Sei sulla pagina 1di 28

OSINT:

ANALISI DEI METADATI E


ACQUISIZIONE DA FONTI APERTE CON
FOCA E SHODAN

DANILO DE ROGATIS

Sommario
Disclaimer.............................................................................................................................2
Che cos lOSINT?..............................................................................................................3
Conosci il tuo nemico......................................................................................................4
Fear the FOCA! ................................................................................................................5
Case Study...........................................................................................................................7
Notebook System Configuration.....................................................................................13
Memory Module Configuration........................................................................................14
Network Discovery...........................................................................................................16
FOCA e Shodan..............................................................................................................22
Web-o-graphy.....................................................................................................................27

Disclaimer
Le informazioni e i dati riportati nel presente documento sono da intendersi a fini esclusivamente
didattici e sono stati raccolti sul Web. L'autore, nel ricordare che l'accesso abusivo a sistemi
informatici un reato penale (art. 615-ter c.p.p.), declina ogni responsabilit in merito all'utilizzo di
tali dati da parte di terzi per fini illegali.

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 2 di 28

Che cos lOSINT?


Nell'ottobre 2010 abbiamo assistito alla pubblicazione, attraverso il sito di WikiLeaks, di un'ingente
rassegna di documenti riservati aventi ad oggetto l'operato del governo e della diplomazia
statunitense nel mondo. Si tratta, stando a WikiLeaks stessa, della diffusione non autorizzata di
251.287 documenti contenenti informazioni confidenziali inviate da 274 ambasciate americane in
tutto il mondo al dipartimento di Stato degli Stati Uniti a Washington.
Qualche mese dopo (febbraio 2011), si apprese del piano della HBGary Federal (un'azienda che
vendeva servizi di Information Security al Governo degli Stati Uniti) finalizzato a spazzare via
WikiLeaks. Il piano venne fuori dopo le dichiarazioni del CEO di HBGary Federal, Aaron Barr, il
quale annunci pubblicamente che la sua azienda era riuscita ad infiltrarsi in Anonymous, la
famosa organizzazione di cyber-attivisti responsabile di svariate azioni (Operation Titstorm,
Youtube Porn Day, etc.).
Anonymous reag realizzando il defacement del sito web di HBGary Federal, cancellando file,
negando l'accesso al sistema telefonico aziendale e acquisendo pi di 68.000 e-mail dal sistema di
posta elettronica. Le e-mail trafugate rivelarono reports e presentazioni tra cui ce n'era una
intitolata "The Wikileaks Threat", realizzata da HBGary Federal in collaborazione con due altre
aziende di data intelligence per conto di Bank of America. La presentazione, oltre a contenere una
lista di sostenitori di WikiLeaks, definiva un vero e proprio piano di attacco per cancellare il sito di
WikiLeaks dalla faccia della Terra.
La vicenda ha alimentato ancora una volta l'annoso dibattito sulla questione delle informazioni rese
disponibili sul Web a causa di vulnerabilit e misconfigurations o semplicemente reperite grazie a
specifici strumenti software che individuano e sfruttano queste vulnerabilit: si tratta di fonti Open
Source oppure no?
La risposta a questa domanda per esula dagli scopi di questo documento, il cui obiettivo
principale invece quello di descrivere l'utilizzo di due potenti tools software in grado di
raccogliere, analizzare e correlare informazioni disponibili in qualche modo sul Web, esattamente
secondo la metodologia definita OSINT.
OSINT l'acronimo di Open Source INTelligence (intelligence dalle fonti aperte) ed definita
congiuntamente sia dal Dipartimento della Difesa degli Stati Uniti (DoD) sia dal Direttore
dell'intelligence nazionale come "prodotta dalle informazioni pubblicamente disponibili che sono
raccolte, sfruttate e diffuse in modo tempestivo presso un pubblico appropriato allo scopo di
soddisfare uno specifico requisito di intelligence.
In sostanza l'OSINT si configura come un'attivit di raccolta, analisi e correlazione di informazioni
mediante la consultazione di fonti di pubblico accesso, che possono essere:

Mezzi di comunicazione giornali, riviste, televisione, radio e siti web.

