Digital Footprinting: cos’è quali sono i rischi per le aziende

Ogni clic, ogni post sui social media, ogni transazione online lascia ormai una traccia indelebile, creando ciò che viene comunemente definito “digital footprint” o impronta digitale.

Questo concetto, spesso sottovalutato, rivela un panorama intricato di dati che può fornire molte informazioni sensibili che, nelle mani sbagliate, possono causare spiacevoli conseguenze, soprattutto all’interno di un’organizzazione.

In tale ambito, il footprinting è il processo mediante il quale vengono raccolte informazioni sulla rete bersaglio e il suo ambiente circostante, offrendo un quadro dettagliato della sicurezza di un’organizzazione.

Questa fase costituisce una fase preparatoria cruciale per l’attaccante, il quale si impegna a raccogliere un’ampia gamma di informazioni al fine di individuare agevolmente vulnerabilità e punti di accesso nella rete di destinazione.

Forniamo quindi di seguito un’introduzione a questa pratica al fine di conoscere i rischi, le principali metodologie e gli obiettivi di chi ne fa uso, per comprendere quali contromisure adottare al fine di proteggere la propria organizzazione.

Cos’è il footprinting

Il footprinting è un processo fondamentale che permette di identificare il livello di rischio associato alle informazioni pubblicamente accessibili di un’organizzazione. Questo processo consiste nel raccogliere dati su una specifica rete e il suo contesto, permettendo di individuare diverse opportunità per analizzare la rete dell’organizzazione in questione.

Una volta completato il footprinting in modo metodico, si ottiene un “blueprint” del profilo di sicurezza dell’organizzazione, per poi proseguire con la fase di attacco. Questo “blueprint” rappresenta il profilo di sistema unico dell’organizzazione, acquisito attraverso il footprinting.

Non esiste un approccio unico al footprinting, poiché le informazioni possono essere rintracciate in molti modi diversi. Tuttavia, è fondamentale che questo processo venga eseguito in modo organizzato, poiché è necessario raccogliere tutte le informazioni cruciali sull’organizzazione prima di procedere con ulteriori analisi.

Le informazioni raccolte durante il footprinting sono fondamentali per scoprire eventuali vulnerabilità presenti nella rete e per identificare i vari modi in cui queste vulnerabilità potrebbero essere sfruttate.

Metodologie di footprinting e informazioni ottenute

Come abbiamo già sottolineato, il footprinting necessita di un approccio metodologico ben definito per garantire la massima efficacia.

Di seguito viene riportato l’elenco delle principali metodologie di footprinting, che verranno successivamente analizzate e approfondite una per una:

• Footprinting tramite motori di ricerca
• Footprinting tramite servizi web
• Footprinting tramite siti di social networking
• Website Footprinting
• Email Footprinting
• Whois Footprinting
• DNS Footprinting
• Network Footprinting
• Footprinting tramite Social Engineering

Footprinting tramite motori di ricerca

I motori di ricerca sono cruciali per ottenere informazioni vitali su un’organizzazione bersaglio, esplorando il vasto panorama di Internet tramite sofisticati programmi automatizzati. Ad esempio, utilizzando un tool crawler è possibile analizzare costantemente siti web attivi, aggiungendo i risultati al loro indice. Le ricerche restituiscono un elenco di pagine di risultati, inclusi siti web, video e immagini, classificati per rilevanza.

Una tecnica adoperata nel footprinting tramite motori di ricerca è l’Advanced Google hacking che permette di formulare query complesse per recuperare dati preziosi relativi ad un’azienda bersaglio dai risultati di ricerca di Google.

Gli Advanced Search Operators di Google permettono di trovare il testo desiderato e di evitare dati irrilevanti. Utilizzando tali operatori avanzati, gli aggressori possono individuare stringhe di testo specifiche, come versioni particolari di applicazioni web vulnerabili. Questi Advanced Search Operators aiutano a restringere la query di ricerca e a ottenere il risultato più pertinente e accurato.

