SlideShare a Scribd company logo

OSINT su siti web

D
dalchecco

Seminario su come eseguire attività di Open Source Intelligence su siti web, domini, indirizzi IP ed email scoprendo talvolta chi si nasconde dietro siti protetti da whois privacy o gestione anonima tramite TOR o VPN.

1 of 40
Download to read offline
OSINT su si* web – Paolo Dal Checco OSINT su si* web Paolo Dal Checco Seminario IISFA/CeFIRST Roma, Campo dei Fiori 12 dicembre 2014
OSINT su si* web – Paolo Dal Checco -­‐ Ph.D. Chi sono in Informa.ca su sicurezza e cri4ografia -­‐ Consulente Informa.co Forense per Procure, Tribunali, Aziende, Avvoca. e Priva. -­‐ Co-­‐.tolare “Digital Forensics Bureau” -­‐ Tra i fondatori della DEFT Associa.on e dell’Osservatorio Nazionale sull’Informa.ca Forense -­‐ Socio IISFA, CLUSIT, AIP
OSINT su si* web – Paolo Dal Checco Motori di ricerca
OSINT su si* web – Paolo Dal Checco Google Advanced Operators La differenza tra saper usare Google search e saperlo usare bene h"p://www.googleguide.com/advanced_operators.html
OSINT su si* web – Paolo Dal Checco Google Advanced Operators Operators Descrip.on site: Restrict results to only one domain, or server inurl:/allinurl: All terms must appear in URL in*tle:/allin*tle: All terms must appear in *tle cache: Display Google’s cache of a page ext:/filetype: Return files with a given extension/file type info: Convenient way to get to other informa*on about a page link: Find pages that link to the given page inanchor: Page is linked to by someone using the term
OSINT su si* web – Paolo Dal Checco Google Advanced Operators Operators Descrip.on source: In Google News, rescr*cts results to source insubject: Restrict ar*cles in Google Groups to those that contain the terms you specify Intext: The query intext:term restricts results to documents containing term in the text. cache: Display Google’s cache of a page related: The query related:URL will list web pages that are similar to the web page you specify.
OSINT su si* web – Paolo Dal Checco Altri Operatori Operators Descrip.on -­‐ Inverse search operator (hide results) ~ synonyms [#]..[#] Number range * Wildcard to put something between something when searching with “quotes” + Used to force stop words OR Boolean operator, must be uppercase | Same as OR
OSINT su si* web – Paolo Dal Checco BeAer safe than sorry • Può essere conveniente rimanere anonimi – TOR, Torbrowser (entrambi possono anonimizzare anche applicazioni) – TAILS, JonDonym, VPS private – Non aprire documen* se non in TAILS. • Per ricevere sms: servizi di receive-­‐sms-­‐online (free/pay) • Per ricevere email: email temporanee (mailinator.com, yopmail.com, no 10minutemail) oppure webmail dietro TOR (es. safe-­‐mail.net, mail15.com, inbox.lv, OpenMailBox.org)
OSINT su si* web – Paolo Dal Checco Chi dicono di essere? • Whois • Whois storico (DomainTools, who.is) • Reverse Whois (YouGetSignal) • Altri domini con estensione diversa (domize) • Relazioni tra domini e owner (DomainTools) oppure – google "site:whois.domaintools.com "dal checco”” o “registrant "dal checco”” – whoisology.com, whoismind, comnetcomber.com • Maltego e transform
OSINT su si* web – Paolo Dal Checco Domini e DNS • Verificare se sul dominio ci sono domini di terzo livello (es kp, webmail, etc...) usando tool come Knock.py del buon Gianni Amato, SubRoute o DNSenum • Verifico server MX (ricordare che non necessariamente è lo stesso del dominio) • Whois degli MX
OSINT su si* web – Paolo Dal Checco DomainTools • Uno dei pochi servizi spesso indispensabili per Open Source Intelligence su si* web • A pagamento (trial per 7 giorni…) • Diversi servizi aqvi da anni che fanno crawling di si*, whois, dns, hos*ng, MX, etc… • Archivio storico più preciso e datato (1997) • Who.is con*ene una piccola parte, free
OSINT su si* web – Paolo Dal Checco DomainTools
OSINT su si* web – Paolo Dal Checco Domini e DNS
OSINT su si* web – Paolo Dal Checco Indirizzi IP • Verifico se aqvo server sulla 443 (ssl) e scarico cer*ficato • Trovo IP storici e verifico se sono ancora aqvi weberver sulla 80 e sulla 443 – Se ci sono, visualizzo e/o scarico sito vecchio • Verificare su spamhaus se l'IP è stato coinvolto in aqvità di spam/frode • Verificare se l'IP ricavato dal dig ha un reverse dns (dig -­‐x xxx.xxx.xxx.xxx)
OSINT su si* web – Paolo Dal Checco Indirizzi IP
OSINT su si* web – Paolo Dal Checco Contenu* • Cerco testo sul sito su Google, tra virgolexe, per vedere da dove è copiato o dove è riprodoxo (spesso vengono riciclate frasi) • Uso si* come copyscape.com o siteliner.com • Se vengono cita* nomi di aziende o marchi, posso cercare su marchi/breveq. • Se si trova P.IVA verificare su agenzia delle entrate (potrebbero averla copiata)
OSINT su si* web – Paolo Dal Checco Contenu* Nascos* • Scaricare intero sito con wget (o torify wget) • wget -­‐-­‐no-­‐check-­‐cer*ficate -­‐e robots=off -­‐o log.txt -­‐w 7 -­‐-­‐random-­‐wait -­‐vv -­‐S -­‐r -­‐N -­‐l inf -­‐-­‐no-­‐remove-­‐lis*ng -­‐-­‐ preserve-­‐permissions -­‐np -­‐E -­‐k -­‐K -­‐p -­‐-­‐user-­‐ agent="Mozilla/5.0 (compa*ble; bingbot/2.0; +hxp:// www.bing.com/bingbot.htm)" hxp:// www.website.com/subdir • Scaricare risulta* di ricerca google su “site:” (con plugin o con scraper) e scaricarli con wget –i list.txt • Esamino robots.txt, spesso con*ene cose interessan*…
OSINT su si* web – Paolo Dal Checco Contenu* Rimossi o modifica* • Web Archive (da* rimossi) • RSS (Feed2Mail, ChangeDetec*on, Versionista, VisualPing) • Google/Bing Cache • Snapshots/DomainTools
