Darknet 1.2.2

Copyright © 2017 Alessandro Selli
Si concede il permesso di copiare, distribuire e/o modificare questo
documento secondo quanto previsto dalla GNU Free Documentation
License versione 1.3 o una qualunque versione successiva pubblicata
dalla Free Software Foundation, con la Sezione Invariante questa
stessa diapositiva (la numero 1), nessun testo di copertina (Front-
Cover Texts) e nessun testo di quarta di copertina (Back-Cover Texts).
Una copia della licenza è disponibile online o può essere ottenuta
dall'autore. Versione 1.2.2 del 2017/12/01
Note sui diritti
mi ritrovai per una rete oscura
ché la diritta Internet
era smarrita.
mi ritrovai per una rete oscura
ché la diritta Internet
era smarrita.

Nozioni di baseNozioni di base
La Internet “oscura”, le Darknet, servono per:
1) navigare nell’anonimato
a) eludere l’identificazione
2) lasciare il minimo numero di tracce delle proprie
attività
b) eludere il tracciamento
3) rimuovere l’effetto di filtri di provider e
istituzioni
c) eludere restrizioni, limiti, proibizioni

Di ciascuno esistono aspetti positivi e negativi
Anonimato Protezione da ritorsioni Impunibilità
Identificazione Attribuzione responsabilità Persecuzione
Intracciabilità Tutela della riservatezza Perdita di valore del servizio
Tracciamento Statistiche uso servizio Profilazione
Superamento
blocchi
Informazione libera
Accesso a materiale
illegale/immorale
Restrizioni
Tutela ordine pubblico/
interessi commerciali
Atti censori

Anonimato Protezione da ritorsioni Impunibilità
Identificazione Attribuzione responsabilità Persecuzione
Intracciabilità Tutela della riservatezza Perdita di valore del servizio
Tracciamento Statistiche uso servizio Profilazione
Superamento
blocchi
Informazione libera
Accesso a materiale
illegale/immorale
Restrizioni
Tutela ordine pubblico/
interessi commerciali
Atti censori
Di ciascuno esistono aspetti positivi e negativi
“So chi sei”
“So cosa fai e dove”
“Decido io cosa puoi fare”

Cose di cui tenere contoCose di cui tenere conto
●
Un’Internet parallela che dipenda dai soli internauti ma
non utilizzi le infrastrutture dei provider commerciali è
ancora un’utopia (o quasi: Ninux.org)
Utilizzano la stessa Internet dalla quale ci si
vuole proteggere

Aspetti non ovviiAspetti non ovvii
●
Dati e metadati:

le connessioni sono criptate (i dati sono privati)

la connessione usa gli stessi protocolli della Internet
regolare (i metadati sono in chiaro)
➢
Si sa chi sta usando un nodo d'ingresso
➢
Si sa quali siti sono usati dalla Darknet
La segretezza e l’anonimato sono sempre
parziali

Da prestare attenzioneDa prestare attenzione
●
Siti di commercio di merci vietate sono chiusi dalle
autorità in gran numero
●
Tor è nato nei laboratori di tecnologia della Marina degli
SU
●
È da dare per scontato che un certo numero di nodi siano
gestiti da enti governativi
Si è osservati con particolare attenzione

Quali piattaforme?Quali piattaforme?
●
Tor (The Onion Router - C)
●
I2P (Internet invisible Protocol - Java)
●
Freenet (Java)
●
GNUnet ©
●
Retroshare (usa Tor o I2P)
Varie piattaforme software:

Quali scegliere?Quali scegliere?
Pregi Difetti
Tor
Noto, ben
collaudato
Attentamente
sorvegliato
Scritto in C
Non perdona gli
errori
Vasta comunità
Attività di commercio
illecite prevalenti
Permette di
accedere a
Internet
Contaminazioni tra le
reti

