Joe Turner, nome in codice “Condor”, è un analista della CIA e lavora in un ufficio clandestino di New York. Legge libri, giornali, riviste provenienti da tutto il mondo all’interno dei quali cerca significati nascosti, codici segreti e individui sospetti. L’attività di Joe Turner per conto della CIA è l’OSINT, ossia l’Open Source Intelligence (intelligence da fonti aperte). Stiamo parlando del personaggio interpretato da Robert Redford nel film del 1975 di Sidney Pollack “I tre giorni del Condor”.
Quando si sente menzionare la parola intelligence, si pensa immediatamente ad un ambito a cui i normali cittadini, i civili, difficilmente possono accedere, in realtà l’analisi delle cosiddette “fonti aperte” è –per definizione – letteralmente alla portata di ognuno di noi, siete pronti ad esplorare queste fonti?
Rubo a Kahlil Gibran questa frase: “Se riveli al vento i tuoi segreti, non devi poi rimproverare al vento di rivelarli agli alberi.” con la quale Leonida Reitano nel suo manuale “Esplorare Internet – Manuale di investigazioni digitali e Open Source Intelligence” inquadra perfettamente l’argomento.
Che cosa si intende per OSINT
L’OSINT è solo una fra le diverse discipline di raccolta di intelligence, oltre essa possiamo certamente citare HUMINT, SIGINT, IMINT che si occupano rispettivamente dell’analisi delle fonti umane, delle trasmissioni in formato elettronico e delle immagini fotografiche (provenienti da satelliti, aerei o droni).
L’Open Source INTelligence è dunque l’intelligence “prodotta da informazioni pubblicamente disponibili che viene collezionata, sfruttata e diffusa in maniera tempestiva ad un pubblico appropriato di destinatari allo scopo di rispondere ad una specifica esigenza”.
L’OSINT si distingue dalla semplice ricerca perché applica un processo di gestione delle informazioni con lo scopo di creare una specifica conoscenza in supporto ad una specifica decisione di un individuo o gruppo. È bene sottolineare che “Open Source” in questo contesto nulla ha a che vedere con l’accezione della stessa locuzione riferita al software di tipo “open source”.
Questo articolo tuttavia, non avendo la pretesa di trattare in maniera esaustiva l’argomento, si concentrerà principalmente sulle attività di OSINT effettuabili su Internet, tramite strumenti informatici che possono essere gratuiti o a pagamento.
La “Cyber Intelligence”, l’attività di intelligence in Internet che si basa su fonti aperte, può attualmente essere definita come il lavoro sistematico di raccolta, elaborazione, analisi, produzione, classificazione e diffusione di informazioni liberamente e legalmente accessibili (si veda “Open Source, Intelligence & Cyberspace” di A.Teti).
Google Hacking
Il primo strumento che prenderemo in analisi è il motore di ricerca più utilizzato, ovvero Google. Per Google Hacking si intende quella tecnica tramite la quale il motore di ricerca viene utilizzato per trovare falle di sicurezza nella configurazione dei siti web. Attraverso l’utilizzo di operatori avanzati nel motore di ricerca si individuano specifiche stringhe di testo all’interno dei risultati. Gli operatori avanzati, quali ad esempio allintext:, allintitle:, allinurl:, filetype:, site:, utilizzati congiuntamente agli operatori booleani (AND, NOT e OR) possono fornire interessanti risultati anche nell’ambito dell’OSINT e non solo in quello della ricerca di vulnerabilità e problemi di sicurezza dei siti. A questo punto tutto è nelle mani dell’analista che, in base alla natura dell’informazione di cui necessita, formulerà la query nella maniera più efficace. Per fare un esempio che rende l’idea di ciò che è possibile ottenere tramite gli operatori avanzati, si prenda in considerazione la semplice query su Google: spese filetype:xls site:comune.roma.it
Questa query restituirà i link a quei file con estensione .xls (una delle possibili estensioni dei file Excel) contenenti la parola “spese” all’interno del file o della pagina e che risiedono sul sito comune.roma.it. È quindi evidente come la potenza del motore di ricerca, attraverso un controllo molto più fine e granulare, possa diventare uno strumento utilissimo nelle ricerche OSINT: i dati sono lì, disponibili a tutti, basta saperli cercare…
Software
Sul mercato sono presenti numerosi software, sia gratuiti che a pagamento, utilizzabili per attività OSINT, ne prenderemo in esame solo alcuni.