Dati pubblici rapporti dei governi, piani finanziari, dati demografici, dibattiti legislativi,
conferenze stampa, discorsi, avvisi aeronautici e marittimi.
Osservazioni dirette fotografie di piloti amatoriali, ascolto di conversazioni radio e
osservazione di fotografie satellitari. La diffusione di fotografie satellitari, spesso in alta
risoluzione, sulla rete (ad esempio Google Earth) ha esteso la possibilit di Open source
intelligence anche per aree che prima erano disponibili solo alle maggiori agenzie di
spionaggio.
Professionisti e studiosi conferenze, simposi, lezioni universitarie, associazioni
professionali e pubblicazioni scientifiche.
iinformazioni geospaziali - copie materiali o digitali di mappe, atlanti, repertori geografici,
progetti di porto, dati gravitazionali, aeronautici, nautici, ambientali, foto aeree, e cos via.

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 3 di 28

Fino a poco tempo fa l'attivit di intelligence era quasi completamente appannaggio delle agenzie
di informazione, come la CIA (Central Intelligence Agency) negli USA e il - GRU (
, glavnoe razvedyvatel'noe upravlenie) ovvero il Direttorato
principale per l'informazione, in Russia.
Oggi, invece, lo sviluppo dei sistemi informativi e dei sistemi di comunicazione tipicamente usati
nel Web ha fatto s che venisse resa disponibile una mole smisurata di dati che devono per
essere raccolti, raggruppati, misurati e, infine, analizzati.
Fare OSINT, quindi, non significa dover raccogliere tutte le informazioni a disposizione, ma
effettuare una raccolta mirata e, successivamente, un'attivit di analisi e correlazione dei
contenuti presenti in fonti liberamente accessibili (Open Sources) e sufficientemente attendibili.

Conosci il tuo nemico...


Se fosse vissuto ai giorni nostri, probabilmente Sun Tzu avrebbe riscritto il suo libro l'Arte della
Guerra, intitolandolo magari L'Arte del CyberWarfare. Sta di fatto che anche oggi, a oltre duemila
anni di distanza, il concetto espresso dal generale e filosofo cinese (544 a.C. 496 a.C.), circa la
necessit di conoscere bene il proprio nemico (e se stessi) e che oggi chiameremmo information
gathering, attualissimo.
Oggi per possiamo fare information gathering senza scomodare la filosofia Taoista, ma
semplicemente usando la strategia OSINT e gli strumenti software che sono stati sviluppati e resi
disponibili in quest'ottica.
Come ben noto agli addetti ai lavori, esistono diversi tools in giro in grado di fare raccolta di
informazioni, molti dei quali sono specializzati per certi tipi di analisi. Basti pensare a Maltego,
oppure alla pletora di Google Dorks e alle applicazioni scritte per sfruttarli, come Goolag, nonch
a strumenti OSINT disponibili direttamente sul Web come Silobreaker.
Noi analizzeremo, in questo documento, il funzionamento di FOCA e di Shodan.
FOCA (Fingerprinting Organizations with Collected Archives) un prodotto di Informtica 64,
un'azienda spagnola guidata da Chema Alonso e Jos Palazn PALAKO, ripresentato alla
DEFCON 18 (in modo peraltro molto divertente) nella versione 2.5.
Noi prenderemo in esame la versione free di FOCA (attualmente giunta alla 2.6.1), che differisce
da quella Pro per l'integrazione con Crystal Reports, per una sezione dedicata alle vulnerabilit e
per la possibilit di ricercare eventuali backup all'interno delle directory trovate.
In ogni caso, possibile ottenere la versione Pro partecipando ad un seminario formativo online,
erogato sia in lingua inglese che spagnola, al costo di 100 euro (pi IVA).
Esiste anche una versione di FOCA utilizzabile dal Web, con la limitazione dell'upload di un file per
volta.
Shodan invece un motore di ricerca particolare, poich focalizzato sulla ricerca di dispositivi
hardware esposti sul Web per via di una qualche vulnerabilit (default password, credenziali
annunciate nel banner del device, web server senza autenticazione e cos via). E' possibile ad
esempio cercare routers, switches, webcams, telefoni e centralini VoIP, ma anche iPhones,
Access Points, VPN Concentrators e perfino sistemi SCADA.
Shodan, inoltre, perfettamente integrato con FOCA, da cui pu essere direttamente invocato.
L'unica limitazione nel numero di risultati delle query, comunque superabile acquistando crediti
attraverso un piccolo contributo economico. D'altronde si sa che anche il modello di business del
Free Software (attenzione a non confonderlo con l'Open Source, pena l'ira di Richard Stallman) sta

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 4 di 28

cambiando. Il prodotto infatti viene sempre pi spesso rilasciato gratuitamente con il 90% delle
funzioni core abilitate e riservando quel 10% alle funzioni che forniscono quel plus che pu
risultare molto utile a chi lo utilizza a scopi professionali o di ricerca, ottenibile generalmente
mediante un piccolo contributo economico.

