OSINT su siti web
-
Upload
dalchecco -
Category
Technology
-
view
631 -
download
5
Transcript of OSINT su siti web
OSINT su si* web – Paolo Dal Checco
OSINT su si* web
Paolo Dal Checco
Seminario IISFA/CeFIRST Roma, Campo dei Fiori 12 dicembre 2014
OSINT su si* web – Paolo Dal Checco
-‐ Ph.D. in Informa.ca su sicurezza e cri4ografia -‐ Consulente Informa.co Forense per Procure, Tribunali,
Aziende, Avvoca. e Priva. -‐ Co-‐.tolare “Digital Forensics Bureau” -‐ Tra i fondatori della DEFT Associa.on e dell’Osservatorio
Nazionale sull’Informa.ca Forense -‐ Socio IISFA, CLUSIT, AIP
Chi sono
OSINT su si* web – Paolo Dal Checco
Motori di ricerca
OSINT su si* web – Paolo Dal Checco
Google Advanced Operators
h"p://www.googleguide.com/advanced_operators.html
La differenza tra saper usare Google search e saperlo usare bene
OSINT su si* web – Paolo Dal Checco
Google Advanced Operators Operators Descrip.on
site: Restrict results to only one domain, or server
inurl:/allinurl: All terms must appear in URL
in*tle:/allin*tle: All terms must appear in *tle
cache: Display Google’s cache of a page
ext:/filetype: Return files with a given extension/file type
info: Convenient way to get to other informa*on about a page
link: Find pages that link to the given page
inanchor: Page is linked to by someone using the term
OSINT su si* web – Paolo Dal Checco
Google Advanced Operators Operators Descrip.on
source: In Google News, rescr*cts results to source
insubject: Restrict ar*cles in Google Groups to those that contain the terms you specify
Intext: The query intext:term restricts results to documents containing term in the text.
cache: Display Google’s cache of a page
related: The query related:URL will list web pages that are similar to the web page you specify.
OSINT su si* web – Paolo Dal Checco
Altri Operatori Operators Descrip.on
-‐ Inverse search operator (hide results)
~ synonyms
[#]..[#] Number range
* Wildcard to put something between something when searching with “quotes”
+ Used to force stop words
OR Boolean operator, must be uppercase
| Same as OR
OSINT su si* web – Paolo Dal Checco
BeAer safe than sorry
• Può essere conveniente rimanere anonimi – TOR, Torbrowser (entrambi possono anonimizzare anche applicazioni)
– TAILS, JonDonym, VPS private – Non aprire documen* se non in TAILS.
• Per ricevere sms: servizi di receive-‐sms-‐online (free/pay) • Per ricevere email: email temporanee (mailinator.com,
yopmail.com, no 10minutemail) oppure webmail dietro TOR (es. safe-‐mail.net, mail15.com, inbox.lv, OpenMailBox.org)
OSINT su si* web – Paolo Dal Checco
Chi dicono di essere?
• Whois • Whois storico (DomainTools, who.is) • Reverse Whois (YouGetSignal) • Altri domini con estensione diversa (domize) • Relazioni tra domini e owner (DomainTools) oppure – google "site:whois.domaintools.com "dal checco”” o “registrant "dal checco””
– whoisology.com, whoismind, comnetcomber.com • Maltego e transform
OSINT su si* web – Paolo Dal Checco
Domini e DNS
• Verificare se sul dominio ci sono domini di terzo livello (es kp, webmail, etc...) usando tool come Knock.py del buon Gianni Amato, SubRoute o DNSenum
• Verifico server MX (ricordare che non necessariamente è lo stesso del dominio)
• Whois degli MX
OSINT su si* web – Paolo Dal Checco
DomainTools
• Uno dei pochi servizi spesso indispensabili per Open Source Intelligence su si* web
• A pagamento (trial per 7 giorni…) • Diversi servizi aqvi da anni che fanno crawling di si*, whois, dns, hos*ng, MX, etc…
• Archivio storico più preciso e datato (1997) • Who.is con*ene una piccola parte, free
OSINT su si* web – Paolo Dal Checco
DomainTools
OSINT su si* web – Paolo Dal Checco
Domini e DNS
OSINT su si* web – Paolo Dal Checco
Indirizzi IP
• Verifico se aqvo server sulla 443 (ssl) e scarico cer*ficato
• Trovo IP storici e verifico se sono ancora aqvi weberver sulla 80 e sulla 443 – Se ci sono, visualizzo e/o scarico sito vecchio
• Verificare su spamhaus se l'IP è stato coinvolto in aqvità di spam/frode
• Verificare se l'IP ricavato dal dig ha un reverse dns (dig -‐x xxx.xxx.xxx.xxx)
OSINT su si* web – Paolo Dal Checco
Indirizzi IP
OSINT su si* web – Paolo Dal Checco
Contenu*
• Cerco testo sul sito su Google, tra virgolexe, per vedere da dove è copiato o dove è riprodoxo (spesso vengono riciclate frasi)
• Uso si* come copyscape.com o siteliner.com • Se vengono cita* nomi di aziende o marchi, posso cercare su marchi/breveq.
