Seminario su come eseguire attività di Open Source Intelligence su siti web, domini, indirizzi IP ed email scoprendo talvolta chi si nasconde dietro siti protetti da whois privacy o gestione anonima tramite TOR o VPN.
Durante l’intervento verranno presentati i cardini del processo di ricerca delle informazioni mediante la consultazione di fonti di pubblico accesso. Sarà illustrata la teoria alla base di questo processo che prevede l’identificazione delle fonti, la selezione e la valutazione del loro contenuto informativo per arrivare infine all’utilizzo stesso dell’informazione estratta. Nella seconda fase della presentazione verranno mostrati i tool e le metodologie per l’estrazione di informazioni mediante l’analisi di documenti, foto, social network e altre fonti spesso trascurate. In ultimo saranno mostrati sistemi in grado di correlare diverse informazioni provenienti dalle fonti aperte e verranno discussi i relativi scenari di utilizzo nonché le possibili contromisure.
Durante l’intervento verranno presentati i cardini del processo di ricerca delle informazioni mediante la consultazione di fonti di pubblico accesso. Sarà illustrata la teoria alla base di questo processo che prevede l’identificazione delle fonti, la selezione e la valutazione del loro contenuto informativo per arrivare infine all’utilizzo stesso dell’informazione estratta. Nella seconda fase della presentazione verranno mostrati i tool e le metodologie per l’estrazione di informazioni mediante l’analisi di documenti, foto, social network e altre fonti spesso trascurate. In ultimo saranno mostrati sistemi in grado di correlare diverse informazioni provenienti dalle fonti aperte e verranno discussi i relativi scenari di utilizzo nonché le possibili contromisure.
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...Falgun Rathod
As per Wiki - Open-source intelligence (OSINT) is intelligence collected from publicly available sources. In the intelligence community (IC), the term "open" refers to overt, publicly available sources (as opposed to covert or clandestine sources); it is not related to open-source software or public intelligence.
There are lots of other ways to collect information from Public Source which may not provided in this document, This is just an Introductory Document for whose who are beginners and students.
How to Use Open Source Intelligence (OSINT) in InvestigationsCase IQ
Every investigator needs the skills and knowledge to use OSINT competently in investigations. As online information continues to multiply in volume and complexity, the tools required to find, sift through, authenticate and preserve that information become more and more important for investigators. Failure to master these tools to tap into the rich resources of the web can hamper your investigations.
Learn the intricacies of online investigating from an expert in the field. Join Sandra Stibbards, owner and president of Camelot Investigations and a financial fraud investigator, speaker and trainer, for a free webinar on How to Use OSINT in Investigations.
Webinar attendees will learn:
-How to find information on the hidden web
-How to find publicly available information in government and private databases
-Dos and don’ts for searching social media effectively
-Tips for remaining anonymous while researching investigation subjects
-Accessing archived information
-How criminals hide, and how to find them
I pericoli dell'Internet of Things in ambito sanitario, industriale e privatoDanilo De Rogatis
Slide relative al talk nell'ambito del Seminario "(in)sicurezza informatica: nuovi scenari di attacco" tenutosi all'Università degli Studi di Foggia per l'European Cyber Security Month 2015.
Tesi di: Lino Antonio Buono
Relatore: Marco Cremonini
Lavoro dedicato a tecniche avanzate di OSINT con particolare attenzione alle possibili strategie di deaninomizzazione di comunicazioni via TOR.
Docenza tenuta presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano, durante la tavola rotonda delle Forze dell'Ordine svoltasi nell'ambito del corso di perfezionamento in computer forensics e investigazioni digitali.
Presented at:
College of Occupational Therapists Annual Conference 2015.
The qualitative component of a research project into current practice in forensic occupational therapy, specifically in relation to the contribution of the profession in reducing recidivism.
The wider project findings are being prepared for publication at the time of upload (July 2015)
Docenza tenuta presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano, durante la tavola rotonda delle Forze dell'Ordine svoltasi nell'ambito del corso di perfezionamento in computer forensics e investigazioni digitali.
A cura di Luca Savoldi
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)
BruCON 2012 (Lightning Talk)
Ghent, Belgium (27th Sept. 2012)
Cutting accounts down to scythe!