Fear the FOCA!


FOCA principalmente un motore per l'estrazione di metadati. I metadati sono dati che
descrivono altri dati, ovvero informazioni aggiuntive che vengono registrate, molto spesso
automaticamente, all'interno dei documenti che ognuno di noi produce durante la propria attivit
quotidiana. Queste informazioni aggiuntive descrivono una serie di propriet, che variano a
seconda del tipo di documento e possono comprendere ad esempio la data di creazione e di
modifica, l'autore (e relativa casella e-mail), il percorso locale del documento, l'applicazione con cui
stato generato, ma anche le coordinate GPS, ad esempio nel caso di foto digitali.
L'ultima versione di FOCA (la 2.6.1) stata dotata di una serie di enhancements che includono:

Network discovery

Analisi ricorsiva degli URL

Information gathering

software recognition

DNS cache snooping

PTR record scanning

Integrazione con altri software (versione Pro) come Burp Proxy, Evilgrade

Integrazione con Shodan

Reportistica

I formati supportati sono molti ma possono essere riassunti come segue:

OpenOffice documents (sxw, sxc, sxi, odt, ods, odg, odp)

MS Office documents (doc, ppt, pps, xls, docx, pptx, ppsx, xlsx)

PDF documents (XMP, Extensible Metadata Platform, descrive i metadati associati al


documento PDF mediante il linguaggio XML ).

WordPerfect documents (wpd)

EPS documents.

Graphic documents.

EXIF (Exchangeable Image File Format, uno standard for lo scambio di informazioni
nei file contenenti immagini, soprattutto quelli che utilizzano la compressione JPEG)

XMP

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 5 di 28

Adobe Indesign (INDD), SVG (immagini vettoriali), SVGZ (immagini vettoriali compresse).

In Fig. 1 viene riportata la schermata di ricerca dei metadati di FOCA.

Fig. 1 la schermata iniziale per la ricerca dei metadati

E fin qui nulla di particolarmente sconvolgente, visto che in teoria l'estrazione di metadati si
potrebbe fare anche a manina o con altri tool. Il vero valore aggiunto di FOCA per sta, oltre che
nell'automazione, soprattutto nel motore inferenziale che consente di analizzare i metadati raccolti
ottenendo tutta una serie di informazioni che non sono direttamente esposte sul Web e che fanno
di FOCA un potente strumento di OSINT e Penetration Testing.
Di seguito sono elencate le informazioni che possibile trovare con FOCA:

Utenti:
Creatori e modificatori di documenti.
Utenti nei path (es. C:\Documents and Settings\User\miofile oppure /home/danilo).

Sistemi Operativi.

Stampanti.

Path locali e remoti.

Informazioni di rete:
Stampanti condivise.
Condivisioni di rete (Shares).
Access Control Lists (ACL).

Server interni:

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 6 di 28

Nome NetBIOS.
Domain Name.
Indirizzo IP.

DBMS:
Nomi di tabelle e campi.

Informazioni su device (mobile devices, fotocamere).

Informazioni private e personali.

Log e histories.

Versioni software.

Case Study
Poich il miglior modo per imparare il funzionamento dei sistemi vederli lavorare, vediamo allora
FOCA all'opera. Creiamo quindi un nuovo progetto, specifichiamo il domain name oggetto del
nostro studio e lo chiamiamo nasa.gov (Fig. 2):

Fig. 2 schermata iniziale di FOCA

Cliccando sul pulsante Metadata, FOCA inizia a recuperare gli header di tutti i documenti che riesce
ad estrarre dal dominio specificato, ma senza scaricarli. La ricerca avviene su tre search engines:
Google, Bing ed Exalead (che per a volte d qualche errore). Dopo la conclusione della prima fase di
recupero degli header, possiamo decidere di effettuare il download solo di alcuni documenti o di
lanciare il comando download all che scarica tutti i documenti ritrovati. E' chiaro che pi documenti

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 7 di 28

riusciamo a recuperare, pi metadati avremo a disposizione; di conseguenza, l'analisi di FOCA sar pi


completa. Llanciamo quindi il comando download all (Fig.3) e andiamo a prendere un caff
nell'attesa che FOCA effettui il download dei documenti.