OSINT su si* web – Paolo Dal Checco Carving • “Carving” su un sito web? :-­‐) • Cerco email, url non linkate o commen* (grep "<-­‐-­‐-­‐”) che contengano informazioni rilevan* • Idea : Bulk Extractor su copia wget per estrarre email, domini, url, carte di credito, numeri di telefono, indirizzi IP, etc…
OSINT su si* web – Paolo Dal Checco The Harvester • hxps://code.google.com/p/theharvester • Raccoglie email, soxodomini, host, nomi degli impiega*, porte aperte, banner dei servizi tramite differen* fon* pubbliche come motori di ricerca, chiavi PGP, Shodan, etc…
OSINT su si* web – Paolo Dal Checco Server • Leggo negli header HTTP il *po di server (web-­‐ sniffer.org) • Provo a caricare una pagina volutamente errata, spesso nei messaggi di errore si trovano info sul path locale del server (con username…) • Shodan
OSINT su si* web – Paolo Dal Checco Link • Verifico link in entrata e uscita (www.opensiteexplorer.org) e cerco eventuali relazioni • Xenu Link Sleuth (anche anchor, date, *tle, etc.. Comprese le immagini) • Seo Powersuite Link Analysis
OSINT su si* web – Paolo Dal Checco Datazione • Data res*tuita dall’header HTTP • Eventuali date presen* nella pagina (commen*, data dei post, etc…) • Web Archive (axenzione a robots.txt) • Snapshots/DomainTools • Date nell’header HTTP res*tuito dalle immagini • Metada* nelle immagini
OSINT su si* web – Paolo Dal Checco Social Network • Cerco se esiste pagina su facebook o profilo linkedin che cita il sito – site:www.facebook.com www.difob.it -­‐inurl:DiFoB – site:www.facebook.com difob
OSINT su si* web – Paolo Dal Checco Analy*cs/Adsense • Cerco tag di Google Analy*cs/AdSense e lo u*lizzo per cercare altri si* monitora* dallo stesso utente (spyonweb.com, sameid.net, ewhois.com, reverseinternet.com) • Cerco altri tag come histats & Co. anche se più difficili da correlare
OSINT su si* web – Paolo Dal Checco Metada* • Foca (ora free: elevenpaths.com/labstools/foca) • Metagoofil per scaricare pdf, doc, xls, ppt, etc... e anche MAC Address dalle pagine di un sito • EXIF delle foto • Se presen* sul sito, verifico contenuto delle chiavi PGP (gpg -­‐-­‐with-­‐fingerprint key.asc) • Indirizzi Skype? Skype Resolver.
OSINT su si* web – Paolo Dal Checco Skype Resolver • Se conosciamo l’ID skype di una persona… possiamo risalire all’IP (anche due IP)! – hxp://resolveme.org/ – hxp://iskyperesolve.com/ • Talvolta vale anche l’inverso, da IP a Skype • Disponibile anche versione offline (Skype Deobfuscated con log) ma axenzione al ban • Funziona solo se l’utente non flaggato l’enforcement di privacy sull’IP nella
OSINT su si* web – Paolo Dal Checco
OSINT su si* web – Paolo Dal Checco Immagini • Cerco le immagini presen* sul sito su Google Images (comodo con Chrome, tasto destro o ‘s’+right key) o TinEye • Verifico il nome file delle immagini (nella URL) ed eventuali tag ALT/TITLE e verifico se usa* altrove • Con exikool o simili verifico da* EXIF (es. autore, GPS loca*on, seriale fotocamera) e cerco altrove • Se le trovate su FB, dovreste poter risalire al profilo
OSINT su si* web – Paolo Dal Checco Dalle foto FB al profilo
OSINT su si* web – Paolo Dal Checco Dalle foto FB al profilo • Fino al 2013 • Oggi: hxps://github.com/guelfoweb/†id
OSINT su si* web – Paolo Dal Checco Dalle foto FB al profilo
OSINT su si* web – Paolo Dal Checco CMS Wordpress • Plugin installa* (hxp://whatwpthemeisthat.com/) • Template installato (wpthemedetector.com) – /wp-­‐content/themes/kallyas/screenshot.png – /wp-­‐content/themes/kallyas/style.css • Esamino i da* del template (autore, nome, etc… che posso cercare su web) • Verifico se è stato usato su altri si* o social (namechk.com, knowem.com) • Verifico i vecchi template con Web Archive
OSINT su si* web – Paolo Dal Checco Bitcoin • Se sono indica* bitcoin address li cerco su google o seguo la blockchain e poi cerco su Google gli indirizzi da cui arrivano i soldi o cui vengono trasferi* (es. per torrentlocker si ricava un mixing service usato anche per altre truffe) • E’ anche possibile usare espressione regolare da aggiungere a Bulk Extractor.
OSINT su si* web – Paolo Dal Checco Email • Verifica di esistenza di indirizzi email: – SMTP (telnet su 25, EHLO, MAIL FROM, RCPT TO, DATA) – Se risponde “250 Ok” il des*natario esiste. Esiste davvero? J – Verify-­‐email.org
OSINT su si* web – Paolo Dal Checco Tracciare il miAente di una email • Cerco l’ul*mo “Received From… by…” nell’header RFC 822 – Received: from (93.33.240.153) by webmailv*n.alice.it; Wed, 28 May 2014 19:44:26 +0200 • Dall’IP si può risalire alla rete e spesso geolocalizzarla • Axenzione che gli spammer spesso aggiungono dei campi per ingannare • Cercare eventuali field “X-­‐Sender”, “X-­‐Sender-­‐IP” • Gmail e diverse webmail non inserisce l’IP del mixente né nei “received from” né negli X-­‐Header • Altri provider sì
OSINT su si* web – Paolo Dal Checco Email • Facebook (se non compare, almeno provo a vedere se è stato registrato profilo con quell'account) • Rappor*ve • Cerco su domaintools domini registra* axualmente o in passato a quell'indirizzo (uso trucco di site:domaintools.com username oppure “registrant username” o whoismind.com, netcomber.com)
OSINT su si* web – Paolo Dal Checco
OSINT su si* web – Paolo Dal Checco Email • Recupero password • Verifico se lo user è stato usato su altri si* o social (namechk.com, knowem.com) • Maltego e transform • Se trovate account twixer, usate Maltego o Creepy per geoloca*on • Provo con si* che indicano i profili su web/social come lullar.com • Ricerche avanzate su FB
OSINT su si* web – Paolo Dal Checco Grazie! Paolo dal Checco paolo@dalchecco.it/pdc@difob.it