---------- Abstract: ----------
Scythe is a framework for user/account enumeration. It is designed to allow users to easily extend and add new modules as required for POC attacks during penetration tests.
The framework offers the ability to check a list of user accounts/email addresses against a given website to see which accounts are valid.
Advanced features include cookie and CSRF token support, as well as error detection and timeout/retry functions.
Currently in beta, available from gi
Penetration Testing con Python - Network SnifferSimone Onofri
Una nota massima dice che "se ascolto dimentico, se vedo ricordo, se faccio capisco", il "fare", come lo scrivere codice e non usare strumenti già pronti è la chiave per essere un buon Penetration Tester. Non è un caso che Chris Miller dice che "la differenza stra uno script kiddies e i professionisti è la mera differenza tra chi usa strumenti di altri o i propri" Ovviamente questo presuppone una profonda conoscenza di quello che si sta facendo - una tecnica di attacco particolare, i protocolli utilizzati, dei sistemi, delle aplicazioni e così via. Quindi scrivere i propri strumenti è un modo di imparare realmente quello che accade sotto al "motore" di altri strumenti e come funzionano gli attacchi. Durante il talk vedremo in particolare i raw socket su linux e come scrivere uno sniffer.
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...Falgun Rathod
As per Wiki - Open-source intelligence (OSINT) is intelligence collected from publicly available sources. In the intelligence community (IC), the term "open" refers to overt, publicly available sources (as opposed to covert or clandestine sources); it is not related to open-source software or public intelligence.
There are lots of other ways to collect information from Public Source which may not provided in this document, This is just an Introductory Document for whose who are beginners and students.
How to Use Open Source Intelligence (OSINT) in InvestigationsCase IQ
Every investigator needs the skills and knowledge to use OSINT competently in investigations. As online information continues to multiply in volume and complexity, the tools required to find, sift through, authenticate and preserve that information become more and more important for investigators. Failure to master these tools to tap into the rich resources of the web can hamper your investigations.
Learn the intricacies of online investigating from an expert in the field. Join Sandra Stibbards, owner and president of Camelot Investigations and a financial fraud investigator, speaker and trainer, for a free webinar on How to Use OSINT in Investigations.
Webinar attendees will learn:
-How to find information on the hidden web
-How to find publicly available information in government and private databases
-Dos and don’ts for searching social media effectively
-Tips for remaining anonymous while researching investigation subjects
-Accessing archived information
-How criminals hide, and how to find them
I pericoli dell'Internet of Things in ambito sanitario, industriale e privatoDanilo De Rogatis
Slide relative al talk nell'ambito del Seminario "(in)sicurezza informatica: nuovi scenari di attacco" tenutosi all'Università degli Studi di Foggia per l'European Cyber Security Month 2015.
Tesi di: Lino Antonio Buono
Relatore: Marco Cremonini
Lavoro dedicato a tecniche avanzate di OSINT con particolare attenzione alle possibili strategie di deaninomizzazione di comunicazioni via TOR.
Docenza tenuta presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano, durante la tavola rotonda delle Forze dell'Ordine svoltasi nell'ambito del corso di perfezionamento in computer forensics e investigazioni digitali.
Presented at:
College of Occupational Therapists Annual Conference 2015.
The qualitative component of a research project into current practice in forensic occupational therapy, specifically in relation to the contribution of the profession in reducing recidivism.
The wider project findings are being prepared for publication at the time of upload (July 2015)
Docenza tenuta presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano, durante la tavola rotonda delle Forze dell'Ordine svoltasi nell'ambito del corso di perfezionamento in computer forensics e investigazioni digitali.
A cura di Luca Savoldi
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)
BruCON 2012 (Lightning Talk)
Ghent, Belgium (27th Sept. 2012)
Cutting accounts down to scythe!
---------- Abstract: ----------
Scythe is a framework for user/account enumeration. It is designed to allow users to easily extend and add new modules as required for POC attacks during penetration tests.
The framework offers the ability to check a list of user accounts/email addresses against a given website to see which accounts are valid.
Advanced features include cookie and CSRF token support, as well as error detection and timeout/retry functions.