Alcuni degli Advanced Search Operators più comuni sono:

• site: questo operatore limita i risultati della ricerca al sito o al dominio specificato. Ad esempio, la query [games site: www.certifiedhacker.com] fornisce informazioni sui giochi del sito certifiedhacker.
• allinurl: questo operatore limita i risultati alle sole pagine che contengono tutti i termini della query specificati nell’URL. Ad esempio, la query [allinurl: google career] restituisce solo le pagine contenenti le parole “google” e “career” nell’URL.
• inurl: questo operatore limita i risultati alle sole pagine che contengono la parola specificata nell’URL. Ad esempio, la query [inurl: copy site:www.google.com] restituisce solo le pagine di Google in cui l’URL contiene la parola “copy”.

Numerosi motori di ricerca possono fornire un tesoro di informazioni sull’organizzazione target, tra cui dettagli tecnologici, informazioni sui dipendenti, pagine di accesso, portali intranet e contatti. Ad esempio, una semplice ricerca su Google potrebbe svelare le iscrizioni a forum del personale di sicurezza, offrendo indizi sulle marche di firewall o software antivirus impiegati dall’organizzazione.

Inoltre in questa metodologia risulta di grande aiuto per gli attaccanti il Google Hacking Database (GHDB), una fonte autorevole per interrogare l’ambito sempre più vasto del motore di ricerca Google. All’interno del GHDB, è possibile individuare termini di ricerca specifici per file che contengono nomi utente, server vulnerabili e addirittura file con password.

Parallelamente, l’Exploit Database rappresenta un archivio, conforme al sistema Common Vulnerabilities and Exposures (CVE), di exploit pubblici e del relativo software vulnerabile. Questo strumento è stato sviluppato per essere utilizzato da penetration tester e ricercatori di vulnerabilità.

Footprinting tramite servizi web

I servizi web come siti di social networking, servizi di allerta, piattaforme finanziarie e portali di lavoro possono fornire dettagli preziosi come l’infrastruttura dell’organizzazione, la posizione geografica e i dati dei dipendenti.

Tramite i vari servizi web è possibile trovare i sottodomini di un’organizzazione.

Il sottodominio è disponibile solo per alcune persone. Queste persone possono essere dipendenti di un’organizzazione o membri di un dipartimento. In molte organizzazioni, gli amministratori dei siti web creano sottodomini per testare nuove tecnologie prima di implementarle sul sito principale.

La maggior parte delle organizzazioni utilizza formati comuni per i sottodomini. Pertanto, un hacker che conosce l’URL esterno di un’azienda può spesso scoprire il sottodominio attraverso tentativi ed errori o utilizzando un servizio come Netcraft.

I sottodomini forniscono informazioni sui diversi reparti e unità aziendali di un’organizzazione. L’identificazione di tali sottodomini può rivelare informazioni critiche sull’obiettivo, come il codice sorgente del sito web e i documenti sul server web. Il sottodominio aiuta ad accedere alle funzioni private di un’organizzazione.

Infine servizi web come Shodan, Netcraft e Censys, cercano in Internet al fine di rilevare i dispositivi connessi come router, server e dispositivi IoT appartenenti all’organizzazione target. Utilizzando questi strumenti, gli aggressori ottengono informazioni su VoIP, VPN, la città, il Paese, la latitudine/longitudine, il nome dell’host, il sistema operativo e l’indirizzo IP dell’organizzazione target.

Footprinting tramite siti di Social Networking

I siti di social networking, come LinkedIn, Facebook, Instagram, Twitter, Pinterest, YouTube e altri, sono piattaforme online che facilitano la connessione e la costruzione di relazioni tra le persone. Ogni piattaforma ha un suo scopo specifico e caratteristiche uniche, permettendo agli utenti di condividere sia aspetti personali che professionali della loro vita.