Fig. 3 download massivo di tutti i documenti ritrovati

Al termine dell'operazione (e comunque dopo il caff..), lanciamo il comando Extract all


documents metadata come mostrato in Fig. 4:

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 8 di 28

Fig. 4 Estrazione dei metadati da tutti i documenti ritrovati

Fig. 5 Risultato dell'estrazione dei metadati

Come si vede in Fig. 5, dopo la fase di estrazione dei metadati FOCA ha gi ottenuto tutta una

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 9 di 28

serie di informazioni come:

97 documenti (.doc)

145 utenti

250 cartelle

15 stampanti

8 pacchetti software

4 caselle e-mail

7 sistemi operativi

Ma solo l'inizio: ora passiamo alla fase di analisi e di inferenza vera e propria e lanciamo il
comando Analize metadata (Fig. 6):

Fig. 6 Analisi dei metadati di tutti i documenti ritrovati

Vediamo se FOCA ha trovato qualcosa di interessante. Ad esempio, troviamo un documento Word


il cui titolo Accessing Headquarters Printers On Windows 2000/XP from the Guest Network
(Fig. 7), che contiene anche la URL del portale di accesso (http://prgate.hq.nasa.gov) alla rete
dell'HQ della Nasa.

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 10 di 28

Fig. 7 Accessing Headquarters printers On Windows 2000/XP from the Guest Network

Effettuando una breve ricerca sul Web, per l'indirizzo specificato a quella URL non risponde
(effettivamente il documento del 2006), ma con un semplice dork di Google (site:nasa.gov
prgate) otteniamo comunque la URL del nuovo portale.
Continuando a spulciare tra i documenti, ne abbiamo trovato uno intitolato Hardware & Software
Baseline Suite (hqwsstdm.doc) che definisce le linee guida per l'approvvigionamento di hardware
e software destinato agli Headquarters della Nasa, in modo tale che rispettino una serie di requisiti,
legati soprattutto alla interoperabilit con i server e con gli altri desktop gi in esercizio presso le
varie sedi.
Nel documento indicata, per ogni sistema operativo ammesso, la configurazione di tutte le
applicazioni software ammesse, di cui un estratto riportato di seguito (per Mac OS X Leopard):

Table A-1 Macintosh OS X Leopard Core Desktop Software Load


Category

Anti-Virus
Backup
Broadcast
Messaging
Calendar /email
File Compression
File Extraction
File Viewers
Flow Charting
Forms
FTP Client

Application

Symantec AntiVirus
Tivoli Storage Manager

Entourage
Stuffit
Stuffit Expander
Preview (OS X)
NA
eForms
Fetch

Currently
Deployed
Version
10.2
5.5.0.6
NA
12.1.9
12.0
12.0
4.2
NA
4.2
5.3

Other
Supported
Version(s)

Y
Y
Y

NA
NA

NA
NA
NA

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Y
Y

Pag. 11 di 28

Table A-1 Macintosh OS X Leopard Core Desktop Software Load


Application

Category

Image File Editor


Internet
Configuration Util
Movie Player
Network Stack
Newsgroup Reader
Operating System
PDF Viewer
Presentations
Remote Access
Screen Saver
Software
Management
Sound and
Multimedia Players

NA
Core
QuickTime
core
Firefox
Apple OS
Acrobat Reader
Preview
PowerPoint
Citrix
Core
Remote Access (Core)

RealPlayer
Flash Player
Flip4Mac
Excel
Spreadsheet
Still Graphics Viewer QuickTime Player
Preview (OSX)
MS Office
Suite
Telnet Client
Utilities, Apple OS X

Web Browser
Web Editor
Web Player Plugins

Word Processor
x.500 Search

Core (OS X)
iCal
iChat
iSync
iTunes
Mail App
Safari (OS X)
Firefox
Word
Flash Player
QuickTime
RealPlayer
Word
Any Browser

Currently
Deployed
Version

Other
Supported
Version(s)

NA

NA

7.6.1
NA
3.0.13
10.5.5
9.1.3 Intel

Y
NA
Y
Y
Y

9.0.0

12.1.9
10.0.0.600

Y
Y
Y

NA

11.0.1
11.1
2.2.1.11
12.1.9
7.6.1
4.1
12.1.9
(2008)
3.0.8
4.0.8
3.0.2
8.6.1
3.6
4.0.3
3.0.13
12.1.9
11.1
7.6.1
11.0.1

Y
Y
Y

Y
Y

NA

NA

NA

12.1.9

Y
Y
Y

(Available via HQ Homepage)

Oppure, la configurazione hardware del notebook (con tanto di dettagli contrattuali e firma del
Direttore Operations):

Contractor: NASA HQPrime: LM Government Services, Inc.


