Sempre più siti web e servizi tradizionali si stanno interessando al dark web. Nel 2014, Facebook ha lanciato la propria versione hidden service Tor perché tutti possano connettersi in maniera più sicura al social mentre, l’anno scorso, l’associazione di giornalismo indipendente ProPublica ha messo online anche la sua versione dark web.



Ora, invece, un ricercatore di sicurezza sta cercando di attirare altre organizzazioni verso i Tor hidden service, con uno strumento relativamente facile da utilizzare che semplifica il processo di creazione del proprio sito. Tecnicamente, chiunque può realizzare una versione per il dark web di qualsiasi sito gli passi per la testa.

“L’obiettivo è quello di compiere il grosso del lavoro di ‘onionification’ dei siti web, in modo che, se un’organizzazione vuole mettere in piedi il proprio sito per dark web, più del 90 per cento del lavoro viene fatto per loro,” ha raccontato a Motherboard con un messaggio su Twitter Alec Muffett, ricercatore di sicurezza indipendente che ha progettato lo strumento. Di solito, la creazione di un sito per il dark web richiederebbe svariate conoscenze tecniche sugli hidden service, su come realizzare un sito partendo da zero e un bel po’ di competenze sulla sua configurazione.

“Sto cercando delle organizzazioni di cui il pubblico abbia il desiderio/necessità di fruire certi contenuti, ma che non lo facciano in maniera sufficientemente sicura, mi verrebbe da pensare, ad esempio, al BBC World Service, agli attivisti e associazioni di beneficenza meno dotate da questo punto di vista, cose del genere,” ha aggiunto il ricercatore.

Muffett ha progettato ciò che ha battezzato come The Enterprise Onion Toolkit (EOTK), una selezione di script in grado di generare rapidamente un indirizzo Tor hidden service e fornirvi il vostro sito per il dark web bello che pronto.

In sostanza, gli hidden service funzionano come un punto intermedio tra il visitatore e il sito vero e proprio. Idealmente, le organizzazioni dovrebbero creare la propria versione dark web dei siti con cui lavorano, utilizzando anche il proprio certificato crittografico valido. Senza di questo, gli utenti potrebbero incappare in svariati errori del browser per accedere al contenuto effettivo del sito.

“I siti HTTP in chiaro sono semplici da proteggere, ma qualsiasi sito che include notevoli quantità di SSL risulta praticamente inutilizzabile da parte dell’utente medio a meno che i proprietari del sito originale non includano un certificato SSL,” ha spiegato Muffett.

Tecnicamente però, chiunque può mettere in piedi delle versioni per il dark web di qualsiasi sito: come si può vedere in un video dimostrativo su YouTube. Ad esempio, Muffett ha realizzato rapidamente una versione Tor hidden service di CNN.com. Tuttavia, se una persona esterna fosse l’amministratore della versione dark Web di un sito al posto dell’organizzazione che detiene i diritti sull’originale, questi potrebbero intercettare i dati inviati alla versione dark web del sito, come le password.

Esistono diversi motivi per cui un’organizzazione potrebbe desiderare una versione dark web del proprio sito. Nel suo video, Muffett spiega come un exit node malevolo di Tor potrebbe spiare le persone che visitano un determinato sito: connettersi attraverso hidden service potrebbe evitare questi inconvenienti. Ad esempio, nel caso di ProPublica, l’intento era di fornire ai visitatori un metodo più protetto per interagire con i database delle loro pubblicazioni. Mike Tigas di ProPublica ha pubblicato una spiegazione dettagliata di come hanno lanciato l’hidden service — è stato anche una grande influenza per il progetto EOTK, ha concluso Muffett.



“EOTK cerca solo di risolvere gli stessi problemi in maniera più efficiente e pensando a qualsiasi organizzazione possa essere interessata,” ha aggiunto il ricercatore.