Recommended

OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanOSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
Danilo De Rogatis
 
Ceh course v8 Narthar
Ceh course v8 NartharCeh course v8 Narthar
Ceh course v8 Narthar
Narthar
 
2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.Org2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.OrgFabio Pietrosanti
 
Deep Web & Dark Web
Deep Web & Dark WebDeep Web & Dark Web
Deep Web & Dark Web
Paolo Vedorin
 
Tools for Open Source Intelligence (OSINT)
Tools for Open Source Intelligence (OSINT)Tools for Open Source Intelligence (OSINT)
Tools for Open Source Intelligence (OSINT)
Sudhanshu Chauhan
 
Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)
festival ICT 2016
 
Offensive OSINT
Offensive OSINTOffensive OSINT
Offensive OSINT
Christian Martorella
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Sandro Rossetti
 

Recommended

OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanOSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
Danilo De Rogatis
 
Ceh course v8 Narthar
Ceh course v8 NartharCeh course v8 Narthar
Ceh course v8 Narthar
Narthar
 
2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.Org2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.OrgFabio Pietrosanti
 
Deep Web & Dark Web
Deep Web & Dark WebDeep Web & Dark Web
Deep Web & Dark Web
Paolo Vedorin
 
Tools for Open Source Intelligence (OSINT)
Tools for Open Source Intelligence (OSINT)Tools for Open Source Intelligence (OSINT)
Tools for Open Source Intelligence (OSINT)
Sudhanshu Chauhan
 
Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)Open Source Intelligence (OSINT)
Open Source Intelligence (OSINT)
festival ICT 2016
 
Offensive OSINT
Offensive OSINTOffensive OSINT
Offensive OSINT
Christian Martorella
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Sandro Rossetti
 
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
Falgun Rathod
 
How to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in InvestigationsHow to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in Investigations
Case IQ
 
Openexp 2006
Openexp 2006Openexp 2006
Openexp 2006Antonio Parata
 
I pericoli dell'Internet of Things in ambito sanitario, industriale e privato
I pericoli dell'Internet of Things in ambito sanitario, industriale e privatoI pericoli dell'Internet of Things in ambito sanitario, industriale e privato
I pericoli dell'Internet of Things in ambito sanitario, industriale e privato
Danilo De Rogatis
 
