Nell’articolo precedente abbiamo introdotto la vita di un black market e i possibili luoghi in cui può venire alla luce. Come abbiamo visto gli escrow service tutelano, entro certi limiti, gli atti di compra-vendita. Ma cosa tutela la sicurezza e l’integrità degli account?

Source: eff.org

Autenticazione a prova di proiettile

Per comprendere meglio quanto segue introduciamo prima il concetto di “fattore di autenticazione”. Da Wikipedia “un’autenticazione a due fattori è un metodo di autenticazione che si basa sull’utilizzo congiunto di due metodi di autenticazione individuale”, esiste quindi una gerarchia nei fattori di autenticazione:

  1. una cosa che conosciamo, come una password o un PIN;
  2. una cosa che abbiamo, come può essere un’app per la generazione di un token;
  3. una cosa che siamo, ad esempio l’iride, la retina e l’impronta digitale.

Qualche anno fa, per accedere ad un black market, si usava la classica combinazione “nome utente + password” e conseguentemente la risoluzione di un captcha, e se tutto era corretto si riusciva ad entrare con l’account corrispondente, vedere tutti gli ordini, leggere i messaggi privati tra utenti, etc..  Col passare del tempo la comunità si è sensibilizzata e ha implementato la crittografia asimmetrica ovunque fosse necessario, vediamo due casi rilevanti:

  • in fase di login, oltre alle normali credenziali e la risoluzione di un captcha, è richiesta inoltre la firma digitale di una stringa generata dal server volta per volta;
  • corrispondenza interna tra utenti, i messaggi più importanti vengono cifrati prima di essere inviati al destinatario.

Per gli utenti che si vogliono iscrivere come venditori, la registrazione di una chiave pubblica PGP è obbligatoria.

Se si riuscisse a compromettere la sicurezza di un accesso con questi requisiti, senza violare il server che ospita il servizio, buona parte delle comunicazioni confidenziali globali sarebbe ugualmente vulnerabile.

 

Tutto sotto chiave

Come non lo sono gli umani, neanche le macchine sono perfette e con tecniche più o meno complesse qualsiasi sistema può essere violato. Se non vi è modo di interagire con gli utenti della piattaforma, si punta alla piattaforma stessa e quindi, chi offre il servizio, deve poter garantire la riservatezza delle informazioni degli utenti iscritti con l’utilizzo di strumenti atti a crittografare il sistema nella sua interezza (FDE, full disk encryption), ad esempio.

Source: vpnmonitor.eu

Vpn, Proxy, chi più ne ha più ne metta

Non è insolito utilizzare una VPN in aggiunta al necessario collegamento alla rete di una determinata tecnologia, come può essere Tor, I2P o Freenet, solo per citare qualche esempio. Nel dettaglio, il pacchetto prima entrare nel la rete di destinazione passa attraverso una VPN. Quindi se il sistema viene compromesso dall’esterno, il suo IP vero e proprio non può essere individuato (salvo particolari errori di configurazione facilmente risolvibili) e di conseguenza nessun server può essere sequestrato.

Sistemi operativi ad-hoc

In alternativa, se non in aggiunta, alla VPN vengono utilizzati sistemi operativi ad-hoc, ad esempio TAILS (The Amnesic Icognito Live System) a lato utente e Whonix a lato server, costruiti per far in modo che ogni connessione passi attraverso la rete Tor e di conseguenza, in caso di compromissione del sistema, anche questa volta l’IP della macchina non può essere rivelato.

TAILS è un Live System e questo significa che il sistema viene caricato ogni volta in sola lettura e solo i file da noi scelti possono essere salvati, se vi si installa un malware il classico “spegni e riaccendi” funziona perfettamente. Whonix invece è sensibilmente meno user-friendly, il suo setup non è molto facile come lo può essere quello di TAILS, la differenza principale tra i due è che Whonix separa il sistema in due sottosistemi, quello adepto alle connessioni e quello alle funzionalità, mentre in TAILS c’è un tutt’uno. Il sottosistema che gestisce le connessioni si occupa solamente di reindirizzare il traffico, nulla di più e nulla di meno, risulta quindi difficile interagirci dall’esterno.

 

Source: Western Safety Signs

 

I circoli esclusivi

Ogni market che si rispetti ha un forum, ogni forum che si rispetti non ha un market.

Quando “ci si conosce”, quando si ha autorevolezza e quando si pensa di avere la stoffa giusta, si può sperare di entrare a far parte di alcuni forum esclusivi in cui solo chi vi è dentro sa esattamente cosa accade. La richiesta di iscrizione è solitamente accompagna da una “mazzetta di benvenuto”, una quota di iscrizione insomma, e successivamente si è sottoposti a un “test d’ingresso” per valutare la validità del candidato.

Altri forum sono così ben nascosti che non richiedono particolari iter d’iscrizione, basta la loro segretezza selezionare i visitatori.

Ogni hidden service ha bisogno di un piccolo file di configurazione per funzionare, solitamente neanche una decina di righe, ma esistono delle particolari impostazioni aggiuntive che permettono di restringere maggiormente l’accesso al sistema in questione. Al visitatore non basterà essere in possesso del link, ma anche di un particolare token di autenticazione che viene verificato dalla rete Tor stessa e senza questo l’utente non ha modo di verificare nemmeno se il server risulta spento o acceso.