Quarter: Q45-January 10Prime Contract Number: NAS5-98145
Platform: Mac Laptop
System: MacBook Pro
Alterion Performance Profile Ranking: 100%
Date of Alterion Certification: 4
January 2010
Alterion ID: A090619001NBCertification Expires: 31 March 2010

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 12 di 28

Notebook System Configuration

Item
System Dimensions

Mfg /Type
Apple

Weight (with AC adapter)

Apple

Motherboard
BIOS Version/Date
CPU Type & speed
LCD Screen
Size
Standard Resolution
Response Time
Video Display Adapter
Video
Display
Driver
(version & date)
Hard Disk Size
Access Time
Spindle RPM
CDROM and/or DVD

Apple
Apple
Intel
Apple

Front Side Bus


Intel Core 2 Duo
15.4 inch (diagonal),
1440x900 resolution,
TFT widescreen

2.8 GHz

nVidia
Apple

GeForce 9600M GT
N/A

DVI

Apple

SATA

500 GB

Network Interface:
Ethernet (wired)
Ethernet Wireless
Bluetooth
Modem
Ports and Interfaces
Parallel
Serial
USB
Firewire
Keyboard

Apple

Mouse/Integrated pointer
Power Supply

Apple
Apple

Sound Card
Full or Half Duplex
Speaker(s)

Apple

Apple

Apple

Apple

Apple

Number/ Version
MB986LL/A

SuperDrive (DVDR/CD-RW

Size/ Speed
Height: .95 inches
(2.41cm)
Width: 14.35 inches
(36.4cm)
Depth: 9.82 inches
(24.9cm)
Weight: 5.5 pounds
with
battery
and
optical drive installed
1066 MHz

5400 RPM
8X Super Drive

10/100/1000 BASE-T
54-Mbps AirPort Card

10/100/1000
54-Mbps 802.11g

56K V.92 modem


One FireWire 800
Two USB 2.0 ports
Express Card/34 slot

56K

Built-in full-size
keyboard with 78 keys
Solid-state trackpad
85WPower adapter
with cable
management system
60-watt-hour lithiumion battery
Combined optical
digital input/output
built-in stereo speakers

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 13 di 28

Item
Headset/Microphone

Mfg /Type
Apple

Carry Case

Targus

Number/ Version
Audio line in (minijack)
Headphone out (minijack)
Internal omnidirectional microphone
Nylon carrying Case

Size/ Speed

Memory Module Configuration

Item
RAM
Cache
Video
RAM

Mfg / #
Slots
Apple
Apple
nVidia

Quantity
2
1

MB
(Total)
4.0GB
6.0MB

512MB

Speed

Type

1066Mhz
1066MHz

DDR3
L2
ECC
GDD
R3

I hereby certify the rating listed above as the official Alterion Performance Profile Ranking, based
upon the January 2, 2010 Market Survey. This rating is valid until March 31, 2010.
(Segue firma del Direttore Operations)

Last but not least, abbiamo trovato un altro documento (faq_sna.doc) che descrive le modalit di
accesso al Secure Nomadic Access (SNA) che, come si legge nel documento ...is a service that
allows users to access resources on the NASA Headquarters network remotely using a Web browser . Dal
documento ricaviamo altre informazioni interessanti, come:

la URL del portale di accesso riservato (https://sna.hq.nasa.gov), mostrato in Fig. 8.

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 14 di 28

Fig. 8 Il portale per il Secure Nomadic Access-NG2

I servizi accessibili via SNA:


HQ Intranet Web pages
Network (NT) file shares
Outlook Web Access (OWA) e-mail and calendar services
WebTADS
Travel Manager

I requisiti per l'accesso:


A SecurID token (del tipo RSA OTP)
Your PIN
JavaScript enabled in your browser
Cookies turned on in your browser
Access to the Internet from the computer you are using.
Your HQ NT username and password for accessing your network files
Your Outlook/Entourage username and password for accessing e-mail and calendar

Oppure potrebbe interessare la rubrica (roster.doc) contenente tutti gli interni (e i fax) dei
dipendenti assegnati all' Applied Engineering and Technology Directorate/Code 500: potrebbe
risultare utile ad esempio per attacchi di social engineering.