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
Università degli Studi di Milano - Sede di Crema
 
2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensics2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensics
Davide Gabrini
 
15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connell15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connell
CatyC
 
Smau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrackSmau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrack
SMAU
 
Forensic Profiling with Digital Data
Forensic Profiling with Digital DataForensic Profiling with Digital Data
Forensic Profiling with Digital Data
piccimario
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics
Davide Gabrini
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association
 
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
HTLaw
 
Vm sistemi suite data discovery
Vm sistemi suite data discoveryVm sistemi suite data discovery
Vm sistemi suite data discovery
Silvia Montanari
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
Deft Association
 
Il ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiIl ruolo dei dispositivi informatici
Il ruolo dei dispositivi informatici
Massimo Farina
 
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
StroNGER2012
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
Davide Gabrini
 
Open source intelligence
Open source intelligenceOpen source intelligence
Open source intelligence
balakumaran779
 
Cutting accounts down to scythe
Cutting accounts down to scytheCutting accounts down to scythe
Cutting accounts down to scythe
Chris John Riley
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Sandro Rossetti
 
Penetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network SnifferPenetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network Sniffer
Simone Onofri
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
Massimo Chirivì
 

More Related Content

Viewers also liked

OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
Falgun Rathod
 
How to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in InvestigationsHow to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in Investigations
Case IQ
 
I pericoli dell'Internet of Things in ambito sanitario, industriale e privato
I pericoli dell'Internet of Things in ambito sanitario, industriale e privatoI pericoli dell'Internet of Things in ambito sanitario, industriale e privato
I pericoli dell'Internet of Things in ambito sanitario, industriale e privato
Danilo De Rogatis
 
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
Università degli Studi di Milano - Sede di Crema
 
2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensics2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensics
Davide Gabrini
 
15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connell15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connell
CatyC
 
Smau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrackSmau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrack
SMAU
 
Forensic Profiling with Digital Data
Forensic Profiling with Digital DataForensic Profiling with Digital Data
Forensic Profiling with Digital Data
piccimario
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics
Davide Gabrini
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association
 
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
HTLaw
 
Vm sistemi suite data discovery
Vm sistemi suite data discoveryVm sistemi suite data discovery
Vm sistemi suite data discovery
Silvia Montanari
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
Deft Association
 
Il ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiIl ruolo dei dispositivi informatici
Il ruolo dei dispositivi informatici
Massimo Farina
 
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
StroNGER2012
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
Davide Gabrini
 
Open source intelligence
Open source intelligenceOpen source intelligence
Open source intelligence
balakumaran779
 
Cutting accounts down to scythe
Cutting accounts down to scytheCutting accounts down to scythe
Cutting accounts down to scythe
Chris John Riley
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Sandro Rossetti
 

Viewers also liked (20)

OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
 
How to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in InvestigationsHow to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in Investigations
 
Openexp 2006
Openexp 2006Openexp 2006
Openexp 2006
 
I pericoli dell'Internet of Things in ambito sanitario, industriale e privato
I pericoli dell'Internet of Things in ambito sanitario, industriale e privatoI pericoli dell'Internet of Things in ambito sanitario, industriale e privato
I pericoli dell'Internet of Things in ambito sanitario, industriale e privato
 
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
 
2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensics2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensics
 
15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connell15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connell
 
Smau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrackSmau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrack
 
Forensic Profiling with Digital Data
Forensic Profiling with Digital DataForensic Profiling with Digital Data
Forensic Profiling with Digital Data
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
 
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
 
Vm sistemi suite data discovery
Vm sistemi suite data discoveryVm sistemi suite data discovery
Vm sistemi suite data discovery
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
 
Il ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiIl ruolo dei dispositivi informatici
Il ruolo dei dispositivi informatici
 
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
 
Open source intelligence
Open source intelligenceOpen source intelligence
Open source intelligence
 
Cutting accounts down to scythe
Cutting accounts down to scytheCutting accounts down to scythe
Cutting accounts down to scythe
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
 

Similar to OSINT su siti web

Penetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network SnifferPenetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network Sniffer
Simone Onofri
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
Io uso Tor e non lascio tracce! Sei proprio sicuro?
Io uso Tor e non lascio tracce! Sei proprio sicuro?Io uso Tor e non lascio tracce! Sei proprio sicuro?
Io uso Tor e non lascio tracce! Sei proprio sicuro?festival ICT 2016
 
Google Analytics - intruduzione
Google Analytics - intruduzioneGoogle Analytics - intruduzione
Google Analytics - intruduzione
FLT.lab
 
Darkweb
DarkwebDarkweb
Darkweb
NaLUG
 
WordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWAWordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWA
FrancescoGiammanco1
 
Darknet 1.2.2
Darknet 1.2.2Darknet 1.2.2
Darknet 1.2.2
Alessandro Selli
 
Domino R9 e OpenSocial , #dd13
Domino R9 e OpenSocial , #dd13Domino R9 e OpenSocial , #dd13
Domino R9 e OpenSocial , #dd13
Dominopoint - Italian Lotus User Group
 