• Se si trova P.IVA verificare su agenzia delle entrate (potrebbero averla copiata)
OSINT su si* web – Paolo Dal Checco
Contenu* Nascos*
• Scaricare intero sito con wget (o torify wget) • wget -‐-‐no-‐check-‐cer*ficate -‐e robots=off -‐o log.txt -‐w 7 -‐-‐random-‐wait -‐vv -‐S -‐r -‐N -‐l inf -‐-‐no-‐remove-‐lis*ng -‐-‐preserve-‐permissions -‐np -‐E -‐k -‐K -‐p -‐-‐user-‐agent="Mozilla/5.0 (compa*ble; bingbot/2.0; +hxp://www.bing.com/bingbot.htm)" hxp://www.website.com/subdir
• Scaricare risulta* di ricerca google su “site:” (con plugin o con scraper) e scaricarli con wget –i list.txt
• Esamino robots.txt, spesso con*ene cose interessan*…
OSINT su si* web – Paolo Dal Checco
Contenu* Rimossi o modifica*
• Web Archive (da* rimossi) • RSS (Feed2Mail, ChangeDetec*on, Versionista, VisualPing)
• Google/Bing Cache • Snapshots/DomainTools
OSINT su si* web – Paolo Dal Checco
Carving
• “Carving” su un sito web? :-‐) • Cerco email, url non linkate o commen* (grep "<-‐-‐-‐”) che contengano informazioni rilevan*
• Idea : Bulk Extractor su copia wget per estrarre email, domini, url, carte di credito, numeri di telefono, indirizzi IP, etc…
OSINT su si* web – Paolo Dal Checco
The Harvester • hxps://code.google.com/p/theharvester • Raccoglie email, soxodomini, host, nomi degli impiega*,
porte aperte, banner dei servizi tramite differen* fon* pubbliche come motori di ricerca, chiavi PGP, Shodan, etc…
OSINT su si* web – Paolo Dal Checco
Server
• Leggo negli header HTTP il *po di server (web-‐sniffer.org)
• Provo a caricare una pagina volutamente errata, spesso nei messaggi di errore si trovano info sul path locale del server (con username…)
• Shodan
OSINT su si* web – Paolo Dal Checco
Link
• Verifico link in entrata e uscita (www.opensiteexplorer.org) e cerco eventuali relazioni
• Xenu Link Sleuth (anche anchor, date, *tle, etc.. Comprese le immagini)
• Seo Powersuite Link Analysis
OSINT su si* web – Paolo Dal Checco
Datazione
• Data res*tuita dall’header HTTP • Eventuali date presen* nella pagina (commen*, data dei post, etc…)
• Web Archive (axenzione a robots.txt) • Snapshots/DomainTools • Date nell’header HTTP res*tuito dalle immagini • Metada* nelle immagini
OSINT su si* web – Paolo Dal Checco
Social Network
• Cerco se esiste pagina su facebook o profilo linkedin che cita il sito – site:www.facebook.com www.difob.it -‐inurl:DiFoB
– site:www.facebook.com difob
OSINT su si* web – Paolo Dal Checco
Analy*cs/Adsense • Cerco tag di Google Analy*cs/AdSense e lo u*lizzo per cercare altri si* monitora* dallo stesso utente (spyonweb.com, sameid.net, ewhois.com, reverseinternet.com)
• Cerco altri tag come histats & Co. anche se più difficili da correlare
OSINT su si* web – Paolo Dal Checco
Metada*
• Foca (ora free: elevenpaths.com/labstools/foca) • Metagoofil per scaricare pdf, doc, xls, ppt, etc... e anche MAC Address dalle pagine di un sito
• EXIF delle foto • Se presen* sul sito, verifico contenuto delle chiavi PGP (gpg -‐-‐with-‐fingerprint key.asc)
• Indirizzi Skype? Skype Resolver.
