DANILO DE ROGATIS
Sommario
Disclaimer.............................................................................................................................2
Che cos lOSINT?..............................................................................................................3
Conosci il tuo nemico......................................................................................................4
Fear the FOCA! ................................................................................................................5
Case Study...........................................................................................................................7
Notebook System Configuration.....................................................................................13
Memory Module Configuration........................................................................................14
Network Discovery...........................................................................................................16
FOCA e Shodan..............................................................................................................22
Web-o-graphy.....................................................................................................................27
Disclaimer
Le informazioni e i dati riportati nel presente documento sono da intendersi a fini esclusivamente
didattici e sono stati raccolti sul Web. L'autore, nel ricordare che l'accesso abusivo a sistemi
informatici un reato penale (art. 615-ter c.p.p.), declina ogni responsabilit in merito all'utilizzo di
tali dati da parte di terzi per fini illegali.
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 2 di 28
Dati pubblici rapporti dei governi, piani finanziari, dati demografici, dibattiti legislativi,
conferenze stampa, discorsi, avvisi aeronautici e marittimi.
Osservazioni dirette fotografie di piloti amatoriali, ascolto di conversazioni radio e
osservazione di fotografie satellitari. La diffusione di fotografie satellitari, spesso in alta
risoluzione, sulla rete (ad esempio Google Earth) ha esteso la possibilit di Open source
intelligence anche per aree che prima erano disponibili solo alle maggiori agenzie di
spionaggio.
Professionisti e studiosi conferenze, simposi, lezioni universitarie, associazioni
professionali e pubblicazioni scientifiche.
iinformazioni geospaziali - copie materiali o digitali di mappe, atlanti, repertori geografici,
progetti di porto, dati gravitazionali, aeronautici, nautici, ambientali, foto aeree, e cos via.
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 3 di 28
Fino a poco tempo fa l'attivit di intelligence era quasi completamente appannaggio delle agenzie
di informazione, come la CIA (Central Intelligence Agency) negli USA e il - GRU (
, glavnoe razvedyvatel'noe upravlenie) ovvero il Direttorato
principale per l'informazione, in Russia.
Oggi, invece, lo sviluppo dei sistemi informativi e dei sistemi di comunicazione tipicamente usati
nel Web ha fatto s che venisse resa disponibile una mole smisurata di dati che devono per
essere raccolti, raggruppati, misurati e, infine, analizzati.
Fare OSINT, quindi, non significa dover raccogliere tutte le informazioni a disposizione, ma
effettuare una raccolta mirata e, successivamente, un'attivit di analisi e correlazione dei
contenuti presenti in fonti liberamente accessibili (Open Sources) e sufficientemente attendibili.
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 4 di 28
cambiando. Il prodotto infatti viene sempre pi spesso rilasciato gratuitamente con il 90% delle
funzioni core abilitate e riservando quel 10% alle funzioni che forniscono quel plus che pu
risultare molto utile a chi lo utilizza a scopi professionali o di ricerca, ottenibile generalmente
mediante un piccolo contributo economico.
Network discovery
Information gathering
software recognition
Integrazione con altri software (versione Pro) come Burp Proxy, Evilgrade
Reportistica
MS Office documents (doc, ppt, pps, xls, docx, pptx, ppsx, xlsx)
EPS documents.
Graphic documents.
EXIF (Exchangeable Image File Format, uno standard for lo scambio di informazioni
nei file contenenti immagini, soprattutto quelli che utilizzano la compressione JPEG)
XMP
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 5 di 28
Adobe Indesign (INDD), SVG (immagini vettoriali), SVGZ (immagini vettoriali compresse).
E fin qui nulla di particolarmente sconvolgente, visto che in teoria l'estrazione di metadati si
potrebbe fare anche a manina o con altri tool. Il vero valore aggiunto di FOCA per sta, oltre che
nell'automazione, soprattutto nel motore inferenziale che consente di analizzare i metadati raccolti
ottenendo tutta una serie di informazioni che non sono direttamente esposte sul Web e che fanno
di FOCA un potente strumento di OSINT e Penetration Testing.
Di seguito sono elencate le informazioni che possibile trovare con FOCA:
Utenti:
Creatori e modificatori di documenti.
Utenti nei path (es. C:\Documents and Settings\User\miofile oppure /home/danilo).