Be wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelliBe wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelliGianluca Fiorelli
 
Google Hacking
Google HackingGoogle Hacking
Google Hacking
Eduard Roccatello
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensored
jekil
 
Elk - Elasticsearch Logstash Kibana stack explained
Elk - Elasticsearch Logstash Kibana stack explainedElk - Elasticsearch Logstash Kibana stack explained
Elk - Elasticsearch Logstash Kibana stack explained
Federico Panini
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
ManlioSantonastaso
 
Guida google hacking
Guida google hacking Guida google hacking
Guida google hacking
Techweaver Italia
 
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black TulipCorso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Massimiliano Masi
 
Il web intelligente
Il web intelligenteIl web intelligente
Il web intelligente
Davide Cerbo
 
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2016
 
Link Building in scala di grigi
Link Building in scala di grigiLink Building in scala di grigi
Link Building in scala di grigi
Giuseppe Pastore
 

Similar to OSINT su siti web (20)

Penetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network SnifferPenetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network Sniffer
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo Chirivì
 
Io uso Tor e non lascio tracce! Sei proprio sicuro?
Io uso Tor e non lascio tracce! Sei proprio sicuro?Io uso Tor e non lascio tracce! Sei proprio sicuro?
Io uso Tor e non lascio tracce! Sei proprio sicuro?
 
Google Analytics - intruduzione
Google Analytics - intruduzioneGoogle Analytics - intruduzione
Google Analytics - intruduzione
 
Darkweb
DarkwebDarkweb
Darkweb
 
WordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWAWordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWA
 
Darknet 1.2.2
Darknet 1.2.2Darknet 1.2.2
Darknet 1.2.2
 
Domino R9 e OpenSocial , #dd13
Domino R9 e OpenSocial , #dd13Domino R9 e OpenSocial , #dd13
Domino R9 e OpenSocial , #dd13
 
Be wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelliBe wizard 2012 - content - seo - links - gianluca fiorelli
Be wizard 2012 - content - seo - links - gianluca fiorelli
 
Google Hacking
Google HackingGoogle Hacking
Google Hacking
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensored
 
Elk - Elasticsearch Logstash Kibana stack explained
Elk - Elasticsearch Logstash Kibana stack explainedElk - Elasticsearch Logstash Kibana stack explained
Elk - Elasticsearch Logstash Kibana stack explained
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
 
Guida google hacking
Guida google hacking Guida google hacking
Guida google hacking
 
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black TulipCorso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
Corso IFTS CyberSecurity Expert - Attacco di Armando e Operazione Black Tulip
 
Il web intelligente
Il web intelligenteIl web intelligente
Il web intelligente
 
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perduta
 
Link Building in scala di grigi
Link Building in scala di grigiLink Building in scala di grigi
Link Building in scala di grigi
 
Slide Bit Torrent
Slide Bit TorrentSlide Bit Torrent
Slide Bit Torrent
 

More from dalchecco

Blockchain Forensics e Intelligence (Conferenza UTBI - Università di Torino)
Blockchain Forensics e Intelligence (Conferenza UTBI - Università di Torino)Blockchain Forensics e Intelligence (Conferenza UTBI - Università di Torino)
Blockchain Forensics e Intelligence (Conferenza UTBI - Università di Torino)
dalchecco
 
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
dalchecco
 
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
dalchecco
 
Bitcoin Forensics - Paolo Dal Checco (HackInBo, 14 maggio 2016)
Bitcoin Forensics - Paolo Dal Checco (HackInBo, 14 maggio 2016)Bitcoin Forensics - Paolo Dal Checco (HackInBo, 14 maggio 2016)
Bitcoin Forensics - Paolo Dal Checco (HackInBo, 14 maggio 2016)
dalchecco
 
Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali
dalchecco
 
Bitcoin Forensics - Riciclaggio e Antiriciclaggio nell'era del Bitcoin
Bitcoin Forensics - Riciclaggio e Antiriciclaggio nell'era del BitcoinBitcoin Forensics - Riciclaggio e Antiriciclaggio nell'era del Bitcoin
Bitcoin Forensics - Riciclaggio e Antiriciclaggio nell'era del Bitcoin
dalchecco
 
Elaborazione del suono con strumenti Open Source
Elaborazione del suono con strumenti Open SourceElaborazione del suono con strumenti Open Source
Elaborazione del suono con strumenti Open Source
dalchecco
 
Audio Forensics con strumenti Open Source
Audio Forensics con strumenti Open SourceAudio Forensics con strumenti Open Source
Audio Forensics con strumenti Open Source
dalchecco
 
La Prevenzione dei Reati Informatici ex D. Lgs 231/01
La Prevenzione dei Reati Informatici ex D. Lgs 231/01La Prevenzione dei Reati Informatici ex D. Lgs 231/01
La Prevenzione dei Reati Informatici ex D. Lgs 231/01
dalchecco
 

More from dalchecco (9)

Blockchain Forensics e Intelligence (Conferenza UTBI - Università di Torino)
Blockchain Forensics e Intelligence (Conferenza UTBI - Università di Torino)Blockchain Forensics e Intelligence (Conferenza UTBI - Università di Torino)
Blockchain Forensics e Intelligence (Conferenza UTBI - Università di Torino)
 
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
 
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware -...
 