Quali scegliere?Quali scegliere?
Pregi Difetti
I2P
Combina più
messaggi insieme
Non ampiamente
diffuso
Scritto in Java Quelli di Java
Non sovraffollato
Manca di un servizio
di risoluzione efficace
Non è stato
pensato per siti
Internet
Limitato ai siti I2P

TorTor
●
Progetto avviato dal Navy Research Laboratory
●
Usato anche dai “buoni”
●
La sua qualità dipende dal numero e dalla
distribuzione dei partecipanti
●
E quindi è stata una buona idea farne un progetto
libero
Tor

TorTor
●
Il suo scopo primario è di rendere quanto più
difficile rintracciare l'IP di origine
●
Implementa il cosiddetto “onion routing”:

la connessione tra client e server è criptata più
volte e passa tra più nodi pseudocasuali
●
Ha una funzione che permette di avere il server
dentro la “nuvola” Tor
Tor

TorTor
server
1
client
1
GW2
GW5
GW1
GW6
GW8
GW4
Internet tradizionale (percorsi colorati):
client
2
client
3
server
2
server
3
GW3
GW9GW7
GW0

TorTor
?
Internet torificata:
client
1
client
2
client
3
server
1
server
2
server
3

TorTor
Internet torificata:
client
1
client
2
client
3
server
1
server
2
server
3
ND0
ND1
ND4
ND3
ND6
ND8
ND2
ND7
NDa
NDb
ND5
ND9

TorTor
client
1
client
2
client
3
server
1
server
2
server
3
ND0
ND1
ND4
ND3
ND6
ND8
ND2
ND7
NDa
NDb
ND5
Nodi di uscitaNodi di ingresso Relay
ND9

TorTor
client
1
server
1ND0
ND4
ND2
NDa
Nodi di uscitaNodi di ingresso Relay

TorTor
client
1 ND0
SRV
NDa
Nodi di ingresso Relay
Sito web nascosto
*.onion
Server

Servizi nascosti TorServizi nascosti Tor
[root@localhost ~]# cat /etc/apache2/sites-available/tor-hidden.conf
<VirtualHost *:8080>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/tor-hidden
<Directory "/var/www/tor-hidden">
Require host localhost
</Directory>
ErrorLog ${APACHE_LOG_DIR}/tor-hidden/error.log
CustomLog ${APACHE_LOG_DIR}/tor-hidden/access.log combined
</VirtualHost>
[root@localhost ~]# grep ^Listen /etc/apache2/ports.conf
Listen 80
Listen 8080
[root@localhost ~]#
Allestimento sito web locale sulla porta 8080:

</Directory>
</VirtualHost>
Listen 80
Listen 8080
[root@localhost ~]#
Il sito deve essere disponibile
SOLO via Tor!

</Directory>
</VirtualHost>
Listen 80
Listen 8080
[root@localhost ~]#
Internet pubblica
Internet nascosta

Avviato il servizio Apache, si configura Tor:
#SocksPort 9050 # Default: Bind to localhost:9050 for local connections.
SocksPort 192.168.0.1:9050 # Bind to this address:port too.
################ This section is just for relays #####################
## Required: what port to advertise for incoming Tor connections.
#ORPort 9001
Nickname Torrone
## Administrative contact information for this relay or bridge. This line
## can be used to contact you if your relay or bridge is misconfigured or
## something else goes wrong.
ContactInfo Alessandro Selli <alessandroselli@linux.com>
## Uncomment this to mirror directory information for others. Please do
## if you have enough bandwidth.
#DirPort 9030 # what port to advertise for directory connections

#ORPort 9001
Nickname Torrone
Per permettere l’uso di
Tor solo a processi locali

#ORPort 9001
Nickname Torrone
Tor solo a processi locali
Tor all’intera rete
192.168.0.0

#ORPort 9001
Nickname Torrone
Commentato, nodo Tor di solo
ingresso, non fa da relay

