OSINT su siti web

OSINT su si* web – Paolo Dal Checco

OSINT su si* web

Paolo Dal Checco

Seminario IISFA/CeFIRST Roma, Campo dei Fiori 12 dicembre 2014


-‐  Ph.D. in Informa.ca su sicurezza e cri4ografia -‐  Consulente Informa.co Forense per Procure, Tribunali,

Aziende, Avvoca. e Priva. -‐  Co-‐.tolare “Digital Forensics Bureau” -‐  Tra i fondatori della DEFT Associa.on e dell’Osservatorio

Nazionale sull’Informa.ca Forense -‐  Socio IISFA, CLUSIT, AIP

Chi sono


Motori di ricerca


Google Advanced Operators

h"p://www.googleguide.com/advanced_operators.html

La differenza tra saper usare Google search e saperlo usare bene


Google Advanced Operators Operators Descrip.on

site: Restrict results to only one domain, or server

inurl:/allinurl: All terms must appear in URL

in*tle:/allin*tle: All terms must appear in *tle

cache: Display Google’s cache of a page

ext:/filetype: Return files with a given extension/file type

info: Convenient way to get to other informa*on about a page

link: Find pages that link to the given page

inanchor: Page is linked to by someone using the term


Google Advanced Operators Operators Descrip.on

source: In Google News, rescr*cts results to source

insubject: Restrict ar*cles in Google Groups to those that contain the terms you specify

Intext: The query intext:term restricts results to documents containing term in the text.

cache: Display Google’s cache of a page

related: The query related:URL will list web pages that are similar to the web page you specify.


Altri Operatori Operators Descrip.on

-‐ Inverse search operator (hide results)

~ synonyms

[#]..[#] Number range

* Wildcard to put something between something when searching with “quotes”

+ Used to force stop words

OR Boolean operator, must be uppercase

| Same as OR


BeAer safe than sorry

•  Può essere conveniente rimanere anonimi –  TOR, Torbrowser (entrambi possono anonimizzare anche applicazioni)

–  TAILS, JonDonym, VPS private –  Non aprire documen* se non in TAILS.

•  Per ricevere sms: servizi di receive-‐sms-‐online (free/pay) •  Per ricevere email: email temporanee (mailinator.com,

yopmail.com, no 10minutemail) oppure webmail dietro TOR (es. safe-‐mail.net, mail15.com, inbox.lv, OpenMailBox.org)


Chi dicono di essere?

•  Whois •  Whois storico (DomainTools, who.is) •  Reverse Whois (YouGetSignal) •  Altri domini con estensione diversa (domize) •  Relazioni tra domini e owner (DomainTools) oppure –  google "site:whois.domaintools.com "dal checco”” o “registrant "dal checco””

–  whoisology.com, whoismind, comnetcomber.com •  Maltego e transform


Domini e DNS

•  Verificare se sul dominio ci sono domini di terzo livello (es kp, webmail, etc...) usando tool come Knock.py del buon Gianni Amato, SubRoute o DNSenum

•  Verifico server MX (ricordare che non necessariamente è lo stesso del dominio)

•  Whois degli MX


DomainTools

•  Uno dei pochi servizi spesso indispensabili per Open Source Intelligence su si* web

•  A pagamento (trial per 7 giorni…) •  Diversi servizi aqvi da anni che fanno crawling di si*, whois, dns, hos*ng, MX, etc…

•  Archivio storico più preciso e datato (1997) •  Who.is con*ene una piccola parte, free


DomainTools


Domini e DNS


Indirizzi IP

•  Verifico se aqvo server sulla 443 (ssl) e scarico cer*ficato

•  Trovo IP storici e verifico se sono ancora aqvi weberver sulla 80 e sulla 443 –  Se ci sono, visualizzo e/o scarico sito vecchio

•  Verificare su spamhaus se l'IP è stato coinvolto in aqvità di spam/frode

•  Verificare se l'IP ricavato dal dig ha un reverse dns (dig -‐x xxx.xxx.xxx.xxx)


Indirizzi IP


Contenu*

•  Cerco testo sul sito su Google, tra virgolexe, per vedere da dove è copiato o dove è riprodoxo (spesso vengono riciclate frasi)

•  Uso si* come copyscape.com o siteliner.com •  Se vengono cita* nomi di aziende o marchi, posso cercare su marchi/breveq.

•  Se si trova P.IVA verificare su agenzia delle entrate (potrebbero averla copiata)


Contenu* Nascos*

•  Scaricare intero sito con wget (o torify wget) •  wget -‐-‐no-‐check-‐cer*ficate -‐e robots=off -‐o log.txt -‐w 7 -‐-‐random-‐wait -‐vv -‐S -‐r -‐N -‐l inf -‐-‐no-‐remove-‐lis*ng -‐-‐preserve-‐permissions -‐np -‐E -‐k -‐K -‐p -‐-‐user-‐agent="Mozilla/5.0 (compa*ble; bingbot/2.0; +hxp://www.bing.com/bingbot.htm)" hxp://www.website.com/subdir

•  Scaricare risulta* di ricerca google su “site:” (con plugin o con scraper) e scaricarli con wget –i list.txt

•  Esamino robots.txt, spesso con*ene cose interessan*…


Contenu* Rimossi o modifica*

•  Web Archive (da* rimossi) •  RSS (Feed2Mail, ChangeDetec*on, Versionista, VisualPing)

•  Google/Bing Cache •  Snapshots/DomainTools


Carving

•  “Carving” su un sito web? :-‐) •  Cerco email, url non linkate o commen* (grep "<-‐-‐-‐”) che contengano informazioni rilevan*

