8BitSecurity

il blog in italiano!

News, approfondimenti e knowledge sharing per una Cybersecurity a tutto bit

,

Top 5 Tecniche per Monitorare il Dark Web e Raccogliere e Automatizzare Intelligence (OSINT)

Copertina articolo

5 tecniche pratiche per monitorare il Dark Web, con esempi concreti di strumenti, piccoli script e pipeline di automazione. L’obiettivo non è “navigare per curiosità”, ma capire come un SOC o un team di incident response possa integrare queste informazioni nei propri processi di detection e difesa.

Lorenzo Langeli
5–8 minuti

di lettura

Il Dark Web è spesso raccontato come un luogo misterioso, popolato da criminali informatici e marketplace di merce illegale. In realtà, per chi si occupa di cybersecurity e threat intelligence, rappresenta un’enorme fonte di dati utili: forum dove vengono vendute credenziali rubate, dump di database aziendali, annunci di Ransomware-as-a-Service e molto altro.

Monitorare questi spazi in modo sistematico e sicuro permette ai team di threat intelligence e ai SOC di guadagnare tempo prezioso: scoprire prima che i propri dati vengano pubblicati, anticipare nuove TTP degli attaccanti e arricchire la detection con indicatori in tempo reale.

In questo articolo vediamo 5 tecniche pratiche per monitorare il Dark Web, con esempi concreti di strumenti, piccoli script e pipeline di automazione. L’obiettivo non è “navigare per curiosità”, ma capire come un SOC o un team di incident response possa integrare queste informazioni nei propri processi di detection e difesa.

1. Crawler .onion personalizzati

Il punto di partenza per esplorare il Dark Web è la creazione di un piccolo crawler in grado di visitare hidden services e scaricare i contenuti di interesse.

Dal punto di vista tecnico, basta configurare Tor come proxy locale e usare una libreria come Stem per Python o semplici richieste HTTP instradate via SOCKS5. Questo permette di predisporre script che si connettono a indirizzi .onion, scaricano le pagine e le salvano localmente per successive analisi.

Un esempio pratico in Python può essere realizzato con poche righe di codice usando requests e una sessione proxata su 127.0.0[.]1:9050. Naturalmente, l’ambiente deve essere isolato tramite VM dedicata (QUI la nostra guida per navigare in sicurezza nel dark web).

Questo approccio consente di raccogliere contenuti senza interazione diretta, riducendo il rischio,  dall’altro permette di costruire un archivio locale su cui applicare ricerche e analisi successive.

Setup tecnico:

  • Installare Tor e usare la libreria Stem per Python.
  • Creare uno script che si connette via socks5://127.0.0.1:9050 e scarica contenuti.

Esempio di snippet in Python:

import requests

session = requests.session()

session.proxies = {'http': 'socks5h://127.0.0.1:9050',

                   'https': 'socks5h://127.0.0.1:9050'}

url = "http://exampleonionaddress[.]onion"

response = session.get(url)

print(response.text[:500])

2. Monitoraggio marketplace e forum

Se i crawler servono a raccogliere dati, i forum e i marketplace sono i luoghi dove quei dati vengono messi in circolazione. Qui si trovano credenziali, database, accessi RDP o VPN in vendita, ma anche discussioni che anticipano trend futuri.

Per documentare e analizzare in modo strutturato queste fonti esistono strumenti come OnionScan, capace di mappare hidden services e correlare metadata, e Hunchly, utile a conservare prove in maniera forense. Un’altra opzione è Spiderfoot, che permette di automatizzare OSINT e integrare moduli dedicati al Dark Web.

Il metodo efficace è definire una lista di parole chiave: domini email aziendali, nomi di brand, prodotti interni. Lo scraper raccoglie i testi, un parser li analizza e li archivia in un database. A quel punto, ogni volta che un termine di interesse appare in un thread, è possibile investigare immediatamente.

La difficoltà sta nel distinguere i “fake leak” da annunci reali: molti attori pubblicano campioni incompleti come anche falsi. Serve quindi un processo di validazione, che può includere analisi di hash, confronti con credenziali interne o sandboxing di file sospetti.

Strumenti utili:

  • OnionScan: scanner open source per analizzare hidden services.
  • Hunchly: utile per documentare e preservare prove (catena di custodia).
  • Spiderfoot: per automatizzare OSINT, anche su domini .onion.

Come impostare un monitoraggio:

  • Definire una lista di keyword (es. nome azienda, dominio email, nomi di prodotto).
  • Usare cronjob o scheduler per eseguire scraping periodico.
  • Salvare contenuti in un database locale per successiva analisi.

3. Feed Dark Web + integrazione CTI

Oltre alle attività di raccolta autonoma, esistono feed pubblici e piattaforme di condivisione che forniscono indicatori già arricchiti. MISP e OpenCTI sono due strumenti open source ormai standard in molti SOC, che consentono di centralizzare IoC (indicatori di compromissione), correlare eventi e storicizzare campagne.