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 15 di 28

Network Discovery
Uno dei punti di forza di FOCA, come abbiamo gi ricordato, certamente la capacit di
correlazione del proprio motore inferenziale. Dalla versione 2.5 sono state aggiunte inoltre alcune
funzionalit veramente interessanti come la Network Discovery. Vediamo il
funzionamento
dell'algoritmo nel dettaglio, supponendo di avere un generico dominio del tipo:
http://host1.sub.domain.com/~user/dir/file.doc
1)
2)
3)
4)
5)
6)
7)

richiesta http al Web server


GET Banner HTTP
domain.com un dominio
ricerca record NS, MX, SPF per domain.com
sub.domain.com un sottodomino
ricerca record NS, MX, SPF per sub.domain.com
Prova tutti I server ancora non verificati su tutti I nuovi domini:
1. server01.domain.com
2. server02.domain.com
8) host1.sub.domain.com un hostname
9) Prova la DNS Prediction(host1) su tutti I domini
10) Prova Google Sets(host1) su tutti I domini
11) Risolvi l'IP
12) Get HTTP Banner di http://<indirizzo IP>
13) Usa Bing Ip:<indirizzo IP> per trovare tutti I domini che condividono quell'IP
14) Ripeti per ogni nuovo dominio
15) Connettiti ad un nameserver interno (1 o tutti)
16) Effettua un PTR Scan alla ricerca di server interni
17) Per ogni nuovo IP scoperto prova Bing Ip:<indirizzo IP> ricorsivamente
18) ~user (probabilmente) un utente
19) /, /~user/ e /~user/dir/ sono path
20) Prova il directory listing su tutti I path
21) Prova I metodi PUT, DELETE, TRACE in ogni path
22) Effttua un fingerprint del software utilizzando l'errore 404 (file not found)
23) Effettua un fingerprint del software sfruttando I messaggi di errore dell'applicazione
24) Prova dei nomi comuni di DNS su tutti I domini
25) Tenta un Zone Transfer su tutti I nameserver
26) Cerca qualsiasi URL indicizzato dai motori di ricerca utilizzando l'hostname
27) Scarica il file
28) Estrai I metadati, le informazioni nascoste e I dati persi
29) Ordina tutte queste informazioni.
30) Fine.
Utilizzando questo algoritmo, FOCA ha trovato 85 client e ben 100 server appartenenti alla Intranet
della Nasa, come mostrato nelle figure 9 e 10. Notiamo che la maggior parte dei client trovati sono
macchine Windows (ma c' anche qualche Mac) di cui FOCA individua il nome host (es.
PC_Administrator), l'utente (Administrator), il sistema operativo (Windows 2003), le cartelle
remote, il software applicativo utilizzato (MS Office) e, ovviamente, il percorso da cui il file stato
scaricato.

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 16 di 28

Fig. 9 Client trovati da FOCA nella Intranet della Nasa

Per quanto riguarda i server invece, abbiamo ottenuto il nome a dominio, l'indirizzo IP, gli utenti, i
servizi (e quindi il ruolo del server) e le cartelle. Il tipo e la quantit di informazioni che FOCA riesce
a trovare variano ovviamente da server a server e dipendono dal successo delle varie attivit di
fingerprinting. In Fig. 10 mostrato un server FTP (ilrs.gsfc.nasa.gov), con IP 128.183.20.84 che
ha risposto positivamente alla richiesta ed infatti raggiungibile dal Web, come si vede in Fig. 11.

Fig. 10 Server trovati da FOCA nella Intranet della Nasa

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 17 di 28

Fig. 11 Accesso FTP

Ma andiamo avanti. Accedendo al pannello Domain Enumeration (Fig. 12) possibile compiere
una serie di ulteriori operazioni sui DNS e sui motori di ricerca (Bing e Google) per scovare ulteriori
sottodomini, interrogando ad esempio i record MX, NS e SPF oppure tentando una reverse
resolution (dall'IP ai nomi a dominio) mediante PTR Scanning o ancora tentando un trasferimento
di zona DNS, che per illegale in alcuni Paesi, quindi non lo abbiamo effettuato.