Sistemi Operativi.
Stampanti.
Informazioni di rete:
Stampanti condivise.
Condivisioni di rete (Shares).
Access Control Lists (ACL).
Server interni:
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 6 di 28
Nome NetBIOS.
Domain Name.
Indirizzo IP.
DBMS:
Nomi di tabelle e campi.
Log e histories.
Versioni software.
Case Study
Poich il miglior modo per imparare il funzionamento dei sistemi vederli lavorare, vediamo allora
FOCA all'opera. Creiamo quindi un nuovo progetto, specifichiamo il domain name oggetto del
nostro studio e lo chiamiamo nasa.gov (Fig. 2):
Cliccando sul pulsante Metadata, FOCA inizia a recuperare gli header di tutti i documenti che riesce
ad estrarre dal dominio specificato, ma senza scaricarli. La ricerca avviene su tre search engines:
Google, Bing ed Exalead (che per a volte d qualche errore). Dopo la conclusione della prima fase di
recupero degli header, possiamo decidere di effettuare il download solo di alcuni documenti o di
lanciare il comando download all che scarica tutti i documenti ritrovati. E' chiaro che pi documenti
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 7 di 28
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 8 di 28
Come si vede in Fig. 5, dopo la fase di estrazione dei metadati FOCA ha gi ottenuto tutta una
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 9 di 28
97 documenti (.doc)
145 utenti
250 cartelle
15 stampanti
8 pacchetti software
4 caselle e-mail
7 sistemi operativi
Ma solo l'inizio: ora passiamo alla fase di analisi e di inferenza vera e propria e lanciamo il
comando Analize metadata (Fig. 6):
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 10 di 28
Fig. 7 Accessing Headquarters printers On Windows 2000/XP from the Guest Network
Effettuando una breve ricerca sul Web, per l'indirizzo specificato a quella URL non risponde
(effettivamente il documento del 2006), ma con un semplice dork di Google (site:nasa.gov
prgate) otteniamo comunque la URL del nuovo portale.
Continuando a spulciare tra i documenti, ne abbiamo trovato uno intitolato Hardware & Software
Baseline Suite (hqwsstdm.doc) che definisce le linee guida per l'approvvigionamento di hardware
e software destinato agli Headquarters della Nasa, in modo tale che rispettino una serie di requisiti,
legati soprattutto alla interoperabilit con i server e con gli altri desktop gi in esercizio presso le
varie sedi.
Nel documento indicata, per ogni sistema operativo ammesso, la configurazione di tutte le
applicazioni software ammesse, di cui un estratto riportato di seguito (per Mac OS X Leopard):
Anti-Virus
Backup
Broadcast
Messaging
Calendar /email
File Compression
File Extraction
File Viewers
Flow Charting
Forms
FTP Client
Application
Symantec AntiVirus
Tivoli Storage Manager
Entourage
Stuffit
Stuffit Expander
Preview (OS X)
NA
eForms
Fetch
Currently
Deployed
Version
10.2
5.5.0.6
NA
12.1.9
12.0
12.0
4.2
NA
4.2
5.3
Other
Supported
Version(s)
Y
Y
Y
NA
NA
NA
NA
NA
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Y
Y
Pag. 11 di 28
Category
NA
Core
QuickTime
core
Firefox
Apple OS
Acrobat Reader
Preview
PowerPoint
Citrix
Core
Remote Access (Core)
RealPlayer
Flash Player
Flip4Mac
Excel
Spreadsheet
Still Graphics Viewer QuickTime Player
Preview (OSX)
MS Office
Suite
Telnet Client
Utilities, Apple OS X
Web Browser
Web Editor
Web Player Plugins
Word Processor
x.500 Search
Core (OS X)
iCal
iChat
iSync
iTunes
Mail App
Safari (OS X)
Firefox
Word
Flash Player
QuickTime
RealPlayer
Word
Any Browser
Currently
Deployed
Version
Other
Supported
Version(s)
NA
NA
7.6.1
NA
3.0.13
10.5.5
9.1.3 Intel
Y
NA
Y
Y
Y
9.0.0
12.1.9
10.0.0.600
Y
Y
Y
NA
11.0.1
11.1
2.2.1.11
12.1.9
7.6.1
4.1
12.1.9
(2008)
3.0.8
4.0.8
3.0.2
8.6.1
3.6
4.0.3
3.0.13
