L'industria dei sorveglianti del dark web

Sono due i gruppi di persone che fanno soldi con il cosiddetto dark web: i criminali che lo utilizzano per il traffico di beni illegali e le aziende che si offrono di tracciarli per conto delle forze dell'ordine o di clienti privati.

Sono entrambe attività consolidate, con la seconda in rapida crescita. Esistono una manciata di imprese che monitorano il dark web, alcune create appositamente per contrastarlo, altre che stanno espandendo i loro servizi per bloccare i siti sul network Tor. Lo scorso mese, un'azienda di questo tipo, la Terbium Labs, si è assicurata 6,3 milioni di dollari mentre a gennaio la iSight Partners è stata aquisita per 200 milioni di dollari.

Tuttavia sono le idee stesse alla base di questi servizi a sollevare questioni fondamentali, come la verifica delle informazioni raccolte dai forum o sui marketplace.

In particolare, istituzioni finanziarie, siti di e-commerce o di rivenditori al dettaglio, possono sfruttare i servizi di queste imprese per capire prima degli altri le frodi che possono subire dalla vendita di dati rubati.

"Il monitoraggio del dark web può essere utilizzato come un sistema di allarme preventivo: se vedi che le persone iniziano a parlare di te o che saltano fuori dati che ti riguardano, puoi accorgerti di essere un bersaglio", ci ha detto per telefono Adam Meyer, chief security strategist di SurfWatch Labs. Surfwatch offre un "programma di informazione incentrato sui rischi informatici personali provenienti dal dark web o da fonti correlate", al costo di qualcosa come 150.000 dollari all'anno (circa 134.000 euro).

"Noi monitoriamo costantemente il dark web, se troviamo informazioni relative ai nostri clienti sul mercato nero, li avvertiamo immediatamente" continua Meyer. Per quanto riguarda le informazioni sulle carte di credito aziendali rubate e i relativi conti bancari "ci muoviamo prima che vengano utilizzate, riducendo consistentemente le perdite."

Questo video promozionale di SurfWatch fornisce un'idea dei genere di servizi offerti da queste aziende.

In genere, le aziende che monitorano il dark web hanno due diversi approcci. Alcune lavorano con algoritmi, intrufolandosi automaticamente nei marketplace alla ricerca di dati rubati, come informazioni sulle carte di credito o proprietà intellettuali. "Matchlight" di Trebium Labs agisce in questo modo, comparando in seguito la fingerprint dei dati senza copertura con quella dei suoi clienti.

L'altro approccio coinvolge maggiormente il fattore umano, con analisti che accendono sotto copertura nei forum o in altri siti, raccogliendo informazioni sui malware discussi o sui nuovi dump di dati scambiati. Queste informazioni vengono poi trasferite al governo o ai clienti privati chiamati in causa mentre ogni azienda di monitoraggio le sfrutta a suo modo.

Ma, nel dark web, ci sono molte informazioni fuorvianti o create palesemente per depistare i controlli. Spesso, alcuni listati o addirittura interi siti sono dei raggiri mentre le chat dei forum possono essere popolate da persone che cercano di imbrogliarsi l'un l'altra. Proprio per questa ragione, non è conveniente riportare al proprio cliente ogni informazione scovata.

"Per tutto quello che si raccoglie in open source c'è sempre quella variabile di credibilità—questa informazione sarà vera o è stata creata per ingannare?" ha spiegato Jeffrey Carr, CEO dell'azienda di cybersicurezza Taia Global, che in passato aveva già posto dubbi simili riguardo le minacce per le informazioni in generale.

"Come si determina l'effettiva validità di informazioni raccolte sul web?" ha continuato l'esperto, "questa è la mia disputa di lunga data con le aziende che raccolgono informazioni su internet e le definiscono autentiche".