Currently in beta, available from gi
Penetration Testing con Python - Network SnifferSimone Onofri
Una nota massima dice che "se ascolto dimentico, se vedo ricordo, se faccio capisco", il "fare", come lo scrivere codice e non usare strumenti già pronti è la chiave per essere un buon Penetration Tester. Non è un caso che Chris Miller dice che "la differenza stra uno script kiddies e i professionisti è la mera differenza tra chi usa strumenti di altri o i propri" Ovviamente questo presuppone una profonda conoscenza di quello che si sta facendo - una tecnica di attacco particolare, i protocolli utilizzati, dei sistemi, delle aplicazioni e così via. Quindi scrivere i propri strumenti è un modo di imparare realmente quello che accade sotto al "motore" di altri strumenti e come funzionano gli attacchi. Durante il talk vedremo in particolare i raw socket su linux e come scrivere uno sniffer.
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
Slide utilizzate durante l'intervento sulle Progressive Web App e le Trusted Web Activities applicate a Wordpress e Woocommerce.
Trovate informazioni più precise sull'argomento su https://2019.catania.wordcamp.org/session/progressive-web-app-e-twa/
e sugli articoli https://www.francescogiammanco.it/progressive-web-app-lighthouse/
e https://www.francescogiammanco.it/trasformare-un-sito-in-twa/
Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento
Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento.
Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer.
Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
Sono passati decine di anni dai primi siti web composti solo da testo, immagini e link. Ora gli utenti pretendono di più volendo fare di meno. Desiderano che il tuo sito web capisca i loro gusti, fornisca approfondimenti, si modifichi in base alle loro esigenze. Durante questo intervento verranno forniti consigli su quali tecniche e servizi di text analysis, collective intelligence e semantic web possono rendere il nostro sito web intelligente.
Blockchain Forensics e Intelligence (Conferenza UTBI - Università di Torino)dalchecco
Slide del mio intervento al convegno tenuto presso il Dipartimento di Informatica dell’Università degli Studi di Torino, il secondo incontro UTBI gratuito sul tema blockchain e criptomonete, dal titolo “Blockchain Security & Forensics”. Aspetto d'interesse perché dal punto di vista del consulente informatico forense è sempre più alto il livello d’interesse per le attività di perizia informatica in ambito blockchain, bitcoin e criptomonete, dato che diversi processi civili e penali contemplano già attività illecite svolte tramite monete matematiche o attività lecite dove però, all’interno, le cryptomonete rivestono un ruolo di rilevanza.
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...dalchecco
Intervento sulle implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware, tenuto congiuntamente con il Consulente Informatico Forense Paolo Dal Checco durante il DFA Open Day 2016 a Milano. L'intervento segue la panoramica tecnica del fenomeno dei cryptovirus proposto da Paolo Dal Checco (http://bit.ly/2935faL) e risponde alle domande più frequenti sollevate da chi ha avuto a che fare con il fenomeno dei ransomware, legate ad esempio al pagamento del riscatto in bitcoin o sulle responsabilità civili o penali degli attori in gioco spingendosi fino a considerazioni interessanti circa le responsabilità amministrative delle società alla luce del D.lgs 231.
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...dalchecco
Intervento sulle implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware, tenuto congiuntamente con l'Avv. Giuseppe Vaciago durante il DFA Open Day 2016 a Milano. L'intervento di Paolo Dal Checco apre con una panoramica tecnica del fenomeno dei cryptovirus che serve a descrivere il contesto tecnico, operativo e comportamentale dei ransomware e a fare emergere alcune domande, legate ad esempio sul pagamento del riscatto in bitcoin o sulle responsabilità civili e penali, cui l'Avv. Giuseppe Vaciago risponderà nel prosieguo dell'intervento, disponibile su Slideshare all'indirizzo http://bit.ly/298TzW9.
