Per ricognizione passiva si intendono tutte quelle attività che vengono svolte durante un Penetration Test per espandere la propria conoscenza del target senza entrare in contattato diretto con quest’ultimo.
Viene indicato anche come OSINT – Open Source Intelligenze, perché vengono utilizzate fonti pubblicamente accessibili per estrarre informazioni. Non entrando in diretto contatto con il target otterremo un alto livello di segretezza, ma i nostri risultati saranno limitati.
Tra le varie attività e strumenti troviamo motori di ricerca, whois, enumerazione dei certificati tls per il dominio, ricerche sui social network (sia della società target che dei suoi dipendenti [se in scope]), utilizzo di siti specializzati in Information Gathering, ricerca in repository, ricerca in data breach, tool specializzati in estrazione di informazioni.
Motori di ricerca
Sicuramente la prima delle attività da intraprendere è farsi un’idea “generale” sul target e per fare ciò fruttiamo i motori di ricerca come Google, Bing, Duckdcukgo.
Inoltre, Google permette di creare delle ricerche avanzate tramite l’utilizzo di quelle che si chiamano Google Dork. Le Google Dork sono delle espressioni booleane (tramite l’utilizzo di keyworks specifiche) che permettono al motore di ricerca di generare delle pagine dei risultati più mirate.
Tra queste keyworks troviamo:
· site: limita le ricerche solamente al sito indicato
· inurl: limita i risultati solamente a quelle pagine che includono nella url la keywords ricercata
· cache: limita i risultati alla cache di google
· intitle: limita i risultati per le pagine che includono nel title la keywors ricercata
· filetype: limita i risultati a file con estensione ricercata (es. pdf, docx, xlxs, exe, etc…)
· link: limita i risultati alle pagine che includono un link che punta al sito indicato nella ricerca
· index of: limita i risultati alle pagine che listano i file di un server
· Operatori Booleani le ricerche possono essere composte e rese complesse tramite l’utilizzo di operatori booleanti AND e OR, inoltre è possibile includere o escludere dei risultati utilizzando i segni + e -.
Una lista più dettagliata la potete trovare qui: https://www.boxpiper.com/posts/google-dork-list
Una lista di Dork già pronte è sempre aggiornate è possibile trovarla su Google Hacking Database: https://www.exploit-db.com/google-hacking-database
Whois
Whois è uno strumento presente su ogni sistema che integra uno stack di rete, permette di estrare dati di un dominio direttamente dal database IANA (organizzazione internazionale per la gestione e mantenimento dei domini internet), queste informazione includono:
· Nome, email e telefono del proprietario
· Nome, email e telefono di chi ha registrato il dominio
· Nome, email e telefono di chi mantiene il dominio
· Data di creazione del dominio
· Data di aggiornamento del dominio
Con l’entrata in vigore del GDPR queste informazioni vengono spesso offuscate.
Enumerazione dei certificati tls
Utilizzando tool o siti specifici è possibile andare ad individuare i certificati TLS emessi da un CA per un determinato dominio, nei certificati vengono indicati tra le varie informazioni i domini associati e coperti, molto spesso si possono estrarre informazioni relativi a sottodomini altrimenti difficilmente rintracciabili. Uno dei migliori siti per queste operazioni è https://crt.sh gestito dal Sertigo, come tool troviamo https://testssl.sh/.
Ricerche su social network
Oggi parte integrande delle nostre vite sia private che lavorative, sono diventati un pizzata pubblica dove poter estrarre ogni sorta di informazione, LinkedIn in primis ci permette di avere informazioni dettagliate sull’organigramma aziendale, andando poi più nel dettaglio delle competenze dei dipendenti si possono dedurre anche eventuali sistemi utilizzati dall’azienda target.
Siti specifici per information gathering
Siti come Netcraft ci permettono di ottenere informazioni sul sito del target, Shodan è un motore di ricerca che permette di scoprire quali sistemi e infrastrutture il target utilizza, Builtwith ci permette di scoprire con quale tecnologia web è stato creato il sito del target o una webapplication.
Ricerche su Repository
Siti come Gitlab o Github permettono di avere repository di codice pubblico, spesso si possono trovare informazioni utili, individuare il linguaggio di programmazione utilizzato per un determinato progetto o informazioni sensibili come chiavi o password.
Ricerca su Data Breach
Un altro elemento di rilievo è quello di eseguire ricerche su vecchi data breach per scoprire se il target o qualche suo dipendente sia stato vittima di una sottrazione di dati poi resa pubblica. Spesso si ottengono nomi utenti, email e password. È possibile scoprire se un’email o un numero di telefono fanno parte di un data breach tramite https://haveibeenpwned.com/
Tool specifici
Nel panorama di tool open source e quelli proprietari ci sono tantissimi strumenti per estrarre informazioni, uno di questi è theHarvester che viene utilizzato per estrarre le email di un determinato dominio, utilizzando diverse fonti. Un altro strumento è Maltego che integra decine di fonti tramite API per poter estrarre informazioni, queste informazioni poi vengono aggregate in un grafico facilmente visualizzabile e analizzabile, inoltre da ogni informazione è possibile, tramite trasformazioni, estrarne delle altre.
L’Information Gathering passivo è il punto di partenza di ogni Penetration Test, eseguire questo passaggio al meglio permette al tester di farsi un idea più precisa sulla natura e la composizione del target, permettendo così di ideare e ottimizzare le successive fasi di analisi e ricerca di informazioni arrivando così all’Information Gathering attivo con una conoscenza più estesa del target.