Esistono molti strumenti per tenere traccia dell’attività criminale online e gli esperti del settore li conoscono tutti. Quelli dei RedTeam, dei reparti offensive, li usano, quelli dei blu team, li usano, i poliziotti li usano, i giornalisti li usano. Fanno parte dell’armamentario per capire, far conoscere e contrastare il crimine. Molti di questi strumenti sono gratuiti, pubblici, e si trovano nel clear web, il web di superficie.

Per vedere quali sono i gruppi ransomware attivi ad esempio, si può usare Darkfeed, che riporta le attività dei maggiori gruppi criminali e l’elenco dei loro attacchi, compresa la quantità di soldi che ci guadagnerebbero. Poi ci sono strumenti come Ransom Db che permette di fare una ricerca per parole chiave delle aziende attaccate e aggiorna costantemente la sezione interna coi nomi di quelle attaccate minuto per minuto.

Poi c’è Shodan, un motore di ricerca dedicato ai dispositivi collegati a internet. È chiamato anche il motore di ricerca del mondo dell’Internet delle cose e permette di trovare i dispositivi collegati alla rete Internet amministrabili da remoto, e potenzialmente attaccabili. Have I Been Pwned invece è un enorme database che permette di vedere quali indirizzi email sono stati compromessi e come e quando, anche se non sono i nostri: fate la prova con l’email di vostro padre.

Poi addirittura ci sono software che, nati per verificare la robustezza di reti e sistemi possono essere usati, e lo sono, in chiave offensiva, come Cobalt Strike, una raccolta di strumenti per la simulazione delle minacce e include strumenti per il post-exploitation e per la generazione dei report.
I cyberdefender sanno cosa sono e come funzionano, i criminali pure.

Vale anche per il DarkWeb, quella porzione del web a cui si accede con software appositi. É il caso della rete Tor, The Onion Router, visitabile con il Tor browser. Lo usano i giornalisti, i dissidenti politici, i gruppi attivisti e i criminali, per rendere più difficile la localizzazione delle loro attività, lecite e illecite.
Da tempo la rete Tor ospita i Data Leak Site (Dls), ovvero i blog dei gruppi ransomware che operano i software che esfiltrano i dati delle vittime e poi li chiudono dietro un lucchetto fino al pagamento del riscatto. Chiunque usa un browser adatto li può leggere. Chiunque ma non tutti: non tutti sanno cosa sia Tor, cosa sia un Dls, e sopratutto se non hanno l’indirizzo giusto non riescono ad accedere alle pagine dei criminali con i campioni dei dati rubati. Il DarkWeb non viene indicizzato dai normali motori di ricerca e se cerchi Mount Locker, non lo trovi. Se sai l’indirizzo, diffuso nei forum hacker lo puoi trovare.

In tutti questi casi il muratore di Salerno e la manager di Voghera non solo non hanno interesse a cercare quei materiali ma se ne trovassero di illegali difficilmente saprebbero che farci. Un esempio: se dalla navigazione nel dark web si trovasse la carta di identità di un cittadino romano, lasciata lì dopo un databreach, probabilmente non saprebbero fare il SIM swap, la clonazione della Sim del telefono, a partire da quei dati.

Al contrario i cyber-criminali potrebbero farci qualcosa. Ma loro i luoghi dove sono depositati i dati rubati lo sanno già. E lo sanno gli investigatori che hanno agenti provocatori infiltrati nei dark forum e hanno personale specializzato che monitora il DarkWeb ogni minuto.

Chi può raccontarle queste cose? I giornalisti di sicuro perché svolgono così la loro funzione pubblica, eppure i guitti dell’università di Facebook ritengono che non debbano farlo, ma si sbagliano.