FOCA (Fingerprinting Organizations with Collected Archives): È uno strumento utilizzato principalmente per estrarre metadati e informazioni nascoste all’interno dei documenti sottoposti a scansione. Tali documenti possono risiedere su pagine web e possono essere scaricati e analizzati tramite FOCA. I documenti analizzabili sono quelli di Microsoft Office, Open Office, i file PDF o i file SVG. I documenti possono essere ricercati attraverso tre possibili motori di ricerca (fra cui Google e Bing), tuttavia anche file locali possono essere analizzati. Dai file di immagini fotografiche FOCA è in grado di estrarre i metadati Exif (quali ad esempio data e ora dello scatto, il modello ed il produttore della fotocamera, il luogo degli scatti). FOCA riesce ad analizzare l’informazione residente nell’URL sottoposto a scansione prima ancora che il file venga in effetti scaricato. Una volta scaricati i file (che possono risultare anche in numero considerevole), FOCA si occupa di incrociare le informazioni nel tentativo di identificare quali documenti sono stati creati dallo stesso gruppo all’interno di un’organizzazione o magari scoprire il nome dei server o dei client utilizzati, il loro sistema operativo
Maltego
Lo scopo principale di questa applicazione è l’analisi delle relazioni esistenti nel mondo reale fra persone, gruppi, siti web, domini Internet, reti e appartenenza a social network quali Facebook e Twitter.
Ciò che si può ottenere è la rappresentazione dell’ambiente nel quale un’organizzazione opera, la complessità di questo ambiente viene dunque evidenziata insieme ai propri punti deboli e alle relazioni che lo costituiscono. Ogni dato relativo all’organizzazione oggetto dell’analisi (che sia la configurazione di un router o il luogo in cui si trova il Vice Presidente durante i suoi viaggi all’estero) viene reperito, aggregato e l’informazione che ne viene tratta viene presentata in forma grafica.
Come ottiene questa informazione Maltego? Maltego può essere usato per analizzare le relazioni e i collegamenti esistenti nel mondo reale fra persone, gruppi di persone (ad esempio sui social network), aziende, organizzazioni e siti web. Il software analizza anche i domini Internet, i nomi DNS e gli indirizzi IP, oltre che file e documenti (che rimangono sempre una fonte essenziale di informazioni). Ognuna di questa entità viene messa in relazione con le altre a supporto dell’attività di OSINT. L’interfaccia grafica dello strumento rende possibile “vedere” in maniera istantanea le relazioni esistenti fra le entità e le connessioni a volte nascoste da diversi gradi di separazione.
Portali e siti web
DomainTools
Chi ha registrato un determinato sito? Chi ha avuto interesse a farlo? Oltre a quel sito ne ha registrati altri, ora o in passato? Quali altri domini sono ospitati sullo stesso server e che relazioni potrebbero quindi esserci fra siti web apparentemente non correlati fra loro? DomainTools viene in aiuto a chi vuole o deve rispondere a queste domande.
È un portale che fornisce informazioni a partire da indirizzi IP o nomi a dominio, dal portale è possibile risalire alla proprietà attuale e storica di un nome a dominio (http://whois.domaintools.com/), si possono fare ricerche a partire da un indirizzo email o un numero di telefono per verificare se quell’indirizzo o quel numero sono legati in questo momento in storicamente alla registrazione di un certo dominio. È inoltre possibile risalire a quali domini sono “hostati” su uno stesso indirizzo IP.
WayBackMachine
Molte volte potrebbe essere importante risalire all’aspetto, ma soprattutto ai contenuti di cui un sito disponeva in passato. Le attività di OSINT non possono prescindere dal fattore storico, una vera indagine deve andare a “scavare” anche nel passato per ritrovare tracce che qualcuno ha volutamente cercato di eliminare o informazioni che il tempo, fisiologicamente, tende ad offuscare. Il sito WayBackMachine viene in soccorso dell’analista, investigatore o giornalista di turno che può scoprire legami o dichiarazioni non più presenti online, ma gelosamente custoditi da WayBackMachine. Per mostrare un risultato curioso, senza la pretesa di essere un esempio di investigazione (quest’ultimo aspetto lo lascio all’intraprendenza del lettore…) vi invito a dare un’occhiata al sito della Fiat per come era pubblicato il 1° Novembre del 1996.
A proposito della rete che “non dimentica” le aziende (ma anche i privati cittadini) farebbero bene a tener conto del cosiddetto “effetto Streisand” secondo il quale “un tentativo di censurare o rimuovere un’informazione ne provoca, contrariamente alle attese, l’ampia pubblicizzazione”.
