, Threat Finder, TorrentLocker, TowerWeb, Toxcrypt,
Troldesh, TrueCrypter, Turkish Ransom, UmbreCrypt, Ungluk, Unlock92, VaultCrypt, VenusLocker, Virlock, Virus-Encoder, WildFire Locker,
Xorist, XRTN, Zcrypt, Zepto, Zimbra, Zlader / Russian, Zyklon
200 Famiglie di Crypto-Ransomware
OS Disk Local Disk(s) Connected Device(s)
(USB)
(e.g. Backup Disk)
Mapped Network Drive(s)
(e.g. NAS / File Servers)
Other Accessible Folders /
Shared Local Network
(e.g. NAS / File Servers)
Dropbox OneDrive
CRYPTO-RANSOMWARE (TARGETS)
COSA SONO LE TECNICHE DI INGEGNERIA SOCIALE ?
Esempi di Ingegneria Sociale
Esempi di Ingegneria Sociale
© 2014 Rebeccarawrr. Licensed under CC-BY
Comparazione: Spam ed Exploit Kits
90,000 vittime
9,000 exploits
40% tasso di successo
62% di infezioni con successo
Ransomware
Capire le vulnerabilita’
Errori dell’utente
Difetti
Caratteristiche
© The Preiser Project, Licensed under CC-BY
NUOVI TRUCCHI
• Utilizzo di estensioni dei files accettate (per es .WSF, .WSH, .HTA, .PUB )
o Supera i filtra che bloccano proattivamente gli allegati pericolosi (ZIP) checontengono .EXE, .PDF.EXE, .JS, .DOCM come estensioni)
• Utilizzo di un file .DLL file invece di un .EXE (es Locky/Zepto)
o Attacchi in memoria; questi exploit non lasciano files sul diso
o Bypassa sandbox e prodotti di sicurezza basati sulla matematica e cifratura
• Uso di binari originali del Sistema Operativo (trusted) (nessun nuovo codicenella macchina)
• Manipolazione delle date, creazione di copie senza estensioni, copiecriptate e cancellazione dell’originale
Regole di Sicurezza “a strati”
Come minimo dovreste:
• Installare protezione antivirus (incorporate in win 10)
• Bloccare spam
• Usare una soluzione di “sandbox”
• Bloccare estensioni rischiose dei file (javascript, vbscript, chm etc…)
• Proteggere con password gli archivi
• Utilizzare filtraggio delle URL
• Utilizzare filtraggio delle HTTPS
• Attivare I firewall del client
• Usare una soluzione di whitelisting
59
Eccoci giunti alla fine del nostro viaggio nel Dark Web.
Ora che lo conoscete avete capito che non tutto e’male, come la natura stessa degli uomini
e donne che l’hanno creato non puo’essere totalmente malvagia.
Sicuramente nel Dark Web e sopratutto attraverso il Dark Web si muovono malintenzionati da
cui possiamo e dobbiamo difenderci, ma ci sono anche migliaia di informazioni interessanti e
potenzialmente utili a fornirci una chiave di visione della realta’ libera ed incondizionata.
Impariamo quindi a conviverci e, magari, ad esplorarlo con curiosita’ e grande prudenza
Grazie a tutti per l’attenzione
Ci son più cose in cielo e in terra, Orazio, che non sogni la tua filosofia.
(Amleto)
60
AL CALASANZIO RIPARTONO DA
SETTEMBRE LE CERTIFICAZIONI ECDL
INFORMAZIONI SUL SITO DELLA
SCUOLA