Reperire informazioni in modo automatizzato da una parte, individuare dispositivi vulnerabili dall’altra. Per questi scopi inerenti la cyber security, due strumenti a disposizione di chi pratica l’attività di OSINT sono SpiderFoot e Shodan. L’attività di OSINT – Open source intelligence, prevede la raccolta di dati provenienti da fonti pubbliche, attraverso la ricerca su internet, ma anche l’analisi di supporti cartacei, documenti governativi, pubblicazioni accademiche e altro ancora.
SpiderFoot è lo strumento sviluppato da Steve Micallef che automatizza il processo di raccolta e analisi delle informazioni individuate dalla rete OSINT. Shodan è invece un motore di ricerca che consente di trovare dispositivi vulnerabili. È stato sviluppato da John Matherly nel 2009 e si chiama Shodan. Si può trovare andando sull’indirizzo www.shodan.io.
Indice degli argomenti
La raccolta dei dati e SpiderFoot
A seconda del target, la raccolta dei dati disponibili sulla rete potrebbe essere sufficiente per definire un profilo. Tutto dipende dall’impronta web lasciata dall’obiettivo. Dal momento che sul Web sono disponibili migliaia di dati archiviati su diversi servizi e reti la raccolta e normalizzazione di tutte queste informazioni attraverso un unico punto d’accesso diventa un’attività piuttosto dispendiosa in termini di tempo. Il servizio offerto da SpiderFoot ha lo scopo di automatizzare il processo di raccolta dati e ricercare tutte le informazioni sparse sulla rete inerenti al proprio obiettivo utilizzando un unico tool.
Per automatizzare l’attività di OSINT, SpiderFoot interroga più di cento fonti di informazioni pubbliche ed elabora tutti i dati di intelligence quali: nomi di domini, indirizzi e-mail, indirizzi IP, server DNS e molto altro. L’utilizzo è molto semplice, basta specificare il target e scegliere i moduli da eseguire. In questo modo SpiderFoot eseguirà tutto il lavoro di raccolta dati costruendo un profilo completo, qualsiasi cosa tu stia cercando.
Alcuni moduli permettono di interrogare gli account target all’interno di duecento portali come ad esempio Ebay, Slashdot, Reddit. Esiste perfino un modulo che permette di verificare se l’indirizzo IP selezionato esegue mining di criptovaluta.
Utilizzo contro spammer e durante i Penetration test
Tra le varie funzionalità è possibile verificare se l’indirizzo IP selezionato è presente nel database projecthoneypot.org, sistema distribuito di tracking online per contrastare le frodi informatiche, e anche se un database include spammer, botnet e qualsiasi IP sospetto che ha condotto attacchi sulla rete.
Per poter abilitare la funzionalità l’utente dovrà aggiungere l’API per ciascun modulo richiesto prima dell’utilizzo, in modo che sia in grado di eseguire la query sul servizio. Gli strumenti OSINT come SpiderFoot sono particolarmente utili per mettere in relazione le informazioni relative ad un obiettivo, svelare possibili fughe di dati, scoprire le vulnerabilità complete presenti nella rete o nelle applicazioni su cui viene svolta l’analisi.
Queste informazioni possono essere utili durante l’esecuzione di Penetration test, controllo della propria infrastruttura o di una infrastruttura di terze parti. Con SpiderFoot potrai verificare quali servizi vengono esposti su internet con le relative vulnerabilità (plug-in obsoleti, moduli, ecc.).
Principali caratteristiche di Spiderfoot
Le principali funzionalità di Spiderfoot variano dall’essere un sistema open source al possedere una documentazione dettagliata. In particolare, le sue caratteristiche sono:
- Essere Open Source: Spiderfoot è stato scritto in Python ed è scaricabile daGithub. Essendo un sistema open source chiunque può contribuire a migliorarlo.
- Essere multipiattaforma: Spiderfoot può essere eseguito su entrambi i sistemi operativi Linux e Windows.
- Interfaccia Web: per impostazione predefinita, Spiderfoot può essere eseguito da un’interfaccia CLI, tuttavia supporta anche un’interfaccia Web avanzata per coloro che desideranofacilità d’uso e layout grafici personalizzati.
- Essere modulare: funziona con oltre 100 moduli aggiuntivi che possono aiutare a eseguire quasi ogni tipo di test contro la rete di destinazione. I moduli SpiderFoot sono stati programmati per interagire tra loro, consentendo a tutti i moduli correlati di condividere gli stessi dati sul target.
- Avere una documentazione dettagliata: diversamente da altri strumenti OSINT, Spiderfoot possiede una dettagliata documentazione che aiuta l’utente nella fase d’installazione e utilizzo dei vari moduli
- Funzioni avanzate con Spiderfoot HX: mentre la versione standard funziona da qualsiasi ambiente, puoi anche scegliere di eseguire Spiderfoot dalla propria piattaforma cloud self-hosted, che include funzionalità più avanzate rispetto alla versione self-hosted.