Dagli annunci di lavoro pubblicati dalle aziende sui principali siti di recruitment è possibile acquisire informazioni su tecnologie e apparati di rete utilizzati dall’azienda (es. firewall, tipo di server interno, sistema operativo, dispositivi di rete,…), mentre dagli altri siti di social network è possibile ricavare un elenco dei dipendenti chiave dell’azienda con relativi indirizzi e-mail.

Questi siti, aperti a tutti, possono diventare una miniera di informazioni per chi cerca di raccogliere dati sensibili. Gli utenti possono pubblicare dettagli personali come la data di nascita, l’istruzione, l’esperienza lavorativa, i nomi dei coniugi, ecc. Le organizzazioni, d’altro canto, possono condividere informazioni come potenziali partner, siti web e notizie aziendali.

Per un individuo con intenzioni malevole, i siti di social network possono rappresentare una preziosa fonte di informazioni sull’individuo o l’organizzazione target. Questi individui possono accedere liberamente alle pagine pubbliche degli account creati sui siti di social network e, per ottenere ulteriori informazioni, possono creare account falsi e utilizzare tecniche di ingegneria sociale per indurre la vittima a rivelare ulteriori dettagli.

Infine gli attaccanti utilizzano tool come ad esempio Gephi, che sono in grado di analizzare i social networks ottenendo informazioni al fine di produrre grafici contenenti l’intera gerarchia aziendale e le relazioni tra i dipendenti e i loro ruoli all’interno dell’organizzazione.

Website Footprinting

Il Website footprinting è un processo che consiste nel monitorare e analizzare il sito web di un’organizzazione target per raccogliere informazioni. Un attaccante può creare una mappa dettagliata della struttura e dell’architettura di un sito web senza attivare i sistemi di rilevamento di intrusioni o allarmare un amministratore di sistema. Gli attaccanti possono utilizzare strumenti di footprinting avanzati o strumenti di base forniti con il sistema operativo, come Telnet o un browser.

Netcraft è uno strumento che può essere utilizzato per raccogliere informazioni sui siti web, come l’indirizzo IP, il nome e l’indirizzo registrato del proprietario del dominio, il nome del dominio, l’host del sito e i dettagli del sistema operativo. Tuttavia, potrebbe non fornire tutti questi dettagli per ogni sito. In tali casi, l’attaccante può esplorare il sito web target.

L’esplorazione del sito web target può fornire le seguenti informazioni:

• Software e versione utilizzati: un attaccante può facilmente identificare il software e la versione utilizzati da un sito web basato su software commerciali.
• Sistema operativo utilizzato: di solito è possibile determinare anche il sistema operativo in uso.
• Sottodirectory e parametri: le ricerche possono rivelare le sottodirectory e i parametri annotando gli URL durante la navigazione del sito web target.
• Nome del file, percorso, nome del campo del database o query: l’attaccante spesso analizza attentamente tutto ciò che, dopo una query, assomiglia a un nome di file, a un percorso, a un nome di campo del database o a una query per verificare se offre opportunità di iniezione SQL.
• Piattaforma di scripting: con l’aiuto delle estensioni dei nomi dei file di script come .php, .asp o .jsp, si può facilmente determinare la piattaforma di scripting utilizzata dal sito web target.
• Tecnologie utilizzate: analizzando gli URL del sito web target, è possibile determinare facilmente le tecnologie (.NET, J2EE, PHP, ecc.) utilizzate per costruire il sito.
• Dettagli di contatto e CMS: le pagine di contatto di solito offrono dettagli come nomi, numeri di telefono, indirizzi e-mail e sedi del personale amministrativo o di supporto.

Inoltre tramite determinati tool come HTTrack Web Site Copier, un attaccante può creare una replica locale del sito web dell’organizzazione target con la possibilità di navigare offline senza dover ricorrere a molteplici richieste verso il webserver per rimanere in anonimato.