Bitcoin Forensics - Paolo Dal Checco (HackInBo, 14 maggio 2016)
Bitcoin Forensics - Paolo Dal Checco (HackInBo, 14 maggio 2016)Bitcoin Forensics - Paolo Dal Checco (HackInBo, 14 maggio 2016)
Bitcoin Forensics - Paolo Dal Checco (HackInBo, 14 maggio 2016)
 
Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali Cryptolocker, ransomware e ricatti digitali
Cryptolocker, ransomware e ricatti digitali
 
Bitcoin Forensics - Riciclaggio e Antiriciclaggio nell'era del Bitcoin
Bitcoin Forensics - Riciclaggio e Antiriciclaggio nell'era del BitcoinBitcoin Forensics - Riciclaggio e Antiriciclaggio nell'era del Bitcoin
Bitcoin Forensics - Riciclaggio e Antiriciclaggio nell'era del Bitcoin
 
Elaborazione del suono con strumenti Open Source
Elaborazione del suono con strumenti Open SourceElaborazione del suono con strumenti Open Source
Elaborazione del suono con strumenti Open Source
 
Audio Forensics con strumenti Open Source
Audio Forensics con strumenti Open SourceAudio Forensics con strumenti Open Source
Audio Forensics con strumenti Open Source
 
La Prevenzione dei Reati Informatici ex D. Lgs 231/01
La Prevenzione dei Reati Informatici ex D. Lgs 231/01La Prevenzione dei Reati Informatici ex D. Lgs 231/01
La Prevenzione dei Reati Informatici ex D. Lgs 231/01
 