Bitcoin Forensics - Paolo Dal Checco (HackInBo, 14 maggio 2016)dalchecco
I Bitcoin sono ormai sempre più utilizzati, oltre che da utenti legittimi, dalla criminalità organizzata e nell'ambito del mercato alternativo di merce illegale noto come "dark web". La presentazione illustra le basi delle crittovalute (wallet, indirizzi, chiavi private, chiavi pubbliche, transazioni, blockchain, etc...) fino ad approfondire i motivi che rendono il Bitcoin un protocollo anonimo ma nello stesso tempo tracciabile. Un'ambivalenza questa che permette a chi vuole rimanere nascosto di utilizzare pseudonimi per celare la propria identità e a chi vuole certificare apertamente pagamenti o incassi di farlo con altrettanta facilità. Vengono approfonditi gli aspetti tecnici e investigativi - che sono poi alla base della cosiddetta "Bitcoin Forensics" - con la presentazione di alcune applicazioni interessanti dei sistemi basati su blockchain, come la notarization e gli smart contract. Per chiudere, vengono accennate le problematiche di sicurezza e ai rischi della criptomoneta mostrando l'utilizzo illecito che ne viene fatto nell'ambito dell'ormai tristemente noto fenomeno dei ransomware, la tipologia di trojan che cripta i documenti e richiede alle vittime un riscatto.
Cryptolocker, ransomware e ricatti digitali dalchecco
A partire dal settembre 2013 si diffondono via email diverse versioni di malware definiti ransomware che infettano computer sui quali è installato Windows e chiedono un riscatto in bitcoin per riavere i propri documenti. Hanno nomi diversi - CryptoLocker, SimpleLocker, CryptorBit, CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt - ma comportamento simile. Con il tempo è stata ridotta la possibilità di ottenere i propri file senza pagare il riscatto in bitcoin ed è stato migliorato il metodo di pagamento che diventa più agevole ma anche meno tracciabile. Nelle slide viene presentata la storia di Cryptolocker, fornite informazioni sul contagio, prevenzione, rimozione del trojan e informazioni su cui si ritiene sia alla base di queste vere e proprie macchine per fare soldi.
Bitcoin Forensics - Riciclaggio e Antiriciclaggio nell'era del Bitcoindalchecco
La Bitcoin Forensics, il riciclaggio e l'antiriciclaggio nel mondo del Bitcoin. Teoria del Bitcoin e delle investigazioni digitali su criptovalute con cenni su indirizzi, wallet, chiavi private e pubbliche. Indicazioni su come ottenere bitcoin e come monitorare le transazioni. Proposta di personalizzazione di DEFT Linux in modalità live in una sorta di DEFTCoin, con tool per Bitcoin Forensics, in particolare software free e open source come Electrum, Bitcoin Core, Bitcoin Explorer, Bitcoin-Tools, BTC Recover, BTCScan, KeyHunter, Bitcoin Sneak Peak e Bulk Extractor. Approfondimenti su come vengono eseguite transazioni bitcoin in anonimato tramite Tor e indirizzi Onion. Alcuni esperimenti sul riciclaggio e pulizia di bitcoin tramite mixer o tumbler come Satoshidice, Bitmixer, Bitcoin Fog, Coinjoin, Onionwallet e Bitlaundry. Cenni sul monitoraggio dei bitcoin tramite servizi web e feed rss, esempio di furto di bitcoin.
Elaborazione del suono con strumenti Open Sourcedalchecco
La presentazione - mostrata durante il convegno Forum ICT 2014 - illustra le basi dell'audio forensics, disciplina che analizza ed elabora suoni e registrazioni a fini forensi. Attraverso strumenti open source come Praat, Audacity, SOX o Speech filing system viene mostrato come visualizzare spettrogrammi, forme d'onda, eseguire pulizia dei suoni tramite rimozione dei disturbi, analizzare frequenze e utilizzare filtri con il fine di analizzare o migliorare l'audio. Ulteriore attività spesso richiesta durante la perizia fonica è quella di comparazione delle voci tramite saggio fonico, anche questo tipo di analisi introdotto nella presentazione. Per maggiori informazioni visitate il sito www.dalchecco.it.
Audio Forensics con strumenti Open Sourcedalchecco
Audio Forensics e analisi su registrazioni e suoni tramite software Open Source. Nelle slide vengono illustrati esempi di pulizia dei suoni, riconoscimento della voce e del parlato, perizia fonica, confronto timbrico.
La Prevenzione dei Reati Informatici ex D. Lgs 231/01dalchecco
La prevenzione dei reati informatici e delle frodi sta diventando un problema da affrontare per le aziende.
