Deep web e Dark web: cosa vuol dire navigare il lato oscuro della rete

31 maggio 2023 / Di Ivan Antozzi / 0 Comments

Dark web, deep web, darknet: sempre più spesso vengono adoperati, nei contesti più disparati, espressioni confuse o non del tutto appropriate. Attraverso le ricerche dell'Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, in questo articolo cercheremo di fare chiarezza sulle caratteristiche che contraddistinguono il web sommerso e la sua parte più oscura, appunto il dark web.

Navigare il deep web: numeri e proporzioni

Per comprendere il significato di deep web (o web sommerso) possiamo attingere alla metafora dell’iceberg. L’iceberg rappresenta in questo caso l’insieme delle risorse informative del web. La punta dell’iceberg, la parte “sopra il livello del mare”, prende il nome di surface web, quindi l’insieme di tutte le risorse indicizzate dai motori di ricerca (come per esempio Google, Bing, Yahoo, ecc.), che costituisce però solo una piccola parte di tutte le risorse presenti in Internet.

La parte sostanziale dell’iceberg, invece, si trova “sotto il livello del mare” e prende il nome di deep web. Sono stati eseguiti diversi studi riguardo l’effettiva dimensione del deep web. Stando a una recente indagine di Surface web, le risorse web sommerse rappresentano il 96% dell'intero world wide web, per un volume 500 volte superiore a quello del surface web. L’estensione del deep web è confermata anche dall’enorme mole di dati testuali e multimediali non visibili e spesso contenuti all’interno dei database e delle infrastrutture di pagine visitabili.

Dark web e deep web: cosa sono e differenze

Il deep web è costituito dunque dall’insieme di tutti i contenuti presenti sulla rete che non sono indicizzati dai motori di ricerca, quali ad esempio siti privati aziendali, componenti di siti web non in mostra o nuovi siti non ancora indicizzati.

Il dark web ne è invece un sottoinsieme, a cui è possibile accedere solo tramite particolari software, poiché si basa su tipologie di reti sovrapposte alla rete internet tradizionale, individuate generalmente con il nome di darknet. Il dark web racchiude al suo interno un insieme di contenuti accessibili pubblicamente, ospitati in particolari siti web dall’indirizzo IP nascosto, o contenuti privati scambiati in un network chiuso di computer. Sebbene la sua estensione non sia completamente nota, occupa solo una parte ridotta del deep web.

Come accedere al dark web: reti darknet e browser Tor

La quasi totalità degli utenti che accede al dark web utilizza pertanto particolari reti chiamate darknet con l’obiettivo di mantenere il proprio anonimato durante la navigazione e non lasciare tracce di informazioni sensibili in rete.

La base su cui poggia il dark web è quindi rappresentata da queste particolari reti private a cui gli utenti si connettono solamente con persone fidate, spesso utilizzate per la condivisione di file in modalità peer-to-peer. Peculiarità delle darknet, infatti, è l’essere in grado di ricevere dati e informazioni da altre reti con la garanzia di non essere visibili e rintracciabili all’esterno. Tra le varie in commercio, la più conosciuta è certamente la rete TOR (acronimo di The Onion Router), a cui si può accedere attraverso particolari server proxy configurati o grazie al browser omonimo. Creata nel 1998 dalla US Navy per garantire l’anonimato sulle reti di computer, la rete TOR è stata poi resa di pubblico dominio nel 2006. Ad oggi è utilizzata da750 mila utenti internet ogni giorno.

La rete TOR (Onion Router) è una Darknet, ovvero una "rete chiusa" attraverso la quale è possibile accedere al Dark Web. La sua particolare struttura “a cipolla”, basata sul protocollo di rete di onion routing, permette agli utilizzatori di comunicare in maniera completamente anonima grazie alla presenza di più strati di crittografia preservando così le attività degli utenti da eventuali attività di monitoraggio o intercettazione.

Rischi e pericoli del dark web

Cosa succede effettivamente all’interno del dark web? Il lato oscuro della rete è composto principalmente da attività di natura illecita legate alla condivisione di file, compravendita di beni o servizi illegali, crimini informatici o fughe di notizie.