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 18 di 28

Fig. 12 Domain Enumeration

Nel nostro caso FOCA ha trovato ulteriori sottodomini che non erano venuti fuori durante la prima
fase di analisi, tra cui (solo per citarne alcuni):

alerts.nasa.gov
as.nasa.gov
at.nasa.gov a sua volta avente i segg. Sottodomini:
atmsadc01.at.nasa.gov
atmsadc02.at.nasa.gov
atmsadc03.at.nasa.gov
atmsadc04.at.nasa.gov
ATMSCMS04.at.nasa.gov
autodiscover.nasa.gov
citrix.nasa.gov
dir.nasa.gov
directory.nasa.gov

ma anche i name server:

ns1.hst.nasa.gov
ns1.nasa.gov
ns1.nssc.nasa.gov
ns2.hst.nasa.gov
ns2.nasa.gov
ns2.nssc.nasa.gov
ns3.nasa.gov

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 19 di 28

e che dire di x500root.nasa.gov ? Probabilmente si tratta della Root Certification Authority che
rilascia i certificati digitali a tutta la Nasa.
Il processo di discovery continuava ma, per motivi di tempo, lo abbiamo fermato a quota 1240
sottodomini individuati e 1417 server. Di questi ovviamente si pu tentare il fingerprinting per
ottenere ulteriori informazioni e il ciclo pu continuare.
Grazie ad un menu contestuale, su ogni sottodominio possibile tentare una serie di altre
operazioni, come ad esempio l'HTTP Inspection (Fig. 13), che prevede la possibilit di effettuare
ricerche un po' pi invasive, come la ricerca di OpenFolders, cio di cartelle che, in sostanza,
permettano il directory listing. Oppure possiamo verificare se il server ammetta operazioni
generalmente non consentite a terzi, come ad esempio i metodi PUT, DELETE del protocollo FTP.
Anche in questo caso, per ovvi motivi non siamo andati avanti ad effettuare test dei metodi PUT,
DELETE, etc.

Fig. 13 HTTP Inspection

Accedendo invece al pannello Software Recognition (Fig. 14), possibile compiere quattro azioni
di software fingerprinting:

Fprinting HTTP: Webserver fingerprinting attraverso il GET dell'HTTP banner, eventuali


errori 404 e risposte ASPX.

Fprinting SMTP: basato sul banner annunciato dal server SMTP.

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 20 di 28

Tech Recognition: cerca mediante Google file con estensioni:

asp
aspx
asmx
do
php
nsf
jsp
swf
exe
pl
cfm
cgi

Fprinting Shodan

Fig. 14 Software Recognition

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 21 di 28

FOCA e Shodan
Soffermiamoci su quest'ultima tecnica, denominata Fprinting Shodan, che consente di effettuare
il fingerprinting di un Webserver utilizzando il suo banner, invocando Shodan
(http://www.shodanhq.com) direttamente da FOCA.
Come gi accennato all'inizio del documento, Shodan sostanzialmente un motore di ricerca
particolare che interroga specificamente i servizi (TCP e UDP) esposti sul web e ne cattura il
banner risultante. Utilizzando delle query mirate, Shodan effettua il fingerprinting di qualsiasi
dispositivo abbia un webserver onboard e sia raggiungibile tramite un IP pubblico. Attraverso
questa tecnica possibile quindi individuare server, stampanti, router, switch, webcam, access
point e chi pi ne ha pi ne metta.
Le query possono essere inserite nella barra Search del sito web di Shodan oppure possono
essere costruite utilizzando la loro sintassi. Ad esempio, possibile personalizzare le query
cercando per nazione (es. country:IT) e magari raffinando la ricerca con la citt (city:Rome) e
filtrando per tipo di servizio (HTTP, FTP, SSH, SNMP, SIP). In Fig. 15 visibile un semplice
esempio di query effettuata dal sito di Shodan:

Fig. 15 I risultati di una query su Shodan

Di seguito sono elencati alcuni filtri che consentono di effettuare basiche operazioni di ricerca:

country: filtra i risultati per nazione;


hostname: filtra i risultati utilizzando un testo specifico nell'hostname o nel dominio;

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 22 di 28

net: filtra i risultati sulla base di un range o di una sottorete IP;


os: creca uno specifico sistema operativo;
port: cerca solo un servizio specifico

