Si chiama in termine tecnico Domain Threat Intelligence: è la conoscenza che permette di mitigare o prevenire una (buona) parte degli attacchi informatici.
Come?
La Domain Threat Intelligence non è altro che una ricerca di informazioni - relative ad un bersaglio - raccolte da fonti pubbliche (OSINT) o semi-pubbliche (CLOSINT).
In sostanza con questa modalità di analisi, non si effettuano attività invasive di scan di siti o di reti, ma si raccolgono tutti quei dati che possono essere utili a preparare un attacco informatico.
Come è noto, infatti, un cyber attacco è composto da varie fasi, tra cui le prime sono proprio quelle della raccolta informazioni, la così detta information gathering: durante queste attività i criminali informatici sia grazie a sistemi automatizzati, sia ad attività manuali di social engineering, cercano di recuperare quante più informazioni possibili sui loro obiettivi.
L'aspetto importante di questa fase è - lo ribadisco - che la raccolta di informazioni pubbliche può avvenire senza che il bersaglio se ne accorga, in quanto non vengono svolte attività di scan della rete (che possono essere intercettate da applicativi, firewall & c), ma "semplicemente" ricerche mirate.
Perché?
Diventa quindi fondamentale capire quali sono le nostre informazioni pubbliche, accessibili quindi da "chiunque", affinché sia possibile mettere in campo delle azioni che vadano a risolvere eventuali vulnerabilità o comunque a diminuire la così detta superficie di attacco.
(wikipedia): La superficie di attacco (attack surface) di un sistema è quella parte del sistema stesso che può essere esposta ad accesso o a modifiche di utenti non autorizzati. Il termine viene utilizzato principalmente in informatica. Tanto maggiore è la superficie, tanto più il sistema è vulnerabile.
Come fare?
Esistono vari tool o software che permettono di controllare quali sono le informazioni pubbliche presenti su internet, partendo da un dominio, che di norma è proprio il punto di partenza.
Qui ne riporto una selezione, chiaramente a titolo di esempio (NB: i link indicati qui sotto non sono link di affiliazione e non portano alcun vantaggio al sottoscritto, ma sono figli solo di personale ricerca sul web):
Se l'argomento ti interessa, ne parliamo mercoledì 10 Giugno al #virtualcaffe dalle 14 alle 1430: qui le istruzioni per partecipare! Ti aspetto!
- Google Dorks: ricerca grazie a Google quali documenti o pagine web sono rimaste esposte - e quindi indicizzate - da Google. A questo link un interessante motore di ricerca
- Shodan: il motore di ricerca degli oggetti connessi ad internet!
- SpiderFoot: il software di raccolta informazioni OSINT
- SpySe
- IntelligenceX
- ImmuniWeb
Come usare questi strumenti?
Utilizzare questi strumenti di analisi non è così difficile: bisogna studiarli, utilizzarli e capire come interpretare i dati forniti in output.
Per questo motivo ho creato una sezione ad hoc sul mio blog, chiamata Tracce Digitali, dove approfondirò questo argomento, sia con post ma anche e soprattutto con webinar e demo online!
Lascia i tuoi dati cliccando qui se vuoi rimanere aggiornato su questo progetto e... a prestissimo!