Le società che hanno già messo in pratica un Modello Organizzativo ex D.Leg. 231/01 hanno iniziato a comprendere l’importanza del fenomeno e hanno iniziato un processo che passa dal semplice Audit ad una organizzazione strutturata per la valutazione dei rischi e per definire le modalità di prevenzione. L’intervento vuole fare il punto della situazione dopo oltre 5 anni dell’introduzione nel D.Lgs. 231/01 dei reati presupposto in materia informatica e valutare come le società possono dotarsi un modello veramente efficace ed utile a prevenire un fenomeno in forte espansione quali i reati informatici e le frodi.
La Prevenzione dei Reati Informatici ex D. Lgs 231/01
OSINT su siti web
1. OSINT
su
si*
web
–
Paolo
Dal
Checco
OSINT
su
si*
web
Paolo
Dal
Checco
Seminario
IISFA/CeFIRST
Roma,
Campo
dei
Fiori
12
dicembre
2014
2. OSINT
su
si*
web
–
Paolo
Dal
Checco
-‐ Ph.D.
Chi
sono
in
Informa.ca
su
sicurezza
e
cri4ografia
-‐ Consulente
Informa.co
Forense
per
Procure,
Tribunali,
Aziende,
Avvoca.
e
Priva.
-‐ Co-‐.tolare
“Digital
Forensics
Bureau”
-‐ Tra
i
fondatori
della
DEFT
Associa.on
e
dell’Osservatorio
Nazionale
sull’Informa.ca
Forense
-‐ Socio
IISFA,
CLUSIT,
AIP
3. OSINT
su
si*
web
–
Paolo
Dal
Checco
Motori
di
ricerca
4. OSINT
su
si*
web
–
Paolo
Dal
Checco
Google
Advanced
Operators
La
differenza
tra
saper
usare
Google
search
e
saperlo
usare
bene
h"p://www.googleguide.com/advanced_operators.html
5. OSINT
su
si*
web
–
Paolo
Dal
Checco
Google
Advanced
Operators
Operators
Descrip.on
site:
Restrict
results
to
only
one
domain,
or
server
inurl:/allinurl:
All
terms
must
appear
in
URL
in*tle:/allin*tle:
All
terms
must
appear
in
*tle
cache:
Display
Google’s
cache
of
a
page
ext:/filetype:
Return
files
with
a
given
extension/file
type
info:
Convenient
way
to
get
to
other
informa*on
about
a
page
link:
Find
pages
that
link
to
the
given
page
inanchor:
Page
is
linked
to
by
someone
using
the
term
6. OSINT
su
si*
web
–
Paolo
Dal
Checco
Google
Advanced
Operators
Operators
Descrip.on
source:
In
Google
News,
rescr*cts
results
to
source
insubject:
Restrict
ar*cles
in
Google
Groups
to
those
that
contain
the
terms
you
specify
Intext:
The
query
intext:term
restricts
results
to
documents
containing
term
in
the
text.
cache:
Display
Google’s
cache
of
a
page
related:
The
query
related:URL
will
list
web
pages
that
are
similar
to
the
web
page
you
specify.
7. OSINT
su
si*
web
–
Paolo
Dal
Checco
Altri
Operatori
Operators
Descrip.on
-‐
Inverse
search
operator
(hide
results)
~
synonyms
[#]..[#]
Number
range
*
Wildcard
to
put
something
between
something
when
searching
with
“quotes”
+
Used
to
force
stop
words
OR
Boolean
operator,
must
be
uppercase
|
Same
as
OR
8. OSINT
su
si*
web
–
Paolo
Dal
Checco
BeAer
safe
than
sorry
• Può
essere
conveniente
rimanere
anonimi
– TOR,
Torbrowser
(entrambi
possono
anonimizzare
anche
applicazioni)
– TAILS,
JonDonym,
VPS
private
– Non
aprire
documen*
se
non
in
TAILS.
• Per
ricevere
sms:
servizi
di
receive-‐sms-‐online
(free/pay)
• Per
ricevere
email:
email
temporanee
(mailinator.com,
yopmail.com,
no
10minutemail)
oppure
webmail
dietro
TOR
(es.
safe-‐mail.net,
mail15.com,
inbox.lv,
OpenMailBox.org)
9. OSINT
su
si*
web
–
Paolo
Dal
Checco
Chi
dicono
di
essere?