#ORPort 9001
Nickname Torrone
Nome nodo Tor (opzionale,
avrà comunque una hash)

#ORPort 9001
Nickname Torrone
Per usufruire del servizio
di monitoraggio e
allerta di Torproject.org
Nome nodo Tor (opzionale,
avrà comunque una hash)

#ORPort 9001
Nickname Torrone
Opzionale, aiuta a distribuire
informazioni di reperibilità
nodi Tor

## A comma-separated list of exit policies. They're considered first
## to last, and the first match wins.
ExitPolicy reject *:* # no exits allowed
############### This section is just for location-hidden services ###
HiddenServiceDir /var/lib/tor/hidden_web_site/
HiddenServicePort 8080 127.0.0.1:80

Questo nodo Tor
non fa da nodo di uscita

Cartella informazioni
sito nascosto Tor

Cartella informazioni
sito nascosto Tor
Porta del server web locale,
indirizzo:porta che offre Tor

Indirizzo e chiave privata sito nascosto:
[root@localhost ~]# ls -oh /var/lib/tor/hidden_web_site/
totale 8,0K
-rw------- 1 debian-tor 23 ott 25 22:40 hostname
-rw------- 1 debian-tor 887 ott 25 21:56 private_key
[root@localhost ~]# cat /var/lib/tor/hidden_web_site/hostname
yj3z5mk4lyvrw4wq.onion
[root@localhost ~]# file /var/lib/tor/apache-hidden/private_key
/var/lib/tor/apache-hidden/private_key: PEM RSA private key
[root@localhost ~]#
Verifica funzionamento e connessioni:
[root@localhost ~]# ss -tuap | grep '"tor"'
tcp LISTEN 0 128 127.0.0.1:9050 *:*
users:(("tor",pid=13437,fd=7))
tcp ESTAB 0 0 10.0.0.85:42044 138.68.69.69:https
[root@localhost ~]#

totale 8,0K
[root@localhost ~]#
tcp LISTEN 0 128 127.0.0.1:9050 *:*
tcp ESTAB 0 0 10.0.0.85:42044 138.68.69.69:https
[root@localhost ~]#
Generati da Tor

totale 8,0K
[root@localhost ~]#
tcp LISTEN 0 128 127.0.0.1:9050 *:*
tcp ESTAB 0 0 10.0.0.85:42044 138.68.69.69:https
[root@localhost ~]#
Nome del sito nascosto,
assegnato da Tor

totale 8,0K
[root@localhost ~]#
tcp LISTEN 0 128 127.0.0.1:9050 *:*
tcp ESTAB 0 0 10.0.0.85:42044 138.68.69.69:https
[root@localhost ~]#
Chiave crittografica privata del sito nascosto
DA CONSERVARE IN SEGRETO CON LA
MASSIMA CURA!

Attacchi contro TorAttacchi contro Tor
Tecniche di deanonimizzazione:
1) Sfruttamento errori sistemistici
➢
Apache che consente l’accesso alla pagina
server-status
➢ Di default disponibile su http://localhost
➢
Tor accede al server web in locale!
➢
Ergo: dalla rete Tor si accede allo status!
➔
Può rendere visibile l'indirizzo del server

2) Mappatura connessioni
➢
Richiede il controllo di una percentuale elevata di
nodi relay
➢
Alla portata di entità dalle notevoli disponibilità
tecniche e politiche
➢
Contromisura: uso di un numero limitato (tre) di
punti di ingresso fidati (“guard”) che costruiscono
sentieri di connessione casuali

3) Falle del codice Tor, attacco “Sniper”:
➢
flusso di pacchetti da 92 KiB/s satura la memoria
del relay con 2.187 KiB/s
➢
disabilita un singolo nodo in ~1min
➢
riduce la capacità della rete Tor del 35% in 29 min
➢
porta a convogliare il traffico Tor sui nodi
controllati (non attaccati)

