Measuring onion website discovery and Tor users' interests with honeypots

Questo studio utilizza honeypot distribuiti tramite il motore di ricerca Ahmia e altri canali per dimostrare che gli utenti umani di Tor provengono quasi esclusivamente da Ahmia.fi e che, tra le varie tematiche illegali testate, i siti a tema CSAM generano un coinvolgimento significativamente superiore, con una preferenza marcata per le versioni in lingua inglese.

L'essenziale

Ecco una spiegazione semplice e creativa di questo studio, pensata per chiunque, anche senza competenze tecniche.

🕵️‍♂️ L'Esperimento: "Il Trucco del Negozio Fantasma"

Immagina di voler capire cosa piace davvero alle persone che visitano il "sottosuolo" di Internet (il Dark Web, accessibile solo con un browser speciale chiamato Tor). Invece di spiare le persone (cosa che sarebbe illegale e poco etica), i ricercatori hanno deciso di fare un esperimento geniale: hanno costruito dei "negozi fantasma".

Questi negozi non vendevano nulla di reale. Erano delle trappole intelligenti (chiamate honeypots, letteralmente "vasi di miele").

1. Come hanno costruito le trappole?

I ricercatori hanno creato 32 siti web finti. Ogni sito sembrava un luogo pericoloso o illegale, ma in realtà era innocuo.

• I Temi: Hanno creato versioni finte di forum per: materiali abusivi su minori (CSAM), violenza, malware, oggetti rubati, armi illegali, droghe, falsificazioni e un forum "incomprensibile" (come controllo).
• Le Lingue: Ogni tema era disponibile in 4 lingue: Inglese, Tedesco, Finlandese e Russo.
• Il Filtro: Per assicurarsi che fossero persone vere a entrare e non dei robot, ogni sito aveva un CAPTCHA (quel rompicapo "Seleziona tutte le immagini con i semafori"). Se non lo risolvevi, non potevi entrare.

2. Come hanno attirato la gente?

Hanno messo i link a questi negozi in tre posti diversi, come se fossero volantini:

1. Ahmia: Il "Google" del Dark Web (il motore di ricerca più famoso).
2. Pastebin: Un sito dove la gente incolla e condivide testo.
3. Stronghold: Un altro servizio simile per condividere link.

L'idea era: "Se qualcuno clicca sul link, risolve il rompicapo e prova a registrarsi, significa che è interessato a quel tipo di contenuto."

3. Cosa è successo? (I Risultati Sorprendenti)

Ecco le scoperte principali, tradotte in parole semplici:

• 🔍 Dove si trovano le persone?
  Quasi tutti i visitatori reali venivano da Ahmia (il motore di ricerca). I link su Pastebin e Stronghold sono stati cliccati da milioni di volte, ma erano quasi tutti robot che scorrevano i link automaticamente.

  • L'analogia: È come se avessi messo un annuncio su un giornale (Ahmia) e su un muro di un vicolo (Pastebin). Milioni di robot hanno letto il muro, ma solo le persone vere hanno letto il giornale. Quando i ricercatori hanno tolto i link da Ahmia, il traffico umano è crollato a zero.

• 🍬 Cosa piace di più? (Il paradosso delle droghe)
  Ci si aspetterebbe che il tema più popolare fosse quello delle droghe, dato che è il "business" più famoso del Dark Web.
  Invece no!

  • Il tema che ha attirato il più alto interesse (persone che risolvevano il rompicapo e provavano a registrarsi) è stato quello legato al materiale abusivo su minori (CSAM).
  • Al secondo posto c'era la violenza.
  • Le droghe e la falsificazione sono state le meno cliccate.
  • Perché? I ricercatori ipotizzano che chi cerca droghe sul Dark Web sia esperto e sappia già dove andare (non usa il motore di ricerca generico). Chi invece clicca sui risultati di ricerca è spesso meno esperto e si lascia attrarre dai contenuti più scioccanti o "facili" da trovare.