12.1.9
11.1
7.6.1
11.0.1
Y
Y
Y
Y
Y
NA
NA
NA
12.1.9
Y
Y
Y
Oppure, la configurazione hardware del notebook (con tanto di dettagli contrattuali e firma del
Direttore Operations):
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 12 di 28
Item
System Dimensions
Mfg /Type
Apple
Apple
Motherboard
BIOS Version/Date
CPU Type & speed
LCD Screen
Size
Standard Resolution
Response Time
Video Display Adapter
Video
Display
Driver
(version & date)
Hard Disk Size
Access Time
Spindle RPM
CDROM and/or DVD
Apple
Apple
Intel
Apple
2.8 GHz
nVidia
Apple
GeForce 9600M GT
N/A
DVI
Apple
SATA
500 GB
Network Interface:
Ethernet (wired)
Ethernet Wireless
Bluetooth
Modem
Ports and Interfaces
Parallel
Serial
USB
Firewire
Keyboard
Apple
Mouse/Integrated pointer
Power Supply
Apple
Apple
Sound Card
Full or Half Duplex
Speaker(s)
Apple
Apple
Apple
Apple
Apple
Number/ Version
MB986LL/A
SuperDrive (DVDR/CD-RW
Size/ Speed
Height: .95 inches
(2.41cm)
Width: 14.35 inches
(36.4cm)
Depth: 9.82 inches
(24.9cm)
Weight: 5.5 pounds
with
battery
and
optical drive installed
1066 MHz
5400 RPM
8X Super Drive
10/100/1000 BASE-T
54-Mbps AirPort Card
10/100/1000
54-Mbps 802.11g
56K
Built-in full-size
keyboard with 78 keys
Solid-state trackpad
85WPower adapter
with cable
management system
60-watt-hour lithiumion battery
Combined optical
digital input/output
built-in stereo speakers
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 13 di 28
Item
Headset/Microphone
Mfg /Type
Apple
Carry Case
Targus
Number/ Version
Audio line in (minijack)
Headphone out (minijack)
Internal omnidirectional microphone
Nylon carrying Case
Size/ Speed
Item
RAM
Cache
Video
RAM
Mfg / #
Slots
Apple
Apple
nVidia
Quantity
2
1
MB
(Total)
4.0GB
6.0MB
512MB
Speed
Type
1066Mhz
1066MHz
DDR3
L2
ECC
GDD
R3
I hereby certify the rating listed above as the official Alterion Performance Profile Ranking, based
upon the January 2, 2010 Market Survey. This rating is valid until March 31, 2010.
(Segue firma del Direttore Operations)
Last but not least, abbiamo trovato un altro documento (faq_sna.doc) che descrive le modalit di
accesso al Secure Nomadic Access (SNA) che, come si legge nel documento ...is a service that
allows users to access resources on the NASA Headquarters network remotely using a Web browser . Dal
documento ricaviamo altre informazioni interessanti, come:
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 14 di 28
Oppure potrebbe interessare la rubrica (roster.doc) contenente tutti gli interni (e i fax) dei
dipendenti assegnati all' Applied Engineering and Technology Directorate/Code 500: potrebbe
risultare utile ad esempio per attacchi di social engineering.
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 15 di 28
Network Discovery
Uno dei punti di forza di FOCA, come abbiamo gi ricordato, certamente la capacit di
correlazione del proprio motore inferenziale. Dalla versione 2.5 sono state aggiunte inoltre alcune
funzionalit veramente interessanti come la Network Discovery. Vediamo il
funzionamento
dell'algoritmo nel dettaglio, supponendo di avere un generico dominio del tipo:
http://host1.sub.domain.com/~user/dir/file.doc
1)
2)
3)
4)
5)
6)
7)
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 16 di 28
Per quanto riguarda i server invece, abbiamo ottenuto il nome a dominio, l'indirizzo IP, gli utenti, i
servizi (e quindi il ruolo del server) e le cartelle. Il tipo e la quantit di informazioni che FOCA riesce
a trovare variano ovviamente da server a server e dipendono dal successo delle varie attivit di
fingerprinting. In Fig. 10 mostrato un server FTP (ilrs.gsfc.nasa.gov), con IP 128.183.20.84 che
ha risposto positivamente alla richiesta ed infatti raggiungibile dal Web, come si vede in Fig. 11.