4) Correlazione traffico di ingresso/uscita:
➢
sito web sorvegliato ha pagina con:

18 KiB HTML, 24 KiB CSS

8 file .css

12 immagini .gif, 11 .png e 7 .jpg

Cerco chi ha traffico compatibile in ingresso
➢
Es. attacco Raptor: osservazione e cronometraggio
traffico in chiaro, intestazioni TCP/IP, dimensioni
pacchetti (richiede cooperazione ISP)

5) Analisi di richieste risoluzione DNS
➢
Sfruttamento della posizione dominante di un
operatore del servizio DNS (Domain Name
System)
➢
L'analisi di caratteristiche identificative
(fingerprinting) e della correlazione tra richiesta ed
accesso al server (nodo di uscita) porta ad
identificare la sorgente

Tecniche classiche di attacco:
6) Buon caro, vecchio DoS/DDoS
7) Leggi che criminalizzano le reti anonime
8) Leggi che proibiscono la condivisione pubblica della
connessione ad Internet
9) Accusare il gestore del nodo di uscita di attività
illegali provenienti dal suo IP (come è accaduto a
Dmitry Bogatov)
➢
Aiuto offerto da Torproject:
https://exonerator.torproject.org/

Buoni consigli dalla
The Legal FAQ for Tor Relay Operators:
1) Non attivare un nodo d'uscita da casa (per evitare il
sequestro delle apparecchiature)
4) Essere completamente trasparenti
➢
Informare il proprio ISP, record DNS, …
5) Mettere il nodo su un IP dedicato, su un server
affittato
6) Policy di uscita limitata/banda limitata
7) Entità giuridica non-profit dedicata

I2PI2P
●
Usa il cosiddetto “garlic routing”:

più messaggi sono combinati in un'unico
blocco dati trasmesso crittato
●
Usa ogni genere di trucco per funzionare
dietro i firewall
●
È pienamente gestito dall'interfaccia web
locale http://127.0.0.1:7657/
●
L'interfaccia web locale non è protetta!

I2PI2P
Configurazione manuale minimale:
[root@localhost ~]# grep '^wrapper.java.maxmemory=' /etc/i2p/wrapper.config
wrapper.java.maxmemory=256
[root@localhost ~]#
Il valore di default è 128 (MiB)

I2PI2P
Interfaccia di gestione su
localhost:7657

I2PI2P
Firewall/NAT non
stanno bloccando I2P

I2PI2P
Blocco da parte di un
firewall/router
Funzionalità limitata,
non assente

I2PI2P
LARGHEZZA DI BANDA
ENTRATA/USCITA

I2PI2P
Scorrere verso il basso

I2PI2P
!
“Non rivelare i numeri delle tue porte a
nessuno perché possono essere usati
per scoprire il tuo indirizzo IP”

I2PI2P
!
Porta UDP/TCP
raggiungibile dall'esterno:
2541

I2PI2P
Gestore dei servizi nascosti

I2PI2P
Anteprima sito locale su
localhost:7658
oppure...

I2PI2P
Anteprima sito su I2P
con indirizzo hash da 52
caratteri *.i2p

I2PI2P
I file del sito sono in
~i2psvc/i2p-config/eepsite/docroot/

I2PI2P
Istruzioni su come dare
un nome al sito e a come
renderlo raggiungibile
(indicizzazione)

I2PI2P
Nomi siti
Indirizzi siti
base32 *.i2p
Identificativi
univoci siti
base64 (>500 caratteri)

I2PI2P
“Hidden Service Configuration page”

I2PI2P
Il nome scelto per il sito
va qui

Considerazioni finaliConsiderazioni finali
Conviene usare le darknet per la navigazione?
Ni. Conviene per cosa?
●
È il metodo principale di circolazione informazioni
compromettenti in forma anonima
●
Molti usi legittimi socialmente e moralmente
commendabili:
➢
denuncie anonime soprusi, corruzioni, crimini,
persecuzioni attivisti libertà civili, ...