• 🌍 Quale lingua usano?
  L'Inglese è stato il vincitore assoluto. La gente preferisce di gran lunga i siti in inglese rispetto a tedesco, finlandese o russo.

  • Curiosità: Il finlandese ha avuto più successo del russo, probabilmente perché il motore di ricerca usato (Ahmia) è finlandese e attira più utenti locali.

🎯 La Morale della Favola

Questo studio ci insegna che ciò che vediamo nei dati di "popolarità" (quanti siti esistono) non è sempre ciò che le persone vogliono davvero fare.

• Se contiamo solo i siti esistenti, le droghe sembrano il re del Dark Web.
• Se guardiamo a cosa le persone cercano attivamente (cliccando e registrandosi), emerge un quadro molto più oscuro: l'interesse per l'abuso di minori e la violenza è sproporzionatamente alto rispetto ad altri crimini.

In sintesi, i ricercatori hanno usato dei "negozi finti" per capire che, quando le persone arrivano sul Dark Web attraverso una ricerca generica, sono spesso spinte da una curiosità morbosa verso i contenuti più illegali e dannosi, piuttosto che verso il semplice commercio illegale.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "Measuring onion website discovery and Tor users' interests with honeypots" in lingua italiana.

Titolo: Misurazione della scoperta dei siti Onion e degli interessi degli utenti Tor tramite honeypot

1. Problema e Contesto

La ricerca esistente sul Dark Web si è concentrata prevalentemente sull'analisi dei contenuti (crawling) e sulla mappatura delle marketplace illegali, offrendo scarse informazioni sui comportamenti reali degli utenti e su come effettivamente scoprono e interagiscono con i siti .onion.
Mentre la popolarità di una categoria di siti può essere inferita dalla quantità di contenuti disponibili, questo non riflette necessariamente l'interesse attivo degli utenti umani. Inoltre, le metodologie precedenti (come la risoluzione di nomi di dominio) non distinguevano tra traffico umano e bot/crawler automatizzati. Esiste quindi un vuoto conoscitivo riguardo ai canali di scoperta specifici (motori di ricerca vs. paste service) e alle reali intenzioni di accesso degli utenti umani a diverse categorie di contenuti illeciti.

2. Metodologia

Gli autori hanno implementato un approccio basato su honeypot per misurare l'engagement umano reale. Lo studio è stato condotto tra marzo e aprile 2025.

• Struttura degli Honeypot:
  • Sono stati creati 32 siti unici (8 categorie x 4 lingue).
  • Categorie: CSAM (materiale di abuso sessuale minorile), Violenza, Malware, Beni Rubati, Armi Illegali, Droga Illegale, Falsificazione e una categoria "Non chiara" (baseline).
  • Lingue: Inglese, Tedesco, Finlandese e Russo.
  • Flusso di Interazione: Ogni sito presentava una landing page neutrale con un CAPTCHA. Solo dopo aver risolto il CAPTCHA, l'utente accedeva a una seconda pagina che simulava un forum criminale con campi di registrazione/login (non funzionali, ma tracciati nei log).
• Canali di Distribuzione: I link agli honeypot sono stati diffusi attraverso tre canali distinti per tracciare l'origine del traffico:
  1. Ahmia.fi: Il motore di ricerca Tor più popolare (i link sono apparsi casualmente nei risultati di ricerca).
  2. Pastebin.com: Servizio di paste pubblico.
  3. Stronghold: Servizio di paste specifico per onion.
• Filtraggio dei Dati: L'uso del CAPTCHA ha permesso di distinguere gli utenti umani (capaci di risolvere il puzzle) dai bot e dai crawler automatizzati.
• Durata: I link sono stati attivi su Ahmia dal 24 marzo al 10 aprile 2025, con monitoraggio aggiuntivo fino al 17 aprile.

