Dopo aver parlato dell’intelligence delle fonti aperte, e dei suoi risvolti positivi e negativi, affrontiamo ora l’argomento tools, ovvero degli strumenti software per poterla praticare.
Innanzitutto, occorre avere una strategia ed un quadro chiaro della situazione per poter acquisire ed utilizzare l’intelligence open source. Non è raccomandabile un approccio all’OSINT che preveda di trovare qualsiasi cosa ed ovunque, che possa essere interessante o utile, come già spiegato parlando dell’intelligence delle fonti aperte. Esiste un volume tale di informazioni disponibili tramite le fonti aperte che potrebbe semplicemente sommergerti.
Invece, devi esattamente capire cosa stai cercando di ottenere, per esempio, per identificare e porre rimedio alle vulnerabilità nella tua rete – e focalizzare le tue energie nello specifico raggiungimento di determinati obiettivi.
In seconda battuta, devi identificare un set di strumenti e tecniche per raccogliere e processare le sorgenti delle informazioni. Ancora una volta, occorre ricordare che il volume delle informazioni disponibile sarà molto più grande di quanto sia possibile gestirne, mediante dei processi manuali, per poter essere efficace anche solo lievemente.
Le categorie di strumenti per l’OSINT
In termini ampi, la raccolta di informazioni da fonti aperte, ricade in 2 diverse categorie:
1. Raccolta passiva spesso richiede l’uso di Piattaforme di Intelligence per Minacce (TIPs) che combinano una varietà di feed di minacce, in una unica e facilmente accessibile collocazione.
Mentre questo è il passo maggiore, rispetto all’intelligence mediante raccolta manuale, il rischio di sovraccarico di informazioni è ancora significativo. Vi sono quindi soluzioni che fanno ricorso all’intelligenza artificiale, al machine learning, all’elaborazione del linguaggio naturale, per automatizzare il processo di attribuzione delle priorità, o di dismissione degli allarmi, basati sui specifici bisogni delle organizzazioni
2. Sotto altro aspetto, la raccolta attiva fa ricorso ad una varietà di tecniche per ricercare specifici approfondimenti su determinate informazioni. Per i professionisti della sicurezza, questo tipo di attività di raccolta viene svolto solitamente per una, o due ragioni:
• Un segnale di allerta, ricevuto mediante la raccolta passiva, ha evidenziato una potenziale minaccia, e quindi si rende necessario un ulteriore approfondimento
• L’attenzione verte su un’esercitazione di raccolta dati, molto specifica, come per esempio un’esercitazione di penetration test
Gli strumenti della Open Source Intelligence
Per concludere la trattazione passiamo ad esaminare alcuni degli strumenti di OSINT più comunemente utilizzati.
Mentre esistono molti strumenti utili e gratuiti, disponibili per i professionisti della sicurezza, e per malintenzionati, alcuni dei più utilizzati (ed abusati), strumenti di intelligence delle fonti aperte sono motori di ricerca, come Google, anche se utilizzati in modo diverso, rispetto a come fa la maggior parte di noi.
Come già spiegato, una delle maggior difficoltà con le quali si imbattono gli esperti di sicurezza, è la regolarità con cui i normali, benintenzionati utenti, lasciano esposti su internet, accidentalmente, risorse ed informazioni sensibili. Esistono quindi una serie di funzioni di ricerca avanzate, chiamate ricerche “Google Dork” che possono essere utilizzate per identificare tali informazioni e risorse, esposte da costoro.
Le ricerche di tipo “Google Dork” sono basate su operatori da professionisti IT ed hacker, per svolgere il loro lavoro quotidianamente. Esempi comuni sono includere, nelle ricerce, operatori quali “filetype:”, che restringe i risultati di ricerca a specifici tipi di file, e “site:”, in modo da far restituire risultati solo da specifici siti web, o domini.
Il sito web “Cult ADV” mostra questi operatori, ed il loro utilizzo.
Come puoi facilmente immaginare, i professionisti della sicurezza, ma anche i malintenzionati, con centinaia di comandi a loro disposizione, possono utilizzare simili tecniche per cercare quasi tutto.
Ma, andando oltre i motori di ricerca, esistono letteralmente centinaia di strumenti che possono essere utilizzati per identificare le vulnerabilità delle reti, o risorse esposte su internet.
Ad esempio è possibile utilizzare:
• Wappalizer per identificare, in modo preciso, il tipo di tecnologia utilizzata su di un sito web
• Oppure Sploitus, ed il National Vulnerability Database (la banca dati nazionale delle vulnerabilità – sito ufficiale del NIST) per determinare se esistono delle vulnerabilità sfruttabili.
Altri strumenti per l’OSINT, sono:
• Maltego: specializzato nello scoprire relazioni tra le persone, Società, domini ed informazioni accessibili pubblicamente, tramite internet. E’altresì conosciuto per la capacità di rintracciare a volte enormi moli di informazioni scoperte, tracciando poi tabelle e grafici, di semplice lettura.
Maltego lavora automatizzando la ricerca di diverse fonti di dati pubblici, in modo che gli utenti possano cliccare su un pulsante, ed eseguire così delle ricerche multiple. Un piano di ricerca è chiamato “transform action” (azione di trasformazione) dal programma, e Maltego viene già fornito con alcune già per impostazione predefinita che includono fonti comuni di informazioni come record DNS, record WHOIS, motori di ricerca, social network.
Una volta che l’informazione viene raccolta, Maltego crea le connessioni che possono smascherare le relazioni nascoste tra nomi, indirizzi di posta elettronica, alias, società, siti web, proprietari di documenti, affiliazioni ed altre informazioni che potrebbero rivelarsi utili nel corso di un’investigazione, o per prevenire futuri problemi.
E’ un programma che utilizza il linguaggio Java, quindi è multi piattaforma, potendo funzionare sia su Windows, che su Mac OS, o su Linux.
• Shodan: è un motore di ricerca dedicato al fine di trovare informazioni su dispositivi come i milioni che costituiscono l’internet delle cose (IOT = Internet Of Things), che non sono spesso ricercabili, ma che si trovano ovunque, oggi. Può essere utilizzato anche per trovare cose come porte aperte, e vulnerabilità su sistemi obiettivo. Alcuni altri strumenti come theHarvester lo utilizzano come fonte di dati, sebbene una profonda interaziona con Shodan richieda un account a pagamento.
In aggiunta a dispositivi IOT come videocamere, webcam, sensori dei vari dispositivi di domotica e per la sicurezza, Shodan può anche essere rivolto alla ricerca di oggetti quali banche dati, per controllare se vi possano essere informazioni accessibili pubblicamente.
Può anche lavorare con i videogiochi, scoprendo cose come Minecraft o Counter-Strike: Global Offensive, server nascosti in reti aziendali, dove non dovrebbero essere, ed il tipo di vulnerabilità generate.
Commenti recenti