• Whois
• Whois
storico
(DomainTools,
who.is)
• Reverse
Whois
(YouGetSignal)
• Altri
domini
con
estensione
diversa
(domize)
• Relazioni
tra
domini
e
owner
(DomainTools)
oppure
– google
"site:whois.domaintools.com
"dal
checco””
o
“registrant
"dal
checco””
– whoisology.com,
whoismind,
comnetcomber.com
• Maltego
e
transform
10. OSINT
su
si*
web
–
Paolo
Dal
Checco
Domini
e
DNS
• Verificare
se
sul
dominio
ci
sono
domini
di
terzo
livello
(es
kp,
webmail,
etc...)
usando
tool
come
Knock.py
del
buon
Gianni
Amato,
SubRoute
o
DNSenum
• Verifico
server
MX
(ricordare
che
non
necessariamente
è
lo
stesso
del
dominio)
• Whois
degli
MX
11. OSINT
su
si*
web
–
Paolo
Dal
Checco
DomainTools
• Uno
dei
pochi
servizi
spesso
indispensabili
per
Open
Source
Intelligence
su
si*
web
• A
pagamento
(trial
per
7
giorni…)
• Diversi
servizi
aqvi
da
anni
che
fanno
crawling
di
si*,
whois,
dns,
hos*ng,
MX,
etc…
• Archivio
storico
più
preciso
e
datato
(1997)
• Who.is
con*ene
una
piccola
parte,
free
13. OSINT
su
si*
web
–
Paolo
Dal
Checco
Domini
e
DNS
14. OSINT
su
si*
web
–
Paolo
Dal
Checco
Indirizzi
IP
• Verifico
se
aqvo
server
sulla
443
(ssl)
e
scarico
cer*ficato
• Trovo
IP
storici
e
verifico
se
sono
ancora
aqvi
weberver
sulla
80
e
sulla
443
– Se
ci
sono,
visualizzo
e/o
scarico
sito
vecchio
• Verificare
su
spamhaus
se
l'IP
è
stato
coinvolto
in
aqvità
di
spam/frode
• Verificare
se
l'IP
ricavato
dal
dig
ha
un
reverse
dns
(dig
-‐x
xxx.xxx.xxx.xxx)
15. OSINT
su
si*
web
–
Paolo
Dal
Checco
Indirizzi
IP
16. OSINT
su
si*
web
–
Paolo
Dal
Checco
Contenu*
• Cerco
testo
sul
sito
su
Google,
tra
virgolexe,
per
vedere
da
dove
è
copiato
o
dove
è
riprodoxo
(spesso
vengono
riciclate
frasi)
• Uso
si*
come
copyscape.com
o
siteliner.com
• Se
vengono
cita*
nomi
di
aziende
o
marchi,
posso
cercare
su
marchi/breveq.
• Se
si
trova
P.IVA
verificare
su
agenzia
delle
entrate
(potrebbero
averla
copiata)
17. OSINT
su
si*
web
–
Paolo
Dal
Checco
Contenu*
Nascos*
• Scaricare
intero
sito
con
wget
(o
torify
wget)
• wget
-‐-‐no-‐check-‐cer*ficate
-‐e
robots=off
-‐o
log.txt
-‐w
7
-‐-‐random-‐wait
-‐vv
-‐S
-‐r
-‐N
-‐l
inf
-‐-‐no-‐remove-‐lis*ng
-‐-‐
preserve-‐permissions
-‐np
-‐E
-‐k
-‐K
-‐p
-‐-‐user-‐
agent="Mozilla/5.0
(compa*ble;
bingbot/2.0;
+hxp://
www.bing.com/bingbot.htm)"
hxp://
www.website.com/subdir
• Scaricare
risulta*
di
ricerca
google
su
“site:”
(con
plugin
o
con
scraper)
e
scaricarli
con
wget
–i
list.txt
• Esamino
robots.txt,
spesso
con*ene
cose
interessan*…
18. OSINT
su
si*
web
–
Paolo
Dal
Checco
Contenu*
Rimossi
o
modifica*
• Web
Archive
(da*
rimossi)
• RSS
(Feed2Mail,
ChangeDetec*on,
Versionista,
VisualPing)
• Google/Bing
Cache
• Snapshots/DomainTools
19. OSINT
su
si*
web
–
Paolo
Dal
Checco
Carving
• “Carving”
su
un
sito
web?