Per Meyer, un fattore fondamentale è la reputazione dell'hacker che sostiene di possedere le informazioni di una carta di credito, dei dati personali, o qualsiasi altra cosa intenda rivendere. A questo punto SurfWatch gli conferisce un "intervallo di confidenza" [è una stima adottata in statistica n.d.t.], che può essere basso, medio o alto.

"In alcuni casi comunichiamo ai nostri clienti che stiamo osservando qualcosa di sospetto, inviamo una notifica per avvertirli di stare in allerta, informandoli che potremmo essere di fronte a un basso intervallo di confidenza, perché non ci sono abbastanza informazioni disponibili" ha detto Meyer. Spesso, le minacce apparenti che SurfWatch notifica a un cliente, risultano illegittime.

"Per essere onesti, è un 50/50, per questo l'intervallo di confidenza è così importante", ha continuato Meyer.

Passare ad un cliente informazioni che si rivelano false "Può succedere", ci ha detto al telefono John Miller, a capo del prodotto Threatscape Cyber Crime di iSight Partners.

Miller ha spiegato che la sua azienda verifica la reputazione della persona che afferma di vendere dati rubati fornendo una sorta di scala di credibilità per le informazioni fornite ai clienti. Ma non ha voluto specificare se l'azienda ottenga o meno dei campioni di informazioni provenienti dagli hacker in modo da poterle comprovare.

"La nostra politica prevede di non consigliare ai nostri clienti azioni specifiche per proteggere i loro dati o per assicurargli l'accesso a informazioni utili, compromettendo così le nostre fonti" ha continuato Miller, aggiungendo che l'azienda si assicura sempre di rispettare le leggi locali.

Con l'evidente problema di non poter verificare tutte le informazioni, forse avrebbe senso riportare solamente quelle che hanno alte probabilità di riguardare una minaccia concreta, ma Meyer si domanda cosa accadrebbe se l'azienda omettesse di segnalare qualcosa che poi si rivela come un vero problema.

Per questa ragione, "cerchiamo davvero di far valere l'intervallo di confidenza: vi diremo tutto quello che sappiamo, ma vi forniremo anche il nostro intervallo di confidenza. A quel punto potrete autonomamente valutare i rischi all'interno della vostra azienda" ha detto Meyer, e ha aggiunto che alcuni clienti optano per ricevere meno informazioni, per non esserne sovraccaricati.

I critici di questo sistema sono preoccupati anche per il fatto che le aziende potrebbero fornire i dati ai clienti solo quando non ce ne è realmente bisogno.

"Quando non ci sono informazioni utili, le aziende devono essere abbastanza mature da spiegarlo ai clienti [invece di ] stabilire inutili tariffe per i dati, giusto per raggiungere una quota" ci ha scritto per e-mail Robert M. Lee, un ex ufficiale della US Air Force che si occupava di guerra cibernetica e CEO della Dragos Security.

"La ragione per cui ancora continuano è perché c'è un grande appetito per le informazioni" ha detto Carr di Taia Global.

Quando chiediamo se tutto questo convenga alle aziende, Meyer è assolutamente convinto.

"Se una banca ci paga 150 mila dollari l'anno per monitorare per loro questa roba, potenzialmente siamo in grado di fargli risparmiare milioni di dollari per frodi, a seconda dell'attacco. Ecco dove sta la convenienza" ha spiegato Meyer.

"La maggior parte delle aziende non trarranno alcun beneficio da questi servizi" ha detto Lee, "per prima cosa, farebbero meglio a concentrarsi sulla capacità di rilevare e reagire in maniera più efficiente nel loro contesto."

"Ma per alcune aziende che hanno praticato le soluzioni base e le più avanzate procedure di sicurezza, un'altra fonte di informazione riguardante potenziali minacce potrebbe essere un gran valore aggiunto" ha continuato. "Il pericolo sta nel prezzo—le aziende dovrebbero essere molto oculati nel capire se hanno davvero bisogno di questi servizi e che questi garantiscano un buon ritorno rispetto all'investimento economico che richiedono."