Email Footprinting

Il tracciamento delle e-mail è una pratica che consente di monitorare i messaggi di posta elettronica inviati a un utente specifico. Questo tipo di tracciamento sfrutta registrazioni con marcatura temporale digitale, che rivelano l’ora e la data in cui l’obiettivo riceve e apre una specifica e-mail. Gli strumenti di tracciamento delle e-mail consentono agli aggressori di raccogliere informazioni come gli indirizzi IP, i server di posta e i provider di servizi coinvolti nell’invio delle e-mail.

Alcuni esempi di strumenti di tracciamento delle e-mail includono:

1. eMailTrackerPro
2. Infoga
3. Mailtrack

In breve, il tracciamento delle e-mail permette agli aggressori di raccogliere informazioni preziose sui destinatari. Questi dati includono l’indirizzo IP del destinatario, la geolocalizzazione, la durata di lettura dell’e-mail, il tipo di dispositivo utilizzato e altro ancora. Gli aggressori possono anche esaminare gli header delle e-mail per tracciare il percorso di routing dell’e-mail.

Whois Footprinting

Whois è un protocollo di interrogazione e risposta utilizzato per consultare database che archiviano gli utenti registrati o gli assegnatari di una risorsa Internet, come un nome di dominio, un blocco di indirizzi IP o un sistema autonomo. Per ogni risorsa, il database Whois fornisce record di testo con informazioni sulla risorsa stessa e dettagli rilevanti sugli assegnatari, i registranti e le informazioni amministrative (date di creazione e scadenza).

Una query Whois restituisce le seguenti informazioni:

• Dettagli del nome di dominio
• Dettagli di contatto del proprietario del dominio
• Server dei nomi di dominio
• NetRange
• Data di creazione di un dominio
• Record di scadenza
• Record aggiornati per l’ultima volta

Un attaccante può interrogare un server di database Whois per ottenere informazioni sul dominio di destinazione, e il server Whois risponde alla query con le informazioni richieste.

DNS Footprinting

Dopo aver raccolto i record Whois del bersaglio, la fase successiva della metodologia di footprinting è il DNS footprinting. Gli attaccanti eseguono il DNS footprinting per raccogliere informazioni sui server DNS, i record DNS e i tipi di server utilizzati dall’organizzazione bersaglio. Queste informazioni aiutano gli attaccanti a identificare gli host connessi alla rete del bersaglio e a sfruttare ulteriormente l’organizzazione bersaglio.

Il DNS footprinting rivela informazioni sui dati della zona DNS. Questi dati includono nomi di dominio DNS, nomi dei computer, indirizzi IP e molte altre informazioni sulla rete.

Gli attaccanti utilizzano strumenti di interrogazione DNS come SecurityTrails, DNS Records e DNSdumpster.com per eseguire il footprinting DNS. Questi strumenti possono estrarre una gamma di indirizzi IP utilizzando la ricerca di routing IP. Se la rete di destinazione consente a utenti sconosciuti e non autorizzati di trasferire i dati della zona DNS, è facile per un attaccante ottenere informazioni DNS con l’aiuto di uno strumento di interrogazione DNS.

Network Footprinting

Per eseguire il footprinting di rete, è necessario raccogliere informazioni di base e importanti sull’organizzazione di destinazione, come ad esempio cosa fa l’organizzazione, chi vi lavora e che tipo di attività svolge. Le risposte a queste domande forniscono informazioni che aiutano a identificare la struttura interna della rete di destinazione. Dopo aver raccolto le informazioni, un attaccante può determinare l’intervallo di rete del sistema di destinazione.

Dettagliate informazioni sull’allocazione degli indirizzi IP e sulla natura dell’allocazione sono disponibili nel database del registro regionale appropriato. Un attaccante può anche determinare la maschera di sottorete del dominio e tracciare il percorso tra il sistema e il sistema di destinazione. Strumenti di tracciamento ampiamente utilizzati includono Path Analyzer Pro e VisualRoute. Ottenere indirizzi IP privati può essere utile per gli attaccanti.