Oltre a qualche eroe, ci sono molti felloni
●
Uno dei motori di ricerca Tor
(TORCH: Tor Search Engine) rende chiara la
predominanza di traffici illeciti (soprattutto droga)
●
L'offerta di armi è regolarmente una frode:
https://darkwebnews.com/dark-web/german-tv-shops
-ak47/
“TV Show Tries To Buy Gun From Dark Web, Lost
$800 In Bitcoin”

Le darknet sono una tecnologia
●
In se ne buona ne cattiva:
➢
può essere usata per cose buone o cattive
●
Utile in casi particolari:
➢
“Non voglio far sapere che acquisti perfettamente
leciti faccio”
●
Vitale in casi estremi:
➢
“Se questa informazione non trapela molta gente
ci rimetterà, se la faccio trapelare ci rimetterò io”

Il mercato delle darknet:
●
Non è una buona idea per merci materiali o illegali
➢
Difficile far passare un Kalashnikov come un
regalo di Natale alle poste
➢
Troppo facile essere vittima di frodi
●
Molto utile per il commercio di beni immateriali
➢
Messaggi, accordi, contratti, transazioni finanz.
➢
Informazioni, coordinamento, avvisi, notifiche
➢
File, archivi, dati
➢
Qualunque cosa trasmissibile in forma elettronica

La tecnologia impiega tempo e risorse
●
Quando serve potrebbe essere troppo tardi per
impararla
➢
È bene essere preparati per tempo
●
Impiegarla senza esperienza espone a errori rischiosi
➢
●
La sua qualità dipende anche da quanti la usano
➢
●
Altri con insufficiente preparazione potrebbero avere
bisogno del nostro aiuto
➢

La tecnologia è nuova, complessa, evolve
rapidamente
●
Le leggi sono lente, farraginose, si basano su
concetti e materie ben note, collaudate e stabilite
●
Le darknet sono una tecnologia nuova, si sviluppano
velocemente, si muovono in un ambito peculiare
➢
Transnazionale, al di là di confini e normative
locali
➢
Svincolate da ISP tradizionali (peering, blkchain)
➢
Non hanno indirizzi IP o domini tradizionali
➢
La normativa è arretrata, vaga, assente, ambigua

La tecnologia è nuova, complessa, evolve
rapidamente
●
Le leggi sono lente, farraginose, si basano su
concetti e materie ben note, collaudate e stabilite
●
Le darknet sono una tecnologia nuova, si sviluppano
velocemente, si muovono in un ambito peculiare
➢
Transnazionale, al di là di confini e normative
locali
➢
Svincolate da ISP tradizionali (peering, blkchain)
➢
Non hanno indirizzi IP o domini tradizionali
➢
La normativa è arretrata, vaga, assente, ambigua
Ma io non sono
un avvocato! :-)

È sempre più ampiamente usata anche dai
portali tradizionali:
●
Facebook:
https://www.facebookcorewwwi.onion/
●
Wikipedia (non ufficiale):
https://www.qgssno7jk2xcr2sj.onion/
●
New York Times:
https://www.nytimes3xbfgragh.onion/
●
DuckDuckGo:
https://3g2upl4pq6kufc4m.onion/

●
WallpaperCave Wallpapercave.com
●
Torproject http://torproject.org/
●
The Invisible Internet Project https://geti2p.net/
https://i2p2.de/
●
Help Net Security
https://www.helpnetsecurity.com/2015/03/17/deanonymizing-tor-users-with-r
aptor-attacks/
●
Deep Web and Dark Net News
https://darkwebnews.com/anonymity/deanonymizing-tor-users-dns-exploit/
RingraziamentiRingraziamenti

Darknet 1.2.2

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to Darknet 1.2.2

Similar to Darknet 1.2.2 (20)

Darknet 1.2.2