Tutti gli attacchi informatici basano il loro successo sulla quantità di informazioni che l’attacker riesce a collezionare e su cui costruisce la propria strategia. Che si tratti di un banale attacco tramite diffusione di un ransomware o del furto di dati (sensibili, segreti, privati, strategici) è necessario partire da una raccolta di informazioni sul proprio target per decidere come sferrare l’attacco. Come in tutti i processi logici più dati si hanno a disposizione e più saranno le possibili soluzioni al “problema”.
Come mia consuetudine suggerisco di “vestire i panni dell’attacker” per comprenderne i comportamenti e le azioni. Il primo task da portare a compimento è quindi acquisire informazioni sul target: come è organizzato, che skills ha e quali non ha, con chi collabora, chi sono i fornitori, chi sono i clienti, quali interessi ha, quali abitudini ha, che device usa, che software, che tecnologie, […]. L’attacker dedica molto tempo a questa fase, nelle simulazioni di attacco in cui ho avuto un ruolo attivo la fase di information gathering è spesso stata la più onerosa in termini di tempo investito.
L’obiettivo è costruire un database di informazioni che ci consenta di tratteggiare un perimetro d’azione dove andare poi a cercare ed analizzare eventuali punti deboli su cui concentrare l’attaco. Moltissime informazioni sono disponibili pubblicamente e facilmente accessibili, è sufficiente sapere dove cercare. Se l’obiettivo è una persona fisica un ottimo punto di partenza sono (ormai da qualche anno) i Social Network dove moltissimi utenti svelano informazio anche molto delicate, se si tratta di un’azienda si può partire dal sito istituzionale o da altre fonti di informazioni ufficiali come la stampa. E’ incredibile quanto le aziende raccontino di se in interviste, conferenze, convegni, articoli, post.
Metodi di semplice consultazione possono essere query specifiche sui motori di ricerca: largamente utilizzate sono ad esempio le “Google dorks”, ovvero gli operatori di ricerca di Google che consentono di migliorare il dettaglio di ciò che si chiede al gigantesco Database del motore di ricerca. Nella loro “banalità” consentono di trovare documenti spesso indicizzati per errore; per fare un esempio: durante recenti attività di consulenza — condotte con il team di VERSIVO — ho trovato senza fatica bozze di contratti, listini con prezzi riservati, curricula, slide interne, scansioni di carte di identità… un tesoro di informazioni reso pubblico da una pessima gestione dei contenuti gestiti tramite i CMS aziendali e dalla solerzia dei crawler di Big G. Questo tipo di informazioni sono venute a galla semplicemente cercando su Google documenti PDF e DOC all’interno dei siti internet in qualche modo riconducibili al target, quindi non il solo sito istituzionale ma anche altri siti che, per qualche ragione, presentavano delle correlazioni.
Altra ottima fonte di informazioni sono gli archivio delle passate versioni dei siti web (es: archive.org) dove possiamo trovare vecchi post ormai persi o interi siti web oggi scomparsi. Andando più sul tecnico molte informazioni possono essere carpite dagli header delle e-mail (indirizzamentei LAN e DMZ, nomi dominio), dai record DNS (siti Datacente, sedi operative o addirittura alcune scelte tecnologiche andando ad analizzare i TXT record), dai sistemi pubblicati dalle reti aziendali o dalle cloud utilizzate per servizi dipartimentali.
Un altro esempio chiarificatore: qualche giorno fa (04/01/2019) ho commentato su LinkedIn il post di un utente che, a parer mio incautamente, ha pubblicato 5 secondi di video in cui sfoglia una parte della sua “collezione” di biglietti da visita. Questo è il tipico contenuto che un’attacker potrebbe sfruttare per ricostruire una rete di contatti e relazioni in cui infiltrarsi in mille modi, ad esempio impersonando un contatto reale in una comunicazione verso la propria vittima. Solo per gioco ho dato in pasto a Big G. il nome dell’utente “incauto” e uno dei contatti che più mi hanno incuriosito e sono rapidamente risalito al tipo di rapporto che i due soggetti hanno dandomi potenzialmente la possibilità di creare delle comunicazioni fasulle. Tutto collabora a migliorare la mia conoscienza del target per costruire una strategia d’attacco efficace.
Tutto ciò viene sintetizzato con l’acronimo OSInt (Open Source Intelligence) ed è uno dei metodi “standard” (se così si può dire) utilizzati da chi progetta e realizza attacchi informatici, in particolar modo quando l’obiettivo è un’azienda o un ente al quale si vogliono rubare informazioni per trarne un profitto diretto o, in caso di attacchi più complessi, da utilizzare per progettare altri attacchi (es: rubo i dati di uno studio commerciale per ottenere informazioni sul mio target principale che ho scoperto essere loro cliente).
Gli Ethical Hackers utilizzalo questa tecnica per “misurare” il grado di esposizione delle aziende e degli enti con cui collaborano per costruire una strategia di difesa. Un antico insegnamento strategico dice che per difendersi dal nemico, l’attacker, è necessario conoscerlo e comprendere come potrebbe attaccarci ( L’arte della Guerra — Sun Tzu). E’ quindi saggio conoscere e comprendere le strategie e le tecniche del nostro avversario per contrastarlo anticipandolo quando possibile. Prevenire le mosse del proprio avversario non ci assicura la vittoria ma ci da un bel vantaggio competitivo.
Rocco Sicilia 