•  Idea : Bulk Extractor su copia wget per estrarre email, domini, url, carte di credito, numeri di telefono, indirizzi IP, etc…


The Harvester •  hxps://code.google.com/p/theharvester •  Raccoglie email, soxodomini, host, nomi degli impiega*,

porte aperte, banner dei servizi tramite differen* fon* pubbliche come motori di ricerca, chiavi PGP, Shodan, etc…


Server

•  Leggo negli header HTTP il *po di server (web-‐sniffer.org)

•  Provo a caricare una pagina volutamente errata, spesso nei messaggi di errore si trovano info sul path locale del server (con username…)

•  Shodan


Link

•  Verifico link in entrata e uscita (www.opensiteexplorer.org) e cerco eventuali relazioni

•  Xenu Link Sleuth (anche anchor, date, *tle, etc.. Comprese le immagini)

•  Seo Powersuite Link Analysis


Datazione

•  Data res*tuita dall’header HTTP •  Eventuali date presen* nella pagina (commen*, data dei post, etc…)

•  Web Archive (axenzione a robots.txt) •  Snapshots/DomainTools •  Date nell’header HTTP res*tuito dalle immagini •  Metada* nelle immagini


Social Network

•  Cerco se esiste pagina su facebook o profilo linkedin che cita il sito – site:www.facebook.com www.difob.it -‐inurl:DiFoB

– site:www.facebook.com difob


Analy*cs/Adsense •  Cerco tag di Google Analy*cs/AdSense e lo u*lizzo per cercare altri si* monitora* dallo stesso utente (spyonweb.com, sameid.net, ewhois.com, reverseinternet.com)

•  Cerco altri tag come histats & Co. anche se più difficili da correlare


Metada*

•  Foca (ora free: elevenpaths.com/labstools/foca) •  Metagoofil per scaricare pdf, doc, xls, ppt, etc... e anche MAC Address dalle pagine di un sito

•  EXIF delle foto •  Se presen* sul sito, verifico contenuto delle chiavi PGP (gpg -‐-‐with-‐fingerprint key.asc)

•  Indirizzi Skype? Skype Resolver.


Skype Resolver •  Se conosciamo l’ID skype di una persona… possiamo risalire all’IP (anche due IP)! –  hxp://resolveme.org/ –  hxp://iskyperesolve.com/

•  Talvolta vale anche l’inverso, da IP a Skype •  Disponibile anche versione offline (Skype Deobfuscated con log) ma axenzione al ban

•  Funziona solo se l’utente non flaggato l’enforcement di privacy sull’IP nella



Immagini

•  Cerco le immagini presen* sul sito su Google Images (comodo con Chrome, tasto destro o ‘s’+right key) o TinEye

•  Verifico il nome file delle immagini (nella URL) ed eventuali tag ALT/TITLE e verifico se usa* altrove

•  Con exikool o simili verifico da* EXIF (es. autore, GPS loca*on, seriale fotocamera) e cerco altrove

•  Se le trovate su FB, dovreste poter risalire al profilo


Dalle foto FB al profilo


Dalle foto FB al profilo •  Fino al 2013

•  Oggi: hxps://github.com/guelfoweb/�id


Dalle foto FB al profilo


CMS Wordpress

•  Plugin installa* (hxp://whatwpthemeisthat.com/) •  Template installato (wpthemedetector.com)

–  /wp-‐content/themes/kallyas/screenshot.png –  /wp-‐content/themes/kallyas/style.css

•  Esamino i da* del template (autore, nome, etc… che posso cercare su web)

•  Verifico se è stato usato su altri si* o social (namechk.com, knowem.com)

•  Verifico i vecchi template con Web Archive


Bitcoin

•  Se sono indica* bitcoin address li cerco su google o seguo la blockchain e poi cerco su Google gli indirizzi da cui arrivano i soldi o cui vengono trasferi* (es. per torrentlocker si ricava un mixing service usato anche per altre truffe)

•  E’ anche possibile usare espressione regolare da aggiungere a Bulk Extractor.


Email •  Verifica di esistenza di indirizzi email: – SMTP (telnet su 25, EHLO, MAIL FROM, RCPT TO, DATA)

– Se risponde “250 Ok” il des*natario esiste. Esiste davvero? J

– Verify-‐email.org


Tracciare il miAente di una email •  Cerco l’ul*mo “Received From… by…” nell’header RFC 822 –  Received: from (93.33.240.153) by webmailv*n.alice.it; Wed, 28 May 2014 19:44:26 +0200

•  Dall’IP si può risalire alla rete e spesso geolocalizzarla •  Axenzione che gli spammer spesso aggiungono dei campi per ingannare

•  Cercare eventuali field “X-‐Sender”, “X-‐Sender-‐IP” •  Gmail e diverse webmail non inserisce l’IP del mixente né nei “received from” né negli X-‐Header

•  Altri provider sì


Email

•  Facebook (se non compare, almeno provo a vedere se è stato registrato profilo con quell'account)

•  Rappor*ve •  Cerco su domaintools domini registra* axualmente o in passato a quell'indirizzo (uso trucco di site:domaintools.com username oppure “registrant username” o whoismind.com, netcomber.com)



Email

•  Recupero password •  Verifico se lo user è stato usato su altri si* o social (namechk.com, knowem.com)

•  Maltego e transform •  Se trovate account twixer, usate Maltego o Creepy per geoloca*on

•  Provo con si* che indicano i profili su web/social come lullar.com

•  Ricerche avanzate su FB


Grazie!

[email protected]/[email protected] Paolo dal Checco

OSINT su siti web

Technology