I social network
I social network sono una fonte sconfinata di informazioni per gli analisti di ogni genere, la tendenza degli individui è quella dell’oversharing, ossia l’attitudine a fornire all’esterno più informazioni del necessario a volte per imprudenza, per mancata consapevolezza o per errore. Le attività di intelligence mirate ai Social Network sono utilizzate nei campi più disparati, uno dei più affascinanti – a mio parere – è quello relativo all’antiterrorismo, allo “spionaggio” e alla difesa nazionale o internazionale. È sufficiente dare uno sguardo a questo articolo “Miliziani dell’Is fanno un selfie e in 24 ore arrivano 3 missili” . In passato si sono verificati episodi anche a parti invertite, dove l’imprudenza è stata compiuta da soldati americani (l’esercito americano è ben conscio di questi rischi: “Geotagging poses security risks” ). L’analisi delle attività sui Social Network non si ferma ovviamente a questioni di geolocalizzazione, i SN sono letteralmente un giacimento di dati e quindi di informazioni che permettono all’analista di scoprire chi sta realizzando connessioni e con chi, di cosa sta parlando, dove si trova in un determinato momento. Tutto ciò attraverso l’acquisizione, l’analisi e la sintesi dei dati tratti da ogni angolo dei social web.
Shodan
Un paragrafo a parte merita Shodan (si veda ad esempio “Il motore di ricerca dell’#IoT: cosa è Shodan e perché le aziende devono conoscerlo?
Shodan è un motore di ricerca che permette all’utente di rilevare specifici dispositivi (computer, router, server, ecc.) collegati ad Internet servendosi di una grande varietà di filtri. Alcuni lo definiscono un motore di ricerca di “service banner”, intesi come “meta-dati” che il server restituisce al client che lo interroga. I meta-dati forniti in risposta possono dare indicazioni sul sofware, su quali opzioni il servizio ospitato offre, un messaggio di benvenuto (a volte “troppo” informativo…) e qualsiasi altra informazione ritenuta più o meno utile ancora prima che il client stabilisca una vera e propria connessione col server. Shodan colleziona dati principalmente riguardanti web server (che rispondono tipicamente sulla porta 80, http), ma è possibile trovar dati relativi a server ftp (21), SSH (22), Telnet (23), SNMP (161) e SIP (5060). Molto spesso ciò che Shodan scopre è una quantità di server (e servizi) che risultano esposti su Internet per negligenza di chi li ha configurati o di chi ha il compito di proteggerli e gestirli, altrimenti perché – ad esempio –un centinaio di turbine eoliche sono risultate accessibili (e quindi “hackerabili”) attraverso Internet?
OSINT nel Deep Web
In questo articolo, non ci dilungheremo nella descrizione dettagliata dei metodi che ci permettono di esplorare queste profondità (“Top 10 Search Engines To Explore Deep / Invisible Web”). Tuttavia è certamente evidente che se il Web di superficie è una fonte di dati (e quindi informazioni) di inestimabile valore, a maggior ragione possiamo ritenere il “Deep Web”, ossia la parte della rete non indicizzata dai motori di ricerca comuni, come un vera e propria miniera dal punto di vista dell’OSINT considerata l’enorme quantità del materiale che giace sotto la superficie che è di gran lunga superiore a quella di ciò che affiora.
Cosa devono e possono fare le aziende?
Abbiamo visto come le attività di OSINT siano letteralmente alla portata di tutti e quanto sia potenzialmente facile reperire dati e carpire informazioni, molte volte imprudentemente rese pubbliche, a questo punto il suggerimento è quello di sfruttare le attività di OSINT per verificare quali sia il proprio grado di esposizione su Internet, quali siano le informazioni che non vogliamo far trapelare all’esterno, quali di queste informazioni rappresentino un pericolo per la propria organizzazione. Infatti potremmo essere presi di mira perché gli attaccanti conoscono indirizzi IP, sistemi operativi e vulnerabilità ad esso connesse dei nostri server, oppure potremmo avere dei servizi esposti quando in realtà non devono esserlo. Facciamo attenzione ai documenti che risultano accessibili da Internet, siamo sicuri che debbano essere resi pubblici? Per quanto riguarda i social network, l’attitudine all’oversharing può portare a subire attività di “Social Engineering”, oltre che rappresentare una possibile via di fuga di informazioni confidenziali; dunque una campagna di consapevolezza nei confronti dei propri dipendenti potrebbe essere utile.
Riporto in ultimo una mia libera traduzione tratta da questo articolo “5 best practices for lawfully monitoring your employees’ social media activities”, tenendo presente che la legislazione varia da nazione a nazione: “Le aziende di oggi devono essere vigili e assicurarsi che i propri dipendenti non stiano diffondendo informazioni confidenziali o di proprietà dell’azienda attraverso i social media o utilizzino tali canali per minacciare altri impiegati o per intraprendere altro tipo di condotte illegali. Allo stesso tempo le aziende devono accertarsi di non invadere in alcun modo la privacy dei propri dipendenti.”
Facebook Comments