L’Internet Assigned Numbers Authority (IANA) ha riservato i seguenti tre blocchi di spazio degli indirizzi IP per reti private: 10.0.0.0–10.255.255.255 (prefisso 10/8), 172.16.0.0–172.31.255.255 (prefisso 172.16/12), e 192.168.0.0–192.168.255.255 (prefisso 192.168/16). Utilizzando l’intervallo di rete, un attaccante può ottenere informazioni sulla struttura della rete e su quali macchine nella rete sono attive. L’intervallo di rete aiuta anche a identificare la topologia di rete, il dispositivo di controllo degli accessi e il sistema operativo utilizzato nella rete di destinazione.

I server DNS configurati in modo improprio offrono agli attaccanti una buona possibilità di ottenere un elenco di macchine interne alla rete. Inoltre, se un attaccante traccia un percorso verso una macchina, potrebbe essere possibile ottenere l’indirizzo IP interno del gateway, il che può essere utile.

Uno strumento altamente utilizzato per questo tipo di footprinting è Traceroute, il quale utilizza il protocollo ICMP e il campo Time to Live (TTL) dell’intestazione IP per individuare il percorso dell’host di destinazione nella rete. Questa utilità può dettagliare il percorso attraverso il quale i pacchetti IP viaggiano tra due sistemi. In particolare, può tracciare il numero di router attraverso i quali i pacchetti transitano, il tempo di andata e ritorno (la durata del transito tra due router) e, se i router hanno voci DNS, i nomi dei router e la loro affiliazione di rete. Il funzionamento si basa sull’utilizzo di una caratteristica del Protocollo Internet chiamata TTL. Il campo TTL indica il numero massimo di router che un pacchetto può attraversare. Ogni router che gestisce un pacchetto decrementa il campo di conteggio TTL nell’intestazione ICMP di uno. Quando il conteggio raggiunge zero, il router scarta il pacchetto e trasmette un messaggio di errore ICMP all’origine del pacchetto.

Footprinting tramite Social Engineering

Finora abbiamo discusso delle diverse tecniche per raccogliere informazioni utilizzando risorse online o strumenti. Ora parleremo del footprinting attraverso l’ingegneria sociale, ovvero l’arte di ottenere informazioni dalle persone sfruttando le loro debolezze. Questa sezione copre il concetto e le tecniche utilizzate per raccogliere informazioni tramite l’ingegneria sociale.

Cos’è l’ingegneria sociale e come funziona

L’ingegneria sociale è un processo non tecnico in cui un attaccante induce una persona a fornire informazioni confidenziali inavvertitamente. In altre parole, la vittima non è consapevole del fatto che qualcuno sta rubando informazioni riservate. L’attaccante sfrutta la natura credulona delle persone e la loro disponibilità a fornire informazioni confidenziali.

Per eseguire l’ingegneria sociale, un attaccante deve prima guadagnarsi la fiducia di un utente autorizzato e quindi ingannare quell’utente affinché riveli informazioni confidenziali. Lo scopo dell’ingegneria sociale è ottenere le informazioni riservate necessarie e poi utilizzarle per scopi maligni, come l’accesso non autorizzato al sistema, il furto di identità, lo spionaggio industriale, l’intrusione nella rete, la frode e così via.

Le informazioni ottenute tramite l’ingegneria sociale possono includere dettagli delle carte di credito, numeri di previdenza sociale, nomi utente e password, altre informazioni personali, prodotti di sicurezza in uso, versioni di sistemi operativi e software, indirizzi IP, nomi dei server, informazioni sulla disposizione della rete e altro ancora.

L’ingegneria sociale può essere eseguita in molti modi, come l’ascolto clandestino, il “shoulder surfing” (osservare le azioni di qualcuno mentre digita o inserisce informazioni), il “dumpster diving” (recuperare informazioni da rifiuti o documenti gettati), l’impersonificazione, il “tailgating” (seguire qualcuno attraverso una porta di sicurezza), l’autorizzazione di terze parti, il “piggybacking” (sfruttare l’accesso di qualcun altro) e così via.