OSINT su siti web

  • 1. OSINT su si* web – Paolo Dal Checco OSINT su si* web Paolo Dal Checco Seminario IISFA/CeFIRST Roma, Campo dei Fiori 12 dicembre 2014
  • 2. OSINT su si* web – Paolo Dal Checco -­‐ Ph.D. Chi sono in Informa.ca su sicurezza e cri4ografia -­‐ Consulente Informa.co Forense per Procure, Tribunali, Aziende, Avvoca. e Priva. -­‐ Co-­‐.tolare “Digital Forensics Bureau” -­‐ Tra i fondatori della DEFT Associa.on e dell’Osservatorio Nazionale sull’Informa.ca Forense -­‐ Socio IISFA, CLUSIT, AIP
  • 3. OSINT su si* web – Paolo Dal Checco Motori di ricerca
  • 4. OSINT su si* web – Paolo Dal Checco Google Advanced Operators La differenza tra saper usare Google search e saperlo usare bene h"p://www.googleguide.com/advanced_operators.html
  • 5. OSINT su si* web – Paolo Dal Checco Google Advanced Operators Operators Descrip.on site: Restrict results to only one domain, or server inurl:/allinurl: All terms must appear in URL in*tle:/allin*tle: All terms must appear in *tle cache: Display Google’s cache of a page ext:/filetype: Return files with a given extension/file type info: Convenient way to get to other informa*on about a page link: Find pages that link to the given page inanchor: Page is linked to by someone using the term
  • 6. OSINT su si* web – Paolo Dal Checco Google Advanced Operators Operators Descrip.on source: In Google News, rescr*cts results to source insubject: Restrict ar*cles in Google Groups to those that contain the terms you specify Intext: The query intext:term restricts results to documents containing term in the text. cache: Display Google’s cache of a page related: The query related:URL will list web pages that are similar to the web page you specify.
  • 7. OSINT su si* web – Paolo Dal Checco Altri Operatori Operators Descrip.on -­‐ Inverse search operator (hide results) ~ synonyms [#]..[#] Number range * Wildcard to put something between something when searching with “quotes” + Used to force stop words OR Boolean operator, must be uppercase | Same as OR
  • 8. OSINT su si* web – Paolo Dal Checco BeAer safe than sorry • Può essere conveniente rimanere anonimi – TOR, Torbrowser (entrambi possono anonimizzare anche applicazioni) – TAILS, JonDonym, VPS private – Non aprire documen* se non in TAILS. • Per ricevere sms: servizi di receive-­‐sms-­‐online (free/pay) • Per ricevere email: email temporanee (mailinator.com, yopmail.com, no 10minutemail) oppure webmail dietro TOR (es. safe-­‐mail.net, mail15.com, inbox.lv, OpenMailBox.org)
  • 9. OSINT su si* web – Paolo Dal Checco Chi dicono di essere? • Whois • Whois storico (DomainTools, who.is) • Reverse Whois (YouGetSignal) • Altri domini con estensione diversa (domize) • Relazioni tra domini e owner (DomainTools) oppure – google "site:whois.domaintools.com "dal checco”” o “registrant "dal checco”” – whoisology.com, whoismind, comnetcomber.com • Maltego e transform
  • 10. OSINT su si* web – Paolo Dal Checco Domini e DNS • Verificare se sul dominio ci sono domini di terzo livello (es kp, webmail, etc...) usando tool come Knock.py del buon Gianni Amato, SubRoute o DNSenum • Verifico server MX (ricordare che non necessariamente è lo stesso del dominio) • Whois degli MX
  • 11. OSINT su si* web – Paolo Dal Checco DomainTools • Uno dei pochi servizi spesso indispensabili per Open Source Intelligence su si* web • A pagamento (trial per 7 giorni…) • Diversi servizi aqvi da anni che fanno crawling di si*, whois, dns, hos*ng, MX, etc… • Archivio storico più preciso e datato (1997) • Who.is con*ene una piccola parte, free
  • 12. OSINT su si* web – Paolo Dal Checco DomainTools
  • 13. OSINT su si* web – Paolo Dal Checco Domini e DNS
  • 14. OSINT su si* web – Paolo Dal Checco Indirizzi IP • Verifico se aqvo server sulla 443 (ssl) e scarico cer*ficato • Trovo IP storici e verifico se sono ancora aqvi weberver sulla 80 e sulla 443 – Se ci sono, visualizzo e/o scarico sito vecchio • Verificare su spamhaus se l'IP è stato coinvolto in aqvità di spam/frode • Verificare se l'IP ricavato dal dig ha un reverse dns (dig -­‐x xxx.xxx.xxx.xxx)
  • 15. OSINT su si* web – Paolo Dal Checco Indirizzi IP
  • 16. OSINT su si* web – Paolo Dal Checco Contenu* • Cerco testo sul sito su Google, tra virgolexe, per vedere da dove è copiato o dove è riprodoxo (spesso vengono riciclate frasi) • Uso si* come copyscape.com o siteliner.com • Se vengono cita* nomi di aziende o marchi, posso cercare su marchi/breveq. • Se si trova P.IVA verificare su agenzia delle entrate (potrebbero averla copiata)
  • 17. OSINT su si* web – Paolo Dal Checco Contenu* Nascos* • Scaricare intero sito con wget (o torify wget) • wget -­‐-­‐no-­‐check-­‐cer*ficate -­‐e robots=off -­‐o log.txt -­‐w 7 -­‐-­‐random-­‐wait -­‐vv -­‐S -­‐r -­‐N -­‐l inf -­‐-­‐no-­‐remove-­‐lis*ng -­‐-­‐ preserve-­‐permissions -­‐np -­‐E -­‐k -­‐K -­‐p -­‐-­‐user-­‐ agent="Mozilla/5.0 (compa*ble; bingbot/2.0; +hxp:// www.bing.com/bingbot.htm)" hxp:// www.website.com/subdir • Scaricare risulta* di ricerca google su “site:” (con plugin o con scraper) e scaricarli con wget –i list.txt • Esamino robots.txt, spesso con*ene cose interessan*…
  • 18. OSINT su si* web – Paolo Dal Checco Contenu* Rimossi o modifica* • Web Archive (da* rimossi) • RSS (Feed2Mail, ChangeDetec*on, Versionista, VisualPing) • Google/Bing Cache • Snapshots/DomainTools
  • 19. OSINT su si* web – Paolo Dal Checco Carving • “Carving” su un sito web? :-­‐) • Cerco email, url non linkate o commen* (grep "<-­‐-­‐-­‐”) che contengano informazioni rilevan* • Idea : Bulk Extractor su copia wget per estrarre email, domini, url, carte di credito, numeri di telefono, indirizzi IP, etc…