La raccolta di grandi quantità di informazioni sui propri obiettivi può richiedere molto tempo, specialmente se il processo deve essere eseguito manualmente. Non tutte le informazioni raccolte saranno direttamente applicabili all’operazione. Analizzare e filtrare le informazioni utilizzabili è in qualche modo un insieme di competenze.
Il motore di ricerca Shodan
Quasi tutti noi abbiamo utilizzato un motore di ricerca come Google o Bing per trovare materiale sul web. Questi motori di ricerca eseguono la scansione dell’intero web e indicizzano quasi tutte le parole contenute classificandole per categorie. Questo ci permette di trovare le informazioni che stiamo cercando semplicemente digitando alcune parole chiave (Google ha anche una “serie speciale” di parole chiave che permettono di fare l’hacking di Google).
Shodan è un motore di ricerca che, invece di indicizzare il contenuto dei siti web, indicizza i banner estratti da ciascun indirizzo IP (è possibile tirare il banner su quasi tutti i dispositivi utilizzando Telnet o netcat). In altre parole, quando ci colleghiamo a un indirizzo IP, il dispositivo fornisce un banner che identifica se stesso e alcuni dei suoi parametri. Queste informazioni possono essere molto utili per la ricerca di potenziali dispositivi vulnerabili o non protetti. Poiché quasi tutti i dispositivi sono connessi a Internet, un motore di ricerca di questo tipo ci consente di trovare tutti i dispositivi appartenenti ad un determinato fornitore (router Cisco) o geolocalizzati in un determinato punto e persino i sistemi SCADA. Con così tanti nuovi dispositivi Internet of Things (IoT) che entrano sul mercato ogni giorno senza un’adeguata sicurezza, tali informazioni sono un vero tesoro per gli hacker.
Il crawler di Matherly analizza ogni indirizzo IP (ci sono indirizzi IP IPv4 4.3B) e tenta di estrarre e raccogliere le informazioni dei metadati da ciascun dispositivo. Queste informazioni nel banner di solito includono il produttore del dispositivo e alcuni parametri chiave. È importante notare che Shodan indicizza i dati presentati nel banner. Non ha modo di verificare se il banner è accurato. Alcune aziende per proteggere i loro dati sostituiscono questi banner con banner falsi o fasulli per evitare che vengano rilevati daShodan o da altri servizi simili. Sebbene questa sia buona pratica che andrebbe adottata da tutte le aziende, quando inizi a usare Shodan, noterai che in realtà pochi lo fanno.
Shodan analizza gli indirizzi IP indicizzando i banner. Possiamo quindi cercare attraverso Shodan i parametri rilevati in quei banner per trovare gli indirizzi IP di un particolare tipo di dispositivo. Shodan consente di cercare i banner e le relative informazioni in esso contenute.
Rilevare i dispositivi SCADA
Come dicevo, attraverso Shodan è possibile rilevare dispositivi SCADA. I sistemi SCADA o Supervisory Control and Data Acquisiti non vengono utilizzati per apparecchiature esterne come sistemi di trasmissione elettrica, centrali nucleari, impianti chimici, impianti di trattamento acque, sistemi HVAC, riscaldamento domestico, ecc. Tutti questi sistemi hanno controlli digitali che possono essere rilevabili e di conseguenza attaccabili. I sistemi SCADA sono una grande preoccupazione per le agenzie di difesa nazionali in quanto una nazione che ha i suoi sistemi SCADA disabilitati o compromessi probabilmente avrà difficoltà ad erogare determinati servizi (si pensi ad esempio alle centrale elettriche vitali per uno nazione ). Questo è il motivo per cui organizzazioni come la sicurezza nazionale degli Stati Uniti sono così preoccupate per la sicurezza SCADA. La maggior parte degli esperti di guerra informatica si aspetta che tutte le guerre future abbiano un elemento di cyber attacco SCADA.
A volte, è possibile trovare i sistemi SCADA attraverso il nome del produttore o dal nome PLC utilizzato. Bisogna ricordare che Shodan ricerca il contenuto del banner web all’interno dei sistemi. Nella maggior parte dei casi, questi sistemi visualizzano il banner con il nome del produttore o con la versione del PLC utilizzato.
L’esempio di Schneider Electric
La Schneider Electric di Parigi è stata la prima società a sviluppare ed utilizzare il protocollo Modbus (protocollo di comunicazione per dispositivi PLC). Produce un’ampia varietà di sistemi ICS, la maggior parte dei quali utilizzano il protocollo Modbus. Poichè sappiamo che il protocollo utilizza la porta 502, potremmo semplicemente cercare su Shodan qualsiasi IP che abbia quella porta aperta su Internet.
Schneider Electric ha un sistema di building automation chiamato SAS o Schneider Automated Server, utilizzato per automatizzare il riscaldamento, la raccolta e la sicurezza di edifici ad alta tecnologia. Se includiamo questo termine aggiuntivo nella nostra ricerca su Shodan, potremmo ottenere un sottoinsieme con indicazioni mirate su determinati servizi. Logicamente cercando di violare tali sistemi commetteremmo un reato! L’esempio riportato serve per far capire la pericolosità nel non adottare adeguati sistemi di sicurezza.