Rischi e sfruttamento delle informazioni

Ricapitolando le informazioni reperibili tramite il footprinting sono

• Informazioni sui dipendenti, come nomi, date di nascita, posizioni e gerarchia aziendale (ruoli e responsabilità).
• Informazioni sulla rete e infrastruttura come indirizzi IP e nomi di host, numero di router, IDS, firewall e nomi dei server.
• Informazioni relative alle applicazioni web come versioni delle applicazioni, campi del database, pagine di accesso ai portali, CVE (Common Vulnerabilities and Exposures).
• Altre informazioni: come posizione geografica dell’organizzazione, contatti (informazioni di contatto), dati dei dipendenti (oltre ai nomi e date di nascita, ad esempio, informazioni personali), documenti e policy.
• Elementi aggiuntivi come password (se reperibili), file (ad esempio, documenti sensibili).

Le informazioni che abbiamo discusso sono estremamente preziose per un potenziale attaccante. Per esempio, conoscere le tecnologie utilizzate da un’azienda e le loro versioni può fornire all’attaccante una mappa dettagliata delle vulnerabilità note riguardanti quei prodotti. Immaginiamo un’azienda che utilizza un server web con una versione datata di Apache HTTP Server. Se un attaccante scopre che questa versione specifica è vulnerabile a un attacco noto, come una vulnerabilità di esecuzione remota di codice, può sfruttare questa conoscenza per cercare di penetrare nel server e compromettere dati sensibili.

Inoltre, abbiamo parlato della pratica di individuare i sottodomini di un’azienda, spesso in fase di test e quindi meno sicuri. Questi sottodomini offrono all’attaccante un’opportunità di effettuare attacchi dove i controlli sono deboli o assenti.

Conoscere approfonditamente l’infrastruttura di rete consente di superare i Firewall e i Sistemi di Rilevamento delle Intrusioni, permettendo di comunicare con i dipendenti dall’esterno senza essere rilevati. Questo può portare a attacchi di Denial of Service (DoS) per danneggiare l’azienda economicamente, oppure a attacchi di tipo man-in-the-middle per spiare o alterare il traffico interno.

Inoltre, l’abilità di comunicare con i dipendenti dall’esterno apre la porta ad attacchi di phishing mirati comunemente noti come “Spear Phishing”. Conoscendo dettagli personali dei dipendenti, come i loro ruoli, le loro responsabilità e le risorse a cui hanno accesso, un attaccante può ingannarli per eseguire azioni dannose come scaricare malware o rivelare password di account amministrativi, consentendo così una escalation dei privilegi. Ad esempio, un attaccante potrebbe fingersi un parente di un dipendente e persuaderlo a visualizzare un file che in realtà è un’applicazione dannosa.

I casi menzionati sono solo alcuni esempi degli innumerevoli modi in cui un attaccante può sfruttare queste informazioni. La conoscenza dettagliata dell’ambiente tecnologico e delle pratiche aziendali può fornire agli aggressori una vasta gamma di possibilità per compromettere la sicurezza e l’integrità dei sistemi, mettendo a rischio dati sensibili e la reputazione dell’azienda. È quindi di fondamentale importanza adottare una strategia di difesa completa e costantemente aggiornata per mitigare tali minacce e proteggere l’organizzazione da potenziali attacchi.

Conclusioni

Per contrastare efficacemente il footprinting e mitigare le minacce correlate, è essenziale una costante vigilanza sulla propria infrastruttura, l’implementazione di misure di sicurezza robuste come aggiornamenti regolari del software e la configurazione sicura dei sistemi, nonché l’utilizzo di strumenti di rilevamento delle intrusioni avanzati.

Tuttavia, uno degli aspetti più critici è l’awareness dei dipendenti. Educare e formare il personale sui rischi associati al footprinting, sull’importanza di pratiche di sicurezza informatica solide e