Prima di definire in maniera più precisa cosa è l’Open Source Intelligence, vale la pena spendere qualche parola per chiarire al lettore quale può essere l’utilità di una tale disciplina, nata nel cuore di quegli arcana imperii (i servizi segreti) preposti alla tutela dei segreti e non alla divulgazione dei medesimi. La risposta è semplice. Si tratta di una strategia volta a ribaltare contro i propri creatori le tecniche e gli strumenti preposti alla raccolta informativa; da un punto di vista operativo di un modo per acquisire delle capacità tecniche e di analisi in grado di diminuire il ricorso alle fonti confidenziali.
(UNMONDODITALIANI – UMDI)Nell’ottobre 2010 abbiamo assistito alla pubblicazione, attraverso il sito di WikiLeaks, di un’ingente rassegna di documenti riservati aventi ad oggetto l’operato del governo e della diplomazia statunitense nel mondo. Si tratta, stando a WikiLeaks stessa, della diffusione non autorizzata di 251.287 documenti contenenti informazioni confidenziali inviate da 274 ambasciate americane in tutto il mondo al dipartimento di Stato degli Stati Uniti a Washington. Qualche mese dopo (febbraio 2011), si apprese del piano della HBGary Federal (un’azienda che vendeva servizi di Information Security al Governo degli Stati Uniti) finalizzato a spazzare via WikiLeaks.
Il piano venne fuori dopo le dichiarazioni del CEO di HBGary Federal, Aaron Barr, il quale annunciò pubblicamente che la sua azienda era riuscita ad infiltrarsi in Anonymous, la famosa organizzazione di cyber-attivisti responsabile di svariate azioni (OperationTitstorm, YoutubePornDay, etc.).
Anonymous reagì realizzando il defacement del sito web di HBGary Federal, cancellando file, negando l’accesso al sistema telefonico aziendale e acquisendo più di 68.000 e-mail dal sistema di posta elettronica. Le e-mail “trafugate” rivelarono reports e presentazioni tra cui ce n’era una intitolata “The WikileaksThreat”, realizzata da HBGary Federal in collaborazione con due altre aziende di data intelligence per conto di Bank of America. La presentazione, oltre a contenere una lista di sostenitori di WikiLeaks, definiva un vero e proprio piano di attacco per cancellare il sito di WikiLeaks dalla faccia della Terra. La vicenda ha alimentato ancora una volta l’annoso dibattito sulla questione delle informazioni rese disponibili sul Web a causa di vulnerabilità e misconfigurations o semplicemente reperite grazie a specifici strumenti software che individuano e sfruttano queste vulnerabilità: si tratta di fonti “Open Source” oppure no? La risposta a questa domanda però esula dagli scopi di questo documento, il cui obiettivo principale è invece quello di descrivere l’utilizzo di due potenti tools software in grado di raccogliere, analizzare e correlare informazioni disponibili “in qualche modo” sul Web, esattamente secondo la metodologia definita OSINT.
OSINT è l’acronimo di Open Source Intelligence (intelligence dalle fonti aperte) ed è definita congiuntamente sia dal Dipartimento della Difesa degli Stati Uniti (DoD) sia dal Direttore dell’intelligence nazionale come “prodotto dalle informazioni pubblicamente disponibili che sono raccolte, sfruttate e diffuse in modo tempestivo presso un pubblico appropriato allo scopo di soddisfare uno specifico requisito di intelligence.” In sostanza l‘OSINT si configura come un’attività di raccolta, analisi e correlazione di informazioni mediante la consultazione di fonti di pubblico accesso, che possono essere:
• Mezzi di comunicazione — giornali, riviste, televisione, radio e siti web.
• Dati pubblici — rapporti dei governi, piani finanziari, dati demografici, dibattiti legislativi, conferenze stampa, discorsi, avvisi aeronautici e marittimi.
• Osservazioni dirette — fotografie di piloti amatoriali, ascolto di conversazioni radio e osservazione di fotografie satellitari. La diffusione di fotografie satellitari, spesso in alta risoluzione, sulla rete (ad esempio Google Earth) ha esteso la possibilità di Open source intelligence anche per aree che prima erano disponibili solo alle maggiori agenzie di spionaggio.
• Professionisti e studiosi — conferenze, simposi, lezioni universitarie, associazioni professionali e pubblicazioni scientifiche.
• Informazioni geospaziali – copie materiali o digitali di mappe, atlanti, repertori geografici, progetti di porto, dati gravitazionali, aeronautici, nautici, ambientali, foto aeree, e così via.
Fino a poco tempo fa l’attività di intelligence era quasi completamente appannaggio delle agenzie di informazione, come la CIA (Central Intelligence Agency) negli USA e il ГРУ – GRU ovvero il Direttorato principale per l’informazione, in Russia. Oggi, invece, lo sviluppo dei sistemi informativi e dei sistemi di comunicazione tipicamente usati nel Web ha fatto sì che venisse resa disponibile una mole smisurata di dati che devono però essere raccolti, raggruppati, misurati e, infine, analizzati. Fare OSINT, quindi, non significa dover raccogliere tutte le informazioni a disposizione, ma effettuare una raccolta “mirata” e, successivamente, un’attività di analisi e correlazione dei contenuti presenti in fonti liberamente accessibili (Open Sources) e sufficientemente attendibili.