OSINT su si* web – Paolo Dal Checco
Skype Resolver • Se conosciamo l’ID skype di una persona… possiamo risalire all’IP (anche due IP)! – hxp://resolveme.org/ – hxp://iskyperesolve.com/
• Talvolta vale anche l’inverso, da IP a Skype • Disponibile anche versione offline (Skype Deobfuscated con log) ma axenzione al ban
• Funziona solo se l’utente non flaggato l’enforcement di privacy sull’IP nella
OSINT su si* web – Paolo Dal Checco
OSINT su si* web – Paolo Dal Checco
Immagini
• Cerco le immagini presen* sul sito su Google Images (comodo con Chrome, tasto destro o ‘s’+right key) o TinEye
• Verifico il nome file delle immagini (nella URL) ed eventuali tag ALT/TITLE e verifico se usa* altrove
• Con exikool o simili verifico da* EXIF (es. autore, GPS loca*on, seriale fotocamera) e cerco altrove
• Se le trovate su FB, dovreste poter risalire al profilo
OSINT su si* web – Paolo Dal Checco
Dalle foto FB al profilo
OSINT su si* web – Paolo Dal Checco
Dalle foto FB al profilo • Fino al 2013
• Oggi: hxps://github.com/guelfoweb/�id
OSINT su si* web – Paolo Dal Checco
Dalle foto FB al profilo
OSINT su si* web – Paolo Dal Checco
CMS Wordpress
• Plugin installa* (hxp://whatwpthemeisthat.com/) • Template installato (wpthemedetector.com)
– /wp-‐content/themes/kallyas/screenshot.png – /wp-‐content/themes/kallyas/style.css
• Esamino i da* del template (autore, nome, etc… che posso cercare su web)
• Verifico se è stato usato su altri si* o social (namechk.com, knowem.com)
• Verifico i vecchi template con Web Archive
OSINT su si* web – Paolo Dal Checco
Bitcoin
• Se sono indica* bitcoin address li cerco su google o seguo la blockchain e poi cerco su Google gli indirizzi da cui arrivano i soldi o cui vengono trasferi* (es. per torrentlocker si ricava un mixing service usato anche per altre truffe)
• E’ anche possibile usare espressione regolare da aggiungere a Bulk Extractor.
OSINT su si* web – Paolo Dal Checco
Email • Verifica di esistenza di indirizzi email: – SMTP (telnet su 25, EHLO, MAIL FROM, RCPT TO, DATA)
– Se risponde “250 Ok” il des*natario esiste. Esiste davvero? J
– Verify-‐email.org
OSINT su si* web – Paolo Dal Checco
Tracciare il miAente di una email • Cerco l’ul*mo “Received From… by…” nell’header RFC 822 – Received: from (93.33.240.153) by webmailv*n.alice.it; Wed, 28 May 2014 19:44:26 +0200
• Dall’IP si può risalire alla rete e spesso geolocalizzarla • Axenzione che gli spammer spesso aggiungono dei campi per ingannare
• Cercare eventuali field “X-‐Sender”, “X-‐Sender-‐IP” • Gmail e diverse webmail non inserisce l’IP del mixente né nei “received from” né negli X-‐Header
• Altri provider sì
OSINT su si* web – Paolo Dal Checco
• Facebook (se non compare, almeno provo a vedere se è stato registrato profilo con quell'account)
• Rappor*ve • Cerco su domaintools domini registra* axualmente o in passato a quell'indirizzo (uso trucco di site:domaintools.com username oppure “registrant username” o whoismind.com, netcomber.com)
OSINT su si* web – Paolo Dal Checco
OSINT su si* web – Paolo Dal Checco
• Recupero password • Verifico se lo user è stato usato su altri si* o social (namechk.com, knowem.com)
• Maltego e transform • Se trovate account twixer, usate Maltego o Creepy per geoloca*on
• Provo con si* che indicano i profili su web/social come lullar.com
• Ricerche avanzate su FB