Abbiamo parlato con l'hacker che ha messo offline un quinto del dark web

“A dir la verità questo è il nostro primo hack.”
06 febbraio 2017, 9:37am

Lo scorso venerdì, un hacker ha attaccato una grossa fetta del dark web. Infatti, i visitatori di oltre 10.000 servizi nascosti Tor funzionanti sul circuito di Freedom Hosting II — un provider di hosting per i siti del dark web — sono stati accolti da un messaggio piuttosto insolito, ha riportato The Verge.

"Salve Freedom Hosting II, sei stato hackerato," si leggeva nel messaggio. Secondo un report della ricercatrice indipendente in ambito security Sarah Jamie Lewis, Freedom Hosting II garantiva il funzionamento di circa il 20 percento di tutti i siti del dark web.

Uno screenshot del messaggio lasciato dall'hacker sul sito di Freedom Hosting II. Immagine: Uno screenshot dell'autore

Sabato, gli hacker che hanno reclamato l'attacco mi hanno spiegato dettagliatamente come e perché hanno attaccato i servizi.

"A dir la verità questo è il nostro primo hack," mi hanno spiegato in una mail inviata dallo stesso indirizzo pubblicato sui siti di Freedom Hosting II hackerati. "Abbiamo semplicemente avuto una buona idea."

Gli hacker hanno affermato di aver compromesso i servizi per la prima volta il 30 gennaio, ma inizialmente avevano ottenuto solamente i permessi di lettura; ciò significa che non potevano modificare o cancellare i file, ma solamente vedere quali siti fossero ospitati su quel determinato hosting.

"All'inizio non avevamo intenzione di attaccare FH2, volevamo solamente darci un'occhiata," hanno spiegato gli hacker. Ma poco dopo hanno rinvenuto diversi grossi siti dedicati alla pedopornografia che stavano sfruttando più spazio rispetto agli standard dichiarati da Freedom Hosting II. Normalmente, Freedom Hosting II fornisce una quota di 256MB per sito, ma questi siti illegali consistevano di diversi gigabyte di materiale, hanno affermato gli hacker.

"Ciò significa che stavano pagando per quell'hosting e che l'amministrazione del provider era a conoscenza della loro presenza. È allora che abbiamo deciso di attaccare il provider," hanno spiegato gli hacker. Al momento della scrittura di questo articolo, gli hacker affermano di aver rinvenuto 10 siti di pedopornografia con circa 30GB di dati.

Per quanto riguarda il metodo, gli hacker hanno buttato giù un tutorial fatti di 21 passaggi piuttosto semplici. In breve, si inizia creando un nuovo sito su Freedom Hosting II o loggando all'interno di un sito già presente, si sistemano un po' di impostazioni nei file di configurazione di modo da forzare un reset della password per l'obiettivo, dopodiché si attivano gli accessi root, e si rilogga con i nuovi privilegi.

"20. riconnettiti via ssh come root; 21. enjoy," si legge nella guida.

Uno screenshot del metodo che gli hacker hanno apparentemente seguito per prendere il controllo dei siti di Freedom Hosting II. Immagine: Screenshot dell'autore

L'hacker ha affermato di aver pubblicato un dump dei file di sistema di Freedom Hosting II, ma non i dati degli utenti. Non volevano distribuirli pubblicamente perché, come detto, contengono una gran quantità di pedopornografia. Ma gli hacker forniranno una copia ad alcuni ricercatori in ambito security che procederanno poi a fornirli alle autorità.

Ciononostante, non tutte le autorità federali potrebbero esserne contente. Negli ultimi anni, quando autorità come l'FBI hanno attaccato siti del dark web o provider di hosting, hanno spesso tentato di identificare i singoli utenti impiantando dei malware. L'FBI ha fatto così con l'originale Freedom Hosting — l'agenzia aveva usato un tool per recuperare gli indirizzi IP dei visitatori. Hanno usato questa tattica perché anche quando le autorità hanno il controllo di un servizio Tor nascosto, normalmente non possono sapere da dove ogni singoli utente si sta connettendo.

Ma ora, con questa demolizione di siti di pedopornografia di Freedom Hosting II, i federali potrebbero non avere più modo di sfruttare questa tattica. Ciononostante, potrebbero esserci indizi circa chi operava ogni sito nel dump di dati di Freedom Hosting II.

Non è la prima volta che dei vigilante digitale hanno attaccato dei siti di pedopornografia sul dark web. Un'altra campagna legata ad Anonymous aveva preso di mira gli utenti di questo tipo di pedornografia, e nel 2014 un hacker aveva eliminato diversi link a immagini di pedopornografia su una nota wiki ospitata su Tor.

"Se si presenterà un'altra chance simile, non ci tireremo indietro dal ripetere gli attacchi — Ma per ora non c'è nulla di pianificato," mi hanno infine spiegato.