Alcuni esempi:
http://www.shodanhq.com/q?=apache+country:IT
Cerca tutti i webserver Apache in Italia. Oppure:
http://www.shodanhq.com/?q=admin+1234
Cerca tutti i dispositivi che annunciano nel proprio banner la coppia di credenziali di default
admin/1234. Esiste poi sul sito di Shodan una Search Directory contenente una serie di query
gi pronte (che vengono aggiunte direttamente dagli utenti), come ad esempio:
http://www.shodanhq.com/?q="default+password
che tira fuori tutti i dispositivi che annunciano nel proprio banner la password di default e che
spesso viene lasciata invariata dagli installatori. Oppure:
http://www.shodanhq.com/q?=cisco-ios+last-modified
che cerca tutti i dispositivi Cisco (raggiungibili da Internet) che non richiedono alcuna
autenticazione. Seguono alcune schermate esplicative (Fig. 16-19):

Fig. 16 Un apparato Cisco senza password impostata

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 23 di 28

Fig. 17 Cambiamo la passphrase all'Access Point?

Fig. 18 Benvenuto sul tuo telefono

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 24 di 28

Fig. 19 Una funzionalit interessante

Dicevamo quindi che Shodan integrato in FOCA ed invocabile da quest'utlimo utilizzando il


relativo comando dal menu contestuale, come mostrato in Fig. 20:

Fig. 20 Ricerca di un IP da FOCA mediante Shodan

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 25 di 28

L'esito della ricerca tramite Shodan consente quindi di catturare, direttamente da FOCA, il banner
di un webserver avente un certo indirizzo IP ed effettuarne quindi il fingerprinting.

Conclusioni
Alla luce di quanto emerso e a parere di chi scrive, l'utilizzo di strumenti come FOCA e Shodan in
ottica OSINT o Penetration test pu essere certamente consigliato, non tanto per automatizzare
una serie di ricerche che - in linea di principio - potrebbero essere fatte anche manualmente, ma
soprattutto per le enormi possibilit offerte in termini di information gathering, analisi e correlazione
dei dati.
Speriamo quindi di aver dimostrato come sia facile, attraverso l'utilizzo di questi strumenti, ottenere
documenti e informazioni a volte riservati, scoprire servizi, ricavare informazioni sulle reti aziendali
e molto altro.
Certamente un primo test potrebbe essere effettuato sul dominio web della propria organizzazione,
al fine di verificare se vengono fuori o meno documenti e relativi metadati.
Di conseguenza, come abbiamo visto durante la trattazione, potrebbero venir fuori molte altre
informazioni che certamente non vorremmo esporre.
Il consiglio quindi di farlo...prima che lo facciano gli altri!

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 26 di 28

Sources
Wikileaks e il cablegate del 2010:
http://wikileaks.org/
http://wikileaks.org/cablegate.html
http://it.wikipedia.org/wiki/WikiLeaks#Il_cablegate_2010
La vicenda HBGate Federal vs. Anonymous:
http://hackingexpose.blogspot.com/2011/03/anonymous-claims-hbgary-federal-boss.html
http://en.wikipedia.org/wiki/Anonymous_%28group%29#Attack_on_HBGary_Federal
http://en.wikipedia.org/wiki/Anonymous_%28group%29
OSINT:
http://it.wikipedia.org/wiki/OSINT
http://www.oss.net/dynamaster/file_archive/030201/254633082e785f8fe44f546bf5c9f1ed/NATO%20OSINT
%20Reader%20FINAL%2011OCT02.pdf
https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csistudies/studies/vol48no3/article05.html
http://www.osint-wm.org/

Google Earth:
http://www.google.com/intl/it/earth/index.html
Maltego:
http://www.paterva.com/web5/
Google Hacking database, Google Dorks, Goolag:
http://www.hackersforcharity.org/ghdb/
http://www.exploit-db.com/google-dorks/
http://www.asabox.com/goolag/index_en.htm
Silobreaker:
http://www.silobreaker.com/
FOCA:

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 27 di 28

http://www.informatica64.com/DownloadFOCA/
https://media.defcon.org/dc-18/video/DEF%20CON%2018%20Hacking%20Conference%20Presentation
%20By%20-%20Chema%20Alonso%20and%20Jose%20Palazon%20-%20FOCA2%20The%20FOCA
%20Strikes%20Back%20-%20Video.m4v

Shodan:
http://www.shodanhq.com/
https://media.defcon.org/dc-18/video/DEF%20CON%2018%20Hacking%20Conference%20Presentation
%20By%20-%20Michael%20Schearer%20-%20SHODAN%20for%20Penetration%20Testers%20%20Video.m4v

OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis

Pag. 28 di 28