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 17 di 28
Ma andiamo avanti. Accedendo al pannello Domain Enumeration (Fig. 12) possibile compiere
una serie di ulteriori operazioni sui DNS e sui motori di ricerca (Bing e Google) per scovare ulteriori
sottodomini, interrogando ad esempio i record MX, NS e SPF oppure tentando una reverse
resolution (dall'IP ai nomi a dominio) mediante PTR Scanning o ancora tentando un trasferimento
di zona DNS, che per illegale in alcuni Paesi, quindi non lo abbiamo effettuato.
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 18 di 28
Nel nostro caso FOCA ha trovato ulteriori sottodomini che non erano venuti fuori durante la prima
fase di analisi, tra cui (solo per citarne alcuni):
alerts.nasa.gov
as.nasa.gov
at.nasa.gov a sua volta avente i segg. Sottodomini:
atmsadc01.at.nasa.gov
atmsadc02.at.nasa.gov
atmsadc03.at.nasa.gov
atmsadc04.at.nasa.gov
ATMSCMS04.at.nasa.gov
autodiscover.nasa.gov
citrix.nasa.gov
dir.nasa.gov
directory.nasa.gov
ns1.hst.nasa.gov
ns1.nasa.gov
ns1.nssc.nasa.gov
ns2.hst.nasa.gov
ns2.nasa.gov
ns2.nssc.nasa.gov
ns3.nasa.gov
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 19 di 28
e che dire di x500root.nasa.gov ? Probabilmente si tratta della Root Certification Authority che
rilascia i certificati digitali a tutta la Nasa.
Il processo di discovery continuava ma, per motivi di tempo, lo abbiamo fermato a quota 1240
sottodomini individuati e 1417 server. Di questi ovviamente si pu tentare il fingerprinting per
ottenere ulteriori informazioni e il ciclo pu continuare.
Grazie ad un menu contestuale, su ogni sottodominio possibile tentare una serie di altre
operazioni, come ad esempio l'HTTP Inspection (Fig. 13), che prevede la possibilit di effettuare
ricerche un po' pi invasive, come la ricerca di OpenFolders, cio di cartelle che, in sostanza,
permettano il directory listing. Oppure possiamo verificare se il server ammetta operazioni
generalmente non consentite a terzi, come ad esempio i metodi PUT, DELETE del protocollo FTP.
Anche in questo caso, per ovvi motivi non siamo andati avanti ad effettuare test dei metodi PUT,
DELETE, etc.
Accedendo invece al pannello Software Recognition (Fig. 14), possibile compiere quattro azioni
di software fingerprinting:
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 20 di 28
asp
aspx
asmx
do
php
nsf
jsp
swf
exe
pl
cfm
cgi
Fprinting Shodan
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 21 di 28
FOCA e Shodan
Soffermiamoci su quest'ultima tecnica, denominata Fprinting Shodan, che consente di effettuare
il fingerprinting di un Webserver utilizzando il suo banner, invocando Shodan
(http://www.shodanhq.com) direttamente da FOCA.
Come gi accennato all'inizio del documento, Shodan sostanzialmente un motore di ricerca
particolare che interroga specificamente i servizi (TCP e UDP) esposti sul web e ne cattura il
banner risultante. Utilizzando delle query mirate, Shodan effettua il fingerprinting di qualsiasi
dispositivo abbia un webserver onboard e sia raggiungibile tramite un IP pubblico. Attraverso
questa tecnica possibile quindi individuare server, stampanti, router, switch, webcam, access
point e chi pi ne ha pi ne metta.