:-‐)
• Cerco
email,
url
non
linkate
o
commen*
(grep
"<-‐-‐-‐”)
che
contengano
informazioni
rilevan*
• Idea
:
Bulk
Extractor
su
copia
wget
per
estrarre
email,
domini,
url,
carte
di
credito,
numeri
di
telefono,
indirizzi
IP,
etc…
20. OSINT
su
si*
web
–
Paolo
Dal
Checco
The
Harvester
• hxps://code.google.com/p/theharvester
• Raccoglie
email,
soxodomini,
host,
nomi
degli
impiega*,
porte
aperte,
banner
dei
servizi
tramite
differen*
fon*
pubbliche
come
motori
di
ricerca,
chiavi
PGP,
Shodan,
etc…
21. OSINT
su
si*
web
–
Paolo
Dal
Checco
Server
• Leggo
negli
header
HTTP
il
*po
di
server
(web-‐
sniffer.org)
• Provo
a
caricare
una
pagina
volutamente
errata,
spesso
nei
messaggi
di
errore
si
trovano
info
sul
path
locale
del
server
(con
username…)
• Shodan
22. OSINT
su
si*
web
–
Paolo
Dal
Checco
Link
• Verifico
link
in
entrata
e
uscita
(www.opensiteexplorer.org)
e
cerco
eventuali
relazioni
• Xenu
Link
Sleuth
(anche
anchor,
date,
*tle,
etc..
Comprese
le
immagini)
• Seo
Powersuite
Link
Analysis
23. OSINT
su
si*
web
–
Paolo
Dal
Checco
Datazione
• Data
res*tuita
dall’header
HTTP
• Eventuali
date
presen*
nella
pagina
(commen*,
data
dei
post,
etc…)
• Web
Archive
(axenzione
a
robots.txt)
• Snapshots/DomainTools
• Date
nell’header
HTTP
res*tuito
dalle
immagini
• Metada*
nelle
immagini
24. OSINT
su
si*
web
–
Paolo
Dal
Checco
Social
Network
• Cerco
se
esiste
pagina
su
facebook
o
profilo
linkedin
che
cita
il
sito
– site:www.facebook.com
www.difob.it
-‐inurl:DiFoB
– site:www.facebook.com
difob
25. OSINT
su
si*
web
–
Paolo
Dal
Checco
Analy*cs/Adsense
• Cerco
tag
di
Google
Analy*cs/AdSense
e
lo
u*lizzo
per
cercare
altri
si*
monitora*
dallo
stesso
utente
(spyonweb.com,
sameid.net,
ewhois.com,
reverseinternet.com)
• Cerco
altri
tag
come
histats
&
Co.
anche
se
più
difficili
da
correlare
26. OSINT
su
si*
web
–
Paolo
Dal
Checco
Metada*
• Foca
(ora
free:
elevenpaths.com/labstools/foca)
• Metagoofil
per
scaricare
pdf,
doc,
xls,
ppt,
etc...
e
anche
MAC
Address
dalle
pagine
di
un
sito
• EXIF
delle
foto
• Se
presen*
sul
sito,
verifico
contenuto
delle
chiavi
PGP
(gpg
-‐-‐with-‐fingerprint
key.asc)
• Indirizzi
Skype?
Skype
Resolver.
27. OSINT
su
si*
web
–
Paolo
Dal
Checco
Skype
Resolver
• Se
conosciamo
l’ID
skype
di
una
persona…
possiamo
risalire
all’IP
(anche
due
IP)!
– hxp://resolveme.org/
– hxp://iskyperesolve.com/
• Talvolta
vale
anche
l’inverso,
da
IP
a
Skype
• Disponibile
anche
versione
offline
(Skype
Deobfuscated
con
log)
ma
axenzione
al
ban
• Funziona
solo
se
l’utente
non
flaggato
l’enforcement
di
privacy
sull’IP
nella
29. OSINT
su
si*
web
–
Paolo
Dal
Checco
Immagini
• Cerco
le
immagini
presen*
sul
sito
su
Google
Images
(comodo
con
Chrome,
tasto
destro
o
‘s’+right
key)
o
TinEye
• Verifico
il
nome
file
delle
immagini
(nella
URL)
ed
eventuali
tag
ALT/TITLE
e
verifico
se
usa*
altrove
• Con
exikool
o
simili
verifico
da*
EXIF
(es.
