Affrontiamo un argomento estremamente attuale di questi tempi, reso ancora più rilevante come vedremo dal conflitto in corso in Ucraina: i rischi per le imprese, nascosti nel Dark e Deep web. Vediamo di comprendere meglio di cosa si sta parlando con Pierluigi Di Paolo, uno dei soci fondatori di Digimetrica, una start up innovativa specializzata in cybersecurity.

In primo luogo cosa si intende quando si parla di Deep e Dark web?

Il Deep Web è la porzione di Internet che non viene indicizzata dai motori di ricerca, per cui non la troveremo mai tramite Google, e costituisce un’ampia parte del web. Basta non far mappare automaticamente un sito andando ad inserire una stringa di codice che può impedire al motore di ricerca di indicizzare quella determinata risorsa o contenuto.
Per accedere a una pagina deep web è necessario conoscere l’indirizzo preciso della pagina che si vuole raggiungere e delle sue credenziali di accesso.  All’interno del deep web si possono trovare pagine ad accesso limitato che fanno parte del private web, come le pagine di account personali dei siti o la pagina di posta elettronica personale.
Esiste però un’altra parte di internet ancora più nascosta, chiamata Dark Web, nella quale sono presenti invece informazioni ben più protette, spesso e volentieri riconducibili ad attività illegali. Un ambiente nascosto quindi ove spesso si verificano atti di scambio o di vendita di materiale illecito. Per accedere alla parte di internet più dark è necessario utilizzare specifici software che consentono una navigazione anonima, entrando ad esempio con la rete “TOR”, un sistema di anonimizzazione che nasconde il proprio indirizzo IP e la propria identità nella rete. Non si può dunque accedere al dark web con un normale browser, a differenza del deep web, ma è necessario l’uso di speciali strumenti di navigazione che tra l’altro non sono tracciabili.

Perché il Dark ed il Deep web sono sempre più importanti in relazione alle minacce informatiche per una azienda?

Quello che deve essere compreso che se si osservano le modalità con cui sono stati portati gli attacchi informatici nei recenti due tre anni ci si accorge di un elemento comune: la maggior parte di questi attacchi non è avvenuta con tecniche particolarmente sofisticate che connaturavano le minacce informatiche negli anni appena precedenti. Complice anche la pandemia che ha forzatamente spinto le aziende a riorganizzare la propria forza lavoro in uno smart working non accuratamente programmato, si sono moltiplicati i casi di furti di credenziali ed esfiltrazione di dati sensibili aziendali dagli account dei singoli dipendenti (vuoi delle aziende poi vittime di attacchi, vuoi in altri casi di fornitori di queste ultime).

L’accesso a queste informazioni ha reso molto più semplice l’accesso non autorizzato di hacker ai sistemi aziendali e quindi l’inoculazione di softwares malevoli con le conseguenze, che tutti conosciamo, di crittografia dei dati e richiesta di riscatto per lo sblocco dei sistemi (attacchi Ransomware). 

Ma dove le gang hacker si procurano le informazioni relative alle organizzazioni poi oggetto di attacco informatico? Proprio sul Dark e Deep Web: la gran parte degli ultimi attacchi informatici non è stata dunque condotta utilizzando complicate tecniche di hacking, ma principalmente utilizzando credenziali rubate a dipendenti o subfornitori, con le quali banalmente entrare nel sistema aziendale o portando avanti attacchi di phishing molto più efficaci.

Queste informazioni sono presenti in gran quantità per chi le sa cercare e sono un indice di rischio diventato rilevantissimo, è facile a questo punto comprendere perché le aziende dovrebbero preoccuparsi di verificare (con continuità) se ci possano essere informazioni rilevanti relative alla propria organizzazione disponibili sul Dark e Deep Web, sfruttabili da hacker malintenzionati. Basta considerare che circa 90 miliardi di dati esfiltrati sono in vendita sul dark web.

La verità è che proprio la natura nascosta del Dark&Deep Web, rende difficile tale verifica senza l’ausilio di società specializzate

La nostra società, Digimetrica, ad esempio offre un apposito servizio, Cybersonar, sviluppato da una una start up innovativa che sviluppa softwares di cyber security. Cybersonar, che si occupa di scandagliare il Deep e Dark Web, e tutto ciò che una azienda ha pubblicamente esposto in internet (portali web aperti al pubblico, servizi …), per valutare se siano disponibili delle informazioni sensibili o misconfigurazioni dei sistemi che possano essere sfruttate da soggetti ostili, attraverso un monitoraggio costante del Dark e del Deep Web aiuta a prevenire gli attacchi ed avere visibilità su quello che gli hacker possono sapere di te.

Possiamo fare numerosi esempi. E’ salito ai clamori della cronaca, nel periodo della pandemia, l’attacco ai sistemi sanitari della Regione Lazio del 31 luglio 2021 che per esempio ha bloccato il sistema di prenotazione delle vaccinazioni; gli hacker sono entrati sfruttando le credenziali di accesso un dipendente di Frosinone di LazioCrea. Una volta entrati in VPN nei sistemi è stato poi molto facile fare privilege escalation (ovvero diventare amministratori di sistema) sui sistemi informatici dell’ente e prendere il controllo completo di tutto.

Nel settembre del 2022 Uber ha subito un importante data breach. Anche in questo caso hanno utilizzato delle credenziali di accesso di un subfornitore. Le credenziali trovate dagli hacker permettevano il solo accesso al sistema Slack. Slack è un sistema di collaborazione come Microsoft Teams o Cisco Webex, peccato che in una chat di Slack era presente un elenco di altre credenziali con privilegi molto più elevati. L’attaccante era un ragazzo di soli 18 anni che ha agito da solo!

A gennaio 2022 Okta, una delle principali aziende mondiali che fornisce sistemi di autenticazione a oltre 15.000 clienti nel mondo tra cui Fedex, Moody’s ma anche agenzia governative come la Federal Communications Commission, è stata violata sempre utilizzando credenziali di accesso rubate, in questo caso ad un dipendente di un suo subfornitore. Anche qui una volta entrati in VPN è stato poi semplice fare tutto il resto. Insomma Per le aziende è molto rischiosa l’eventualità che sul dark web siano presenti dati di accesso ai sistemi interni che un hacker potrebbe comprare con pochi euro. Cybersonar monitora giornalmente un database di oltre 96 miliardi di assets compromessi e oltre 80 milioni di indirizzi IP pubblici. L’utilità di tale servizio è ormai importantissima. Recentemente abbiamo segnalato ad un cliente (multinazionale di grandi dimensioni) che utente e password del suo amministratore delegato erano disponibili sul Dark Web, oppure che dei malintenzionati avevano clonato il sito di un altro cliente per effettuare delle truffe on line a ignari clienti che pensavano di utilizzare il sito ufficiale dell’ente in questione.
La lista di esempi potrebbe continuare a lungo.