“Se fosse vissuto ai giorni nostri, probabilmente SunTzu avrebbe riscritto il suo libro “l’Arte della Guerra”, intitolandolo magari “L’Arte del CyberWarfare”. Sta di fatto che anche oggi, a oltre duemila anni di distanza, il concetto espresso dal generale e filosofo cinese (544 a.C. – 496 a.C.), circa la necessità di conoscere bene il proprio “nemico” (e se stessi) e che oggi chiameremmo information gathering, è attualissimo”.
Oggi però possiamo fare information gathering senza scomodare la filosofia Taoista, ma semplicemente usando la strategia OSINT e gli strumenti software che sono stati sviluppati e resi disponibili in quest’ottica. Come è ben noto agli addetti ai lavori, esistono diversi tools in giro in grado di fare raccolta di informazioni, molti dei quali sono “specializzati” per certi tipi di analisi. Basti pensare a Maltego, oppure alla pletora di Google Dorks e alle applicazioni scritte per sfruttarli, come Goolag, nonché a strumenti OSINT disponibili direttamente sul Web come Silobreaker. Noi analizzeremo, in questo documento, il funzionamento di FOCA e di Shodan.
FOCA (FingerprintingOrganizations with Collected Archives) è un prodotto di Informàtica 64, un’azienda spagnola guidata da Chema Alonso e JosèPalazòn “PALAKO”, ripresentato alla DEFCON 18 (in modo peraltro molto divertente) nella versione final.
Esiste anche una versione di FOCA utilizzabile dal Web, con la limitazione dell’upload di un file per volta. Shodan invece è un motore di ricerca particolare, poiché è focalizzato sulla ricerca di dispositivi hardware “esposti” sul Web per via di una qualche vulnerabilità (default password, credenziali annunciate nel banner del device, web server senza autenticazione e così via). E’ possibile ad esempio cercare routers, switches, webcams, telefoni e centralini VoIP, ma anche iPhones, Access Points, VPN Concentrators e perfino sistemi SCADA.
Shodan, inoltre, è perfettamente integrato con FOCA, da cui può essere direttamente invocato. L’unica limitazione è nel numero di risultati delle query, comunque superabile acquistando “crediti” attraverso un piccolo contributo economico. D’altronde si sa che anche il modello di business del Free Software (attenzione a non confonderlo con l’Open Source, pena l’ira di Richard Stallman) sta cambiando. Il prodotto infatti viene sempre più spesso rilasciato gratuitamente con il 90% delle funzioni “core” abilitate e riservando quel 10% alle funzioni che forniscono quel “plus” che può risultare molto utile a chi lo utilizza a scopi professionali o di ricerca, ottenibile generalmente mediante un piccolo contributo economico.
FOCA è principalmente un motore per l’estrazione di metadati. I metadati sono “dati che descrivono altri dati”, ovvero informazioni aggiuntive che vengono registrate, molto spesso automaticamente, all’interno dei documenti che ognuno di noi produce durante la propria attività quotidiana. Queste informazioni aggiuntive descrivono una serie di proprietà, che variano a seconda del tipo di documento e possono comprendere ad esempio la data di creazione e di modifica, l’autore (e relativa casella e-mail), il percorso locale del documento, l’applicazione con cui è stato generato, ma anche le coordinate GPS, ad esempio nel caso di foto digitali. L’ultima versione di FOCA (la 2.6.1) è stata dotata di una serie di enhancements che includono:
– Network discovery
– Analisi ricorsiva degli URL
– Information gathering
– Software recognition
– DNS cache snooping
– PTR record scanning– Integrazione con altri software (versione Pro) come Burp Proxy, Evilgrade
– Integrazione con Shodan
– ReportisticaI formati supportati sono molti ma possono essere riassunti come segue:
– OpenOfficedocuments (sxw, sxc, sxi, odt, ods, odg, odp)
– MS Office documents (doc, ppt, pps, xls, docx, pptx, ppsx, xlsx)
– PDF documents (XMP, ExtensibleMetadata Platform, descrive i metadati associati al documento PDF mediante il linguaggio XML ).
– WordPerfectdocuments (wpd) – EPS documents.
– Graphicdocuments.– EXIF (Exchangeable Image File Format, è uno standard for lo scambio di informazioni nei file contenenti immagini, soprattutto quelli che utilizzano la compressione JPEG) – XMP
– Adobe Indesign (INDD), SVG (immagini vettoriali), SVGZ (immagini vettoriali compresse).
l’utilizzo di strumenti come FOCA e Shodan in ottica OSINT o Penetration test può essere certamente consigliato, non tanto per automatizzare una serie di ricerche che – in linea di principio – potrebbero essere fatte anche manualmente, ma soprattutto per le enormi possibilità offerte in termini di information gathering, analisi e correlazione dei dati.
Speriamo quindi di aver dimostrato come sia facile, attraverso l’utilizzo di questi strumenti, ottenere documenti e informazioni a volte riservati, scoprire servizi, ricavare informazioni sulle reti aziendali e molto altro.
Certamente un primo test potrebbe essere effettuato sul dominio web della propria organizzazione, al fine di verificare se vengono fuori o meno documenti e relativi metadati. Di conseguenza, durante la trattazione, potrebbero venir fuori molte altre informazioni che certamente non vorremmo esporre.
Il consiglio è quindi di farlo…prima che lo facciano gli altri!
*Le informazioni riportate nel seguente documento sono da intendersi a fini esclusivamente didattici e sono stati raccolti sul web. L’accesso abusivo a sistemi informatici è un reato penale.
Blog sulle varie tecniche di sicurezza: clicca qui.