All'interno del dark web, la vendita di credenziali è organizzata in maniera meticolosa in una fitta rete di vendita. Le credenziali possono appartenere a diverse categorie di persone, dal normale dipendente aziendale, fino ai più importanti dirigenti di famose aziende mondiali. Coerentemente, i prezzi delle credenziali possono variare dai pochi dollari ad alcune centinaia o addirittura migliaia, in base all'importanza attribuita ai singoli dati.

Altra peculiarità del dark web sono i pagamenti basati su valute digitali, su tutte i Bitcoin. Le cosiddette criptovalute sono fondamentali per garantire una forma di totale anonimato tra le parti e svolgono un ruolo centrale se si pensa ad un’altra importante fonte di guadagno del deep web: il pagamento dei riscatti in seguito agli attacchi hacker. I ransomware, in particolar modo, sono le modalità di crimini informatici più diffusi: dopo aver “bucato” le difese di sicurezza aziendali, i malintenzionati procedono con il richiedere riscatti in Bitcoin all’interno di particolari siti difficilmente raggiungibili.

Quello dei ransomware è soltanto un esempio di reato tipico da dark web. La presenza di cybercriminali all’interno del web sommerso risulta essere una costante: questi soggetti sono spesso strutturati in vere e proprie organizzazioni alla ricerca di nuove modalità per aumentare i propri ricavi.

Dark web e RaaSberry: il cybermarket degli hacker

All'interno delle reti del dark web si stanno sviluppando veri e propri marketplace volti a favorire il Cybercrime e le organizzazioni di cybercriminali. Piattaforme dotate di diverse funzionalità, quali i sistemi di supporto clienti, di fatturazione e di garanzie di rimborso.

È qui possibile comprare codice malevolo, assoldare un hacker o addirittura sviluppare con pochi click codici malevoli su vere e proprie piattaforme online (le malware-as-a-service platform). La più popolare queste è nota con il nome di RaaSberry, piattaforma di ransomware-as-a-service che permette di:

  • creare e personalizzare un attacco ransomware;
  • visualizzare informazioni relative al numero di utenti infettati:
  • monitorare l’ammontare di denaro accumulato grazie al pagamento dei riscatti.

Essendo un vero e proprio servizio as-a-service, in questo caso, i gestori della piattaforma tratterranno per sé una parte dei guadagni relativi ai singoli utenti. Oltre al mercato del Cybercrime, sono stati scovati all'interno del dark web siti con veri e propri annunci di lavoro per attività illegali, come il furto di carte di credito o la distribuzione di software per attacchi hacker.

Il legame tra deep web e conflitto russo-ucraino

La componente cibernetica gioca un ruolo importante nel conflitto russo-ucraino, coinvolgendo da entrambe le parti molteplici gruppi hacker, hacktivisti e attori specializzati in attacchi ransomware quali il collettivo Conti. Oltre ad utilizzare i social network per comunicare con il pubblico, molti di questi gruppi hanno condotto vere e proprie “information operations”, attività tattiche di raccolta e diffusione delle informazioni sul nemico che avvengono per lo più nel deep web.

Telegram, social network che permette l’anonimato, è stato abbondantemente usato con questo scopo, oltre a permettere il coordinamento dei membri e delle iniziative dei vari gruppi. Un altro chiaro esempio è l’hacking su larga scala di siti web per la pubblicazione di slogan contro la guerra da parte di Anonymus. A livello di dark web, sono esemplificative le attività del collettivo KillNet nel darknet russo. Il collettivo, infatti, ha portato avanti una campagna informativa volta a compromettere il marketplace di lingua russa “RuTor”, accusato di sostenere i servizi di sicurezza ucraini e di finanziare il traffico di sostanze stupefacenti sul territorio della Federazione.

Possiedi gli strumenti giusti per affrontare le nuove minacce informatiche?

Scopri il Programma

  • Autore

Ricercatore dell'Osservatorio Cyber Security & Data Protection