  • 20. OSINT su si* web – Paolo Dal Checco The Harvester • hxps://code.google.com/p/theharvester • Raccoglie email, soxodomini, host, nomi degli impiega*, porte aperte, banner dei servizi tramite differen* fon* pubbliche come motori di ricerca, chiavi PGP, Shodan, etc…
  • 21. OSINT su si* web – Paolo Dal Checco Server • Leggo negli header HTTP il *po di server (web-­‐ sniffer.org) • Provo a caricare una pagina volutamente errata, spesso nei messaggi di errore si trovano info sul path locale del server (con username…) • Shodan
  • 22. OSINT su si* web – Paolo Dal Checco Link • Verifico link in entrata e uscita (www.opensiteexplorer.org) e cerco eventuali relazioni • Xenu Link Sleuth (anche anchor, date, *tle, etc.. Comprese le immagini) • Seo Powersuite Link Analysis
  • 23. OSINT su si* web – Paolo Dal Checco Datazione • Data res*tuita dall’header HTTP • Eventuali date presen* nella pagina (commen*, data dei post, etc…) • Web Archive (axenzione a robots.txt) • Snapshots/DomainTools • Date nell’header HTTP res*tuito dalle immagini • Metada* nelle immagini
  • 24. OSINT su si* web – Paolo Dal Checco Social Network • Cerco se esiste pagina su facebook o profilo linkedin che cita il sito – site:www.facebook.com www.difob.it -­‐inurl:DiFoB – site:www.facebook.com difob
  • 25. OSINT su si* web – Paolo Dal Checco Analy*cs/Adsense • Cerco tag di Google Analy*cs/AdSense e lo u*lizzo per cercare altri si* monitora* dallo stesso utente (spyonweb.com, sameid.net, ewhois.com, reverseinternet.com) • Cerco altri tag come histats & Co. anche se più difficili da correlare
  • 26. OSINT su si* web – Paolo Dal Checco Metada* • Foca (ora free: elevenpaths.com/labstools/foca) • Metagoofil per scaricare pdf, doc, xls, ppt, etc... e anche MAC Address dalle pagine di un sito • EXIF delle foto • Se presen* sul sito, verifico contenuto delle chiavi PGP (gpg -­‐-­‐with-­‐fingerprint key.asc) • Indirizzi Skype? Skype Resolver.
  • 27. OSINT su si* web – Paolo Dal Checco Skype Resolver • Se conosciamo l’ID skype di una persona… possiamo risalire all’IP (anche due IP)! – hxp://resolveme.org/ – hxp://iskyperesolve.com/ • Talvolta vale anche l’inverso, da IP a Skype • Disponibile anche versione offline (Skype Deobfuscated con log) ma axenzione al ban • Funziona solo se l’utente non flaggato l’enforcement di privacy sull’IP nella
  • 28. OSINT su si* web – Paolo Dal Checco
  • 29. OSINT su si* web – Paolo Dal Checco Immagini • Cerco le immagini presen* sul sito su Google Images (comodo con Chrome, tasto destro o ‘s’+right key) o TinEye • Verifico il nome file delle immagini (nella URL) ed eventuali tag ALT/TITLE e verifico se usa* altrove • Con exikool o simili verifico da* EXIF (es. autore, GPS loca*on, seriale fotocamera) e cerco altrove • Se le trovate su FB, dovreste poter risalire al profilo
  • 30. OSINT su si* web – Paolo Dal Checco Dalle foto FB al profilo
  • 31. OSINT su si* web – Paolo Dal Checco Dalle foto FB al profilo • Fino al 2013 • Oggi: hxps://github.com/guelfoweb/†id
  • 32. OSINT su si* web – Paolo Dal Checco Dalle foto FB al profilo
  • 33. OSINT su si* web – Paolo Dal Checco CMS Wordpress • Plugin installa* (hxp://whatwpthemeisthat.com/) • Template installato (wpthemedetector.com) – /wp-­‐content/themes/kallyas/screenshot.png – /wp-­‐content/themes/kallyas/style.css • Esamino i da* del template (autore, nome, etc… che posso cercare su web) • Verifico se è stato usato su altri si* o social (namechk.com, knowem.com) • Verifico i vecchi template con Web Archive
  • 34. OSINT su si* web – Paolo Dal Checco Bitcoin • Se sono indica* bitcoin address li cerco su google o seguo la blockchain e poi cerco su Google gli indirizzi da cui arrivano i soldi o cui vengono trasferi* (es. per torrentlocker si ricava un mixing service usato anche per altre truffe) • E’ anche possibile usare espressione regolare da aggiungere a Bulk Extractor.
  • 35. OSINT su si* web – Paolo Dal Checco Email • Verifica di esistenza di indirizzi email: – SMTP (telnet su 25, EHLO, MAIL FROM, RCPT TO, DATA) – Se risponde “250 Ok” il des*natario esiste. Esiste davvero? J – Verify-­‐email.org
  • 36. OSINT su si* web – Paolo Dal Checco Tracciare il miAente di una email • Cerco l’ul*mo “Received From… by…” nell’header RFC 822 – Received: from (93.33.240.153) by webmailv*n.alice.it; Wed, 28 May 2014 19:44:26 +0200 • Dall’IP si può risalire alla rete e spesso geolocalizzarla • Axenzione che gli spammer spesso aggiungono dei campi per ingannare • Cercare eventuali field “X-­‐Sender”, “X-­‐Sender-­‐IP” • Gmail e diverse webmail non inserisce l’IP del mixente né nei “received from” né negli X-­‐Header • Altri provider sì
  • 37. OSINT su si* web – Paolo Dal Checco Email • Facebook (se non compare, almeno provo a vedere se è stato registrato profilo con quell'account) • Rappor*ve • Cerco su domaintools domini registra* axualmente o in passato a quell'indirizzo (uso trucco di site:domaintools.com username oppure “registrant username” o whoismind.com, netcomber.com)
  • 38. OSINT su si* web – Paolo Dal Checco
  • 39. OSINT su si* web – Paolo Dal Checco Email • Recupero password • Verifico se lo user è stato usato su altri si* o social (namechk.com, knowem.com) • Maltego e transform • Se trovate account twixer, usate Maltego o Creepy per geoloca*on • Provo con si* che indicano i profili su web/social come lullar.com • Ricerche avanzate su FB
  • 40. OSINT su si* web – Paolo Dal Checco Grazie! Paolo dal Checco paolo@dalchecco.it/pdc@difob.it