autore,
GPS
loca*on,
seriale
fotocamera)
e
cerco
altrove
• Se
le
trovate
su
FB,
dovreste
poter
risalire
al
profilo
30. OSINT
su
si*
web
–
Paolo
Dal
Checco
Dalle
foto
FB
al
profilo
31. OSINT
su
si*
web
–
Paolo
Dal
Checco
Dalle
foto
FB
al
profilo
• Fino
al
2013
• Oggi:
hxps://github.com/guelfoweb/†id
32. OSINT
su
si*
web
–
Paolo
Dal
Checco
Dalle
foto
FB
al
profilo
33. OSINT
su
si*
web
–
Paolo
Dal
Checco
CMS
Wordpress
• Plugin
installa*
(hxp://whatwpthemeisthat.com/)
• Template
installato
(wpthemedetector.com)
– /wp-‐content/themes/kallyas/screenshot.png
– /wp-‐content/themes/kallyas/style.css
• Esamino
i
da*
del
template
(autore,
nome,
etc…
che
posso
cercare
su
web)
• Verifico
se
è
stato
usato
su
altri
si*
o
social
(namechk.com,
knowem.com)
• Verifico
i
vecchi
template
con
Web
Archive
34. OSINT
su
si*
web
–
Paolo
Dal
Checco
Bitcoin
• Se
sono
indica*
bitcoin
address
li
cerco
su
google
o
seguo
la
blockchain
e
poi
cerco
su
Google
gli
indirizzi
da
cui
arrivano
i
soldi
o
cui
vengono
trasferi*
(es.
per
torrentlocker
si
ricava
un
mixing
service
usato
anche
per
altre
truffe)
• E’
anche
possibile
usare
espressione
regolare
da
aggiungere
a
Bulk
Extractor.
35. OSINT
su
si*
web
–
Paolo
Dal
Checco
Email
• Verifica
di
esistenza
di
indirizzi
email:
– SMTP
(telnet
su
25,
EHLO,
MAIL
FROM,
RCPT
TO,
DATA)
– Se
risponde
“250
Ok”
il
des*natario
esiste.
Esiste
davvero?
J
– Verify-‐email.org
36. OSINT
su
si*
web
–
Paolo
Dal
Checco
Tracciare
il
miAente
di
una
email
• Cerco
l’ul*mo
“Received
From…
by…”
nell’header
RFC
822
– Received:
from
(93.33.240.153)
by
webmailv*n.alice.it;
Wed,
28
May
2014
19:44:26
+0200
• Dall’IP
si
può
risalire
alla
rete
e
spesso
geolocalizzarla
• Axenzione
che
gli
spammer
spesso
aggiungono
dei
campi
per
ingannare
• Cercare
eventuali
field
“X-‐Sender”,
“X-‐Sender-‐IP”
• Gmail
e
diverse
webmail
non
inserisce
l’IP
del
mixente
né
nei
“received
from”
né
negli
X-‐Header
• Altri
provider
sì
37. OSINT
su
si*
web
–
Paolo
Dal
Checco
Email
• Facebook
(se
non
compare,
almeno
provo
a
vedere
se
è
stato
registrato
profilo
con
quell'account)
• Rappor*ve
• Cerco
su
domaintools
domini
registra*
axualmente
o
in
passato
a
quell'indirizzo
(uso
trucco
di
site:domaintools.com
username
oppure
“registrant
username”
o
whoismind.com,
netcomber.com)
39. OSINT
su
si*
web
–
Paolo
Dal
Checco
Email
• Recupero
password
• Verifico
se
lo
user
è
stato
usato
su
altri
si*
o
social
(namechk.com,
knowem.com)
• Maltego
e
transform
• Se
trovate
account
twixer,
usate
Maltego
o
Creepy
per
geoloca*on
• Provo
con
si*
che
indicano
i
profili
su
web/social
come
lullar.com
• Ricerche
avanzate
su
FB
40. OSINT
su
si*
web
–
Paolo
Dal
Checco
Grazie!
Paolo
dal
Checco
paolo@dalchecco.it/pdc@difob.it