domenica 26 novembre 2017

IDC ed Altri Market Del Deep Web De-Anonimizzati Dal SSH Fingerprint

La chiusura dei tre principali mercati sulle Darknet durante l'estate, ha spinto molti venditori o comunque acquirenti a creare propri market che, in molti casi, non sono stati configurati correttamente.
Alcuni di questi sono stati tracciati dalle forze dell'ordine.
Più precisamente, il poter tracciare l'indirizzo IP reale, vuol dire che le forze dell'ordine possono impossessarsi del server e rintracciare il proprietario del market illegale (e buona parte della sua clientela).


SITI RINTRACCIATI
Un Hacker con lo pseudonimo di Sh1ttyKids, negli ultimi mesi, si è divertito a de-anonimizzare molti market.
L'ultima vittima è un market di cannabis chiamato "ElHerbolario", dove sono stati tracciati due indirizzi IP olandesi (188.209.52.177 e 185.61.138.73) che erano utilizzati da BlazingFast, una nota società di hosting che opera in Ucraina.
Con le informazioni rese pubbliche dal ricercatore, le autorità olandesi possono ora sequestrare fisicamente il server (dal data center in cui è in esecuzione quella particolare macchina), analizzarne i dati, rintracciare i clienti e condividere le informazioni con altre agenzie di contrasto in tutto il mondo.
Due settimane prima di smascherare ElHerbolario, alla fine di ottobre, il ricercatore ha trovato una falla anche in "Italian Darknet Community" (IDC), il noto market in lingua italiana.
Secondo il ricercatore, l'indirizzo IP (176.123.10.203) riconduceva a un web host in Moldova.
Un altro portale che è stato abbattuto è "DrugStore by Stoned100", un sito che vendeva una vasta gamma di prodotti illegali (droghe, soldi falsi ed armi).
In questo caso, oltre all'IP, l'admin aveva addirittura esposto i propri file di backup del database, consentendo l'accesso alle copie del suo database con un solo clic.


SSH KEY FINGERPRINT
In tutti i casi, l'Hacker ha utilizzato piccoli attacchi, come il fingerprint digitale (SSH) non protetto sul sito Onion.
Il server reale e il suo indirizzo IP è stata rintracciato utilizzando motori di ricerca come Shodan o Censys.
La tecnica usata da Sh1ttyKids è semplice ed è facile difendersi se si è un amministratore esperto di web server.
Il problema è che molti di questi utenti non sono webmasters esperti.
La maggior parte sono appunto ex venditori di AlphaBay, Hansa Market o RAMP, tutti oscurati nel luglio 2017 rispettivamente dalle autorità statunitensi, olandesi e russe.
Questi tre portali erano gestiti da esperti codificatori che fornivano un'interfaccia point-and-click per i venditori (utile per configurare i profili dei commercianti e vendere i loro prodotti illegali).
Una volta che questi mercati sono stati chiusi, molti di questi venditori son rimasti con scorte di prodotti illegali che avrebbero dovuto vendere.
Alcuni di questi, si sono spostati su siti concorrenti quali Dream Market, Valhalla o Wall Street Market, altri hanno iniziato a vendere prodotti tramite canali Telegram o spam XMPP, altri ancora hanno deciso di creare siti Onion fai da te.

2 commenti:

  1. Questi venditor quanto sono legati alla vecchia e tradizionale mafia che ha insanguinato le strade italiane per decenni? e quanto invece sono nuove mafie che si stanno sostituendo alla vecchia mafia tanto cara alla politica italiana dei partiti di centro?

    RispondiElimina
    Risposte
    1. A mio modo di vedere, si trova un po' di tutto: dalle mafie storiche ormai radicate anche sul web, alle nuove leve.
      Poi ovvio sta anche il ladro/i ladri di strada.

      Elimina