Le query possono essere inserite nella barra Search del sito web di Shodan oppure possono
essere costruite utilizzando la loro sintassi. Ad esempio, possibile personalizzare le query
cercando per nazione (es. country:IT) e magari raffinando la ricerca con la citt (city:Rome) e
filtrando per tipo di servizio (HTTP, FTP, SSH, SNMP, SIP). In Fig. 15 visibile un semplice
esempio di query effettuata dal sito di Shodan:
Di seguito sono elencati alcuni filtri che consentono di effettuare basiche operazioni di ricerca:
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 22 di 28
Alcuni esempi:
http://www.shodanhq.com/q?=apache+country:IT
Cerca tutti i webserver Apache in Italia. Oppure:
http://www.shodanhq.com/?q=admin+1234
Cerca tutti i dispositivi che annunciano nel proprio banner la coppia di credenziali di default
admin/1234. Esiste poi sul sito di Shodan una Search Directory contenente una serie di query
gi pronte (che vengono aggiunte direttamente dagli utenti), come ad esempio:
http://www.shodanhq.com/?q="default+password
che tira fuori tutti i dispositivi che annunciano nel proprio banner la password di default e che
spesso viene lasciata invariata dagli installatori. Oppure:
http://www.shodanhq.com/q?=cisco-ios+last-modified
che cerca tutti i dispositivi Cisco (raggiungibili da Internet) che non richiedono alcuna
autenticazione. Seguono alcune schermate esplicative (Fig. 16-19):
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 23 di 28
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 24 di 28
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 25 di 28
L'esito della ricerca tramite Shodan consente quindi di catturare, direttamente da FOCA, il banner
di un webserver avente un certo indirizzo IP ed effettuarne quindi il fingerprinting.
Conclusioni
Alla luce di quanto emerso e a parere di chi scrive, l'utilizzo di strumenti come FOCA e Shodan in
ottica OSINT o Penetration test pu essere certamente consigliato, non tanto per automatizzare
una serie di ricerche che - in linea di principio - potrebbero essere fatte anche manualmente, ma
soprattutto per le enormi possibilit offerte in termini di information gathering, analisi e correlazione
dei dati.
Speriamo quindi di aver dimostrato come sia facile, attraverso l'utilizzo di questi strumenti, ottenere
documenti e informazioni a volte riservati, scoprire servizi, ricavare informazioni sulle reti aziendali
e molto altro.
Certamente un primo test potrebbe essere effettuato sul dominio web della propria organizzazione,
al fine di verificare se vengono fuori o meno documenti e relativi metadati.
Di conseguenza, come abbiamo visto durante la trattazione, potrebbero venir fuori molte altre
informazioni che certamente non vorremmo esporre.
Il consiglio quindi di farlo...prima che lo facciano gli altri!
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 26 di 28
Sources
Wikileaks e il cablegate del 2010:
http://wikileaks.org/
http://wikileaks.org/cablegate.html
http://it.wikipedia.org/wiki/WikiLeaks#Il_cablegate_2010
La vicenda HBGate Federal vs. Anonymous:
http://hackingexpose.blogspot.com/2011/03/anonymous-claims-hbgary-federal-boss.html
http://en.wikipedia.org/wiki/Anonymous_%28group%29#Attack_on_HBGary_Federal
http://en.wikipedia.org/wiki/Anonymous_%28group%29
OSINT:
http://it.wikipedia.org/wiki/OSINT
http://www.oss.net/dynamaster/file_archive/030201/254633082e785f8fe44f546bf5c9f1ed/NATO%20OSINT
%20Reader%20FINAL%2011OCT02.pdf
https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csistudies/studies/vol48no3/article05.html
http://www.osint-wm.org/
Google Earth:
http://www.google.com/intl/it/earth/index.html
Maltego:
http://www.paterva.com/web5/
Google Hacking database, Google Dorks, Goolag:
http://www.hackersforcharity.org/ghdb/
http://www.exploit-db.com/google-dorks/
http://www.asabox.com/goolag/index_en.htm
Silobreaker:
http://www.silobreaker.com/
FOCA:
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 27 di 28
http://www.informatica64.com/DownloadFOCA/
https://media.defcon.org/dc-18/video/DEF%20CON%2018%20Hacking%20Conference%20Presentation
%20By%20-%20Chema%20Alonso%20and%20Jose%20Palazon%20-%20FOCA2%20The%20FOCA
%20Strikes%20Back%20-%20Video.m4v
Shodan:
http://www.shodanhq.com/
https://media.defcon.org/dc-18/video/DEF%20CON%2018%20Hacking%20Conference%20Presentation
%20By%20-%20Michael%20Schearer%20-%20SHODAN%20for%20Penetration%20Testers%20%20Video.m4v
OSINT: analisi dei metadati e acquisizione da fonti aperte con FOCA e SHODAN - Danilo De Rogatis
Pag. 28 di 28