RiparaTa.it | Laboratorio Tecnico Informatico

Contattaci Subito

Smartphone: 3888673983
Laptop & PC: 3924685045

Orari delle sedi:

Smartphone:
9:15-13:15 | 16:00-18:30
Laptop & PC:
9:15-13:00 | 17:00-19:45

Email

[email protected]
Da Lunedì a Venerdì
CONTATTACI
🇬🇧🇫🇷🇩🇪

Come le indagini tecniche riescono a collegare un servizio .onion a un IP reale

Categoria: Informatica

RiparaTa.it Tutti gli Articoli Come le indagini tecniche riescono a collegare un servizio .onion a un IP reale
Informatica

Come le indagini tecniche riescono a collegare un servizio .onion a un IP reale

12-03-2026 RiparaTa.it

Per capire come alcuni amministratori di siti del dark web siano stati rintracciati, bisogna prima ricordare come funzionano i servizi onion. Un sito Tor non espone direttamente l’indirizzo IP del server: al posto di un dominio tradizionale utilizza un indirizzo .onion, derivato da una chiave crittografica, e tutta la comunicazione avviene all’interno della rete Tor senza uscire su Internet pubblica. (DeepStrike)

Questo significa che, in teoria, né il visitatore né il server dovrebbero conoscere l’IP reale dell’altro. Tuttavia l’anonimato dipende da molti fattori esterni alla rete Tor, come configurazione del server, comportamento dell’utente e infrastruttura di rete.

Di seguito alcuni meccanismi tecnici che hanno permesso in diversi casi di risalire agli IP reali.

Correlazione del traffico (Traffic correlation)

Uno degli approcci più studiati è l’analisi di correlazione del traffico.
L’idea è osservare contemporaneamente:

  • il traffico che entra nella rete Tor

  • il traffico che esce verso un servizio onion

Confrontando tempo, dimensione e frequenza dei pacchetti, è possibile individuare pattern simili e collegare le due estremità della comunicazione. (German criminal defense Lawyer Ferner)

Esempio semplificato:

ISP monitorato
19:22:10  → utente invia 850 KB verso rete Tor

Nodo Tor monitorato
19:22:10  → traffico 850 KB verso servizio onion

Ripetendo l’analisi su molte connessioni è possibile ridurre l’incertezza fino a identificare quale utente sta comunicando con quel servizio.

Questa tecnica è molto costosa e richiede:

  • controllo o monitoraggio di diversi nodi Tor

  • cooperazione tra ISP o agenzie internazionali

ma negli ultimi anni è diventata più praticabile grazie alla maggiore potenza di calcolo e alla cooperazione tra agenzie investigative. (German criminal defense Lawyer Ferner)

Individuazione dell’infrastruttura reale del server

Un altro metodo consiste nel cercare tracce dell’infrastruttura reale del server.

Molti siti onion non sono completamente isolati dalla rete Internet tradizionale. Gli amministratori possono commettere errori come:

  • usare lo stesso certificato TLS su server pubblico e server onion

  • lasciare servizi aperti su Internet (SSH, pannelli di controllo)

  • configurare male proxy o reverse proxy

In questi casi gli investigatori possono cercare server con caratteristiche tecniche identiche:

Header HTTP:
Server: nginx/1.20
X-Powered-By: PHP/7.4
Timezone: UTC+2

Con strumenti di scansione globale della rete (Shodan, Censys, Netlas) è possibile trovare macchine con configurazioni identiche, riducendo il numero di possibili IP reali.

Exploit e malware investigativo

In alcune operazioni le autorità hanno utilizzato software investigativo chiamato Network Investigative Technique (NIT).

Il principio è semplice:
se il computer della persona apre un file o visita una pagina contenente codice malevolo, il software può:

  1. forzare una connessione fuori da Tor

  2. inviare l’IP reale al server investigativo

Questo metodo è stato utilizzato in alcune operazioni contro siti illegali nel dark web. (Wikipedia)

Schema tecnico:

Utente → Tor Browser
          ↓
Pagina con exploit
          ↓
Script invia richiesta diretta
          ↓
Server investigativo registra IP reale

Analisi della blockchain e delle criptovalute

Molti servizi nel dark web utilizzano Bitcoin o altre criptovalute per i pagamenti.
Sebbene Bitcoin sia pseudonimo, tutte le transazioni sono pubbliche nella blockchain.

Ricercatori hanno dimostrato che è possibile collegare:

  • indirizzi Bitcoin pubblicati su forum o social

  • transazioni nella blockchain

  • servizi onion specifici

In uno studio accademico sono stati collegati 125 utenti a 20 servizi Tor analizzando le transazioni e le informazioni pubbliche online. (arXiv)

Questo tipo di analisi non rivela direttamente l’IP, ma può portare all’identità reale dell’operatore.

Operazioni investigative e infiltrazioni

Molti casi di identificazione non derivano da un singolo attacco tecnico ma da indagini combinate:

  • infiltrazioni sotto copertura nei marketplace

  • analisi delle criptovalute

  • monitoraggio del traffico

  • errori operativi degli amministratori

Operazioni internazionali come Operation Onymous hanno chiuso numerosi servizi onion e portato all’arresto di diversi amministratori tramite indagini coordinate tra agenzie di vari paesi. (Wikipedia)

La lezione tecnica

La rete Tor rimane una delle tecnologie di anonimizzazione più avanzate e utilizza migliaia di relay distribuiti nel mondo per instradare il traffico in modo anonimo. (Wikipedia)

Tuttavia la sicurezza reale dipende da un sistema complesso:

  • configurazione dei server

  • comportamento dell’utente

  • infrastruttura di rete

  • investigazioni tradizionali

Per questo motivo molti arresti nel dark web non sono dovuti alla “rottura” di Tor, ma alla combinazione di errori umani, analisi tecnica e investigazione digitale avanzata.