Integrare i dati del Dark Web in queste piattaforme consente di arricchire le indagini. Lo scenario tipico prevede una pipeline dove:

  1. Il crawler scarica pagine .onion.
  2. Un parser estrapola email, domini, indirizzi IP, fingerprint PGP.
  3. Gli indicatori vengono importati in MISP o OpenCTI.
  4. Il SIEM aziendale li usa come lista di correlazione nei log di autenticazione, proxy e firewall.

Snippet shell per grep di domini nei dump raccolti:

  • grep -i “example[.]com” darkweb_dumps/*.txt | cut -d: -f1 | sort | uniq

4. Analisi di PGP keys e reti di trust

Un aspetto spesso sottovalutato è l’uso delle chiavi PGP nel Dark Web. Molti attori firmano i propri messaggi con la stessa chiave per creare una sorta di reputazione. Collezionare e analizzare queste chiavi consente di correlare identità apparentemente distinte su più forum.

Con GPG (GNU Privacy Guard) è possibile importare fingerprint e creare un database locale. A questo punto, è possibile osservare le chiavi utilizzati dai threat actor: se una chiave compare associata a un vendor in due marketplace diversi, vuol dire che si tratta dello stesso attore. Questa informazione è preziosa per analisi di attribution, ma anche per verificare la credibilità di un annuncio di leak.

Le reti di fiducia costruite intorno a PGP permettono anche di individuare pattern di collaborazione tra gruppi criminali: incrociando le firme si scoprono spesso alleanze, rivalità o transizioni di identità tra nickname.

Come fare:

  • Salvare i fingerprint PGP pubblicati nei forum.
  • Confrontare se la stessa chiave appare su più marketplace.
  • Usare gpg –recv-keys <fingerprint> per collezionare chiavi da keyserver pubblici.

Caso pratico:
Se un venditore usa lo stesso fingerprint PGP in due forum diversi, è probabile che le sue attività siano collegate: informazione preziosa in un’indagine di attribution.

5. Automazione e alerting continuo

Il limite principale del monitoraggio manuale è la scalabilità. Un analista può esplorare un forum, ma non centinaia di hidden services contemporaneamente. La soluzione è l’automazione.

Un esempio pratico: se una lista di username trapelati viene importata in Splunk, è possibile scrivere una query che correla questi account con tentativi di login falliti o accessi da geografie insolite. Lo stesso vale per indirizzi IP o hash di file malevoli.

Anche il monitoraggio del traffico Tor in uscita può fornire insight: non sempre è segno di attività malevola, ma può indicare un comportamento anomalo su endpoint aziendali. Strumenti come Zeek o Suricata consentono di generare alert quando un host interno inizia a comunicare con nodi noti della rete Tor.

Integrazione con SIEM:

  • Importare indicatori in Elastic/Splunk.
  • Creare alert per correlare username leaked con login sospetti.
  • Query esempio Splunk:

index=auth (user IN [list_user_leaked]) | stats count by user, src_ip

Monitoraggio di traffico verso Tor:

  • Bloccare o almeno loggare outbound traffic su porte 9050/9150.
  • Con Suricata/Zeek, rilevare pattern tipici di handshake Tor.

Pipeline consigliata (schema):

  • Dark Web crawler → Parser → MISP/OpenCTI → SIEM (alert) → Incident Response

Una pipeline efficace prevede un crawler periodico, un parser che normalizza i dati in JSON o CSV, un’integrazione con MISP/OpenCTI e infine l’invio degli IoC al SIEM. A quel punto si possono creare regole di alerting.

Conclusione

Il Dark Web non è per forza un luogo da cui stare alla larga; in ambito cybersecurity può essere una miniera di dati che possono fare la differenza in un programma di cyber threat intelligence.

La chiave è trasformare dati grezzi in intelligence: osservare, raccogliere, arricchire e correlare. In questo modo un potenziale leak diventa un alert concreto in un SIEM, una chiave PGP diventa un collegamento tra due attori, un annuncio di vendita diventa l’inizio di un investigation playbook.

L’elemento fondamentale resta la sicurezza: lavorare sempre in ambienti isolati, non interagire direttamente con i criminali e rispettare il quadro legale. Fatto in questo modo, il monitoraggio del Dark Web non è un esercizio accademico, ma uno strumento operativo per difendere in maniera proattiva le infrastrutture aziendali.

Ti è piaciuto l’articolo? Seguici su Linkedin per sostenerci!

Offrici un Caffè e Sostieni il Progetto!

8BitSecurity è un progetto Indipendente e Gratuito. Sostienici con un piccolo contributo!

DONAZIONE
, , , , , , , , ,

consigliati