3. Contributi Chiave

1. Distinzione tra scoperta e engagement umano: Dimostrazione che, sebbene tutti i canali generino visite, l'interazione umana significativa (risoluzione CAPTCHA e tentativi di login) proviene quasi esclusivamente dai motori di ricerca (Ahmia), mentre i paste service sono dominati da bot.
2. Mappatura delle preferenze tematiche: Identificazione quantitativa delle categorie che suscitano il maggiore interesse umano, rivelando sorprese rispetto alle percezioni comuni (es. la bassa engagement per le droghe).
3. Analisi linguistica: Misurazione delle preferenze linguistiche degli utenti Tor per l'accesso a contenuti illeciti.

4. Risultati Principali

• Canali di Scoperta (RQ1):

  • Ahmia ha generato l'87,65% delle visite totali (192.101 visite).
  • Pastebin e Stronghold hanno generato rispettivamente il 6,42% e il 5,93%.
  • Engagement Umano: Su un totale di 17.054 CAPTCHA risolti e 6.648 tentativi di registrazione/login, quasi il 100% proveniva da Ahmia. Solo 2 CAPTCHA risolti provenivano da Stronghold e nessuno da Pastebin.
  • Conclusione: I paste service attirano principalmente crawler automatizzati, mentre gli utenti umani utilizzano prevalentemente i motori di ricerca per scoprire nuovi siti.

• Interesse per le Categorie (RQ2):

  • Dopo aver risolto il CAPTCHA, il CSAM ha mostrato un engagement sproporzionatamente alto, rappresentando il 37,67% di tutti i tentativi di registrazione/login (2.504 tentativi).
  • La Violenza è stata la seconda categoria più popolare (20,47%).
  • Sorprendentemente, le Droghe Illegali sono state tra le meno engageate (solo il 3,43%), contrariamente alla percezione comune che le marketplace di droga siano il fulcro del Dark Web.
  • Falsificazione e Armi hanno mostrato un interesse moderato-basso.
  • Il tasso di conversione (CAPTCHA risolto -> tentativo di login) per il CSAM è stato del 115,55% (indicando tentativi multipli per utente), mentre per droghe e falsificazione era inferiore al 11%.

• Preferenze Linguistiche (RQ3):

  • L'Inglese è la lingua predominante, con il 43,49% di tutti i tentativi di login e il tasso di conversione più alto (67,40%).
  • Seguono il Tedesco (22,47%) e il Finlandese (18,07%).
  • Il Russo, nonostante la sua ampia diffusione globale e presenza storica su Tor, è stato il meno popolare (15,97%).
  • La sovrarappresentazione del finlandese è attribuita alla provenienza finlandese del motore di ricerca Ahmia.

5. Significato e Limitazioni

• Significato: Questo studio fornisce la prima misurazione quantitativa diretta di come gli utenti umani interagiscono con diverse categorie di siti Onion, spostando il focus dall'analisi passiva dei contenuti al comportamento attivo. I risultati suggeriscono che gli utenti che arrivano tramite motori di ricerca pubblici e filtrati (come Ahmia) potrebbero essere un sottogruppo meno esperto o più curioso, attratto da contenuti shock (CSAM/Violenza) piuttosto che da mercati specializzati (droga) che richiedono canali di scoperta più privati o conoscenze pregresse.
• Limitazioni:
  • Bias di Campionamento: I dati provengono quasi esclusivamente da Ahmia, che filtra le query relative al CSAM. Pertanto, i risultati potrebbero non riflettere il comportamento di utenti che usano canali non filtrati o forum privati.
  • Realismo degli Honeypot: Il design minimalista e identico di tutti i siti potrebbe non replicare perfettamente l'esperienza di forum illegali reali, influenzando le tendenze di engagement.
  • Copertura Linguistica: L'assenza di francese e italiano (lingue comuni su Tor) limita la generalizzabilità dei risultati linguistici.

In sintesi, il lavoro evidenzia che il motore di ricerca Ahmia è il principale vettore di scoperta per gli utenti umani, che l'interesse per i contenuti di abuso sessuale minorile è significativamente più alto di quello per le droghe in questo contesto specifico, e che l'inglese rimane la lingua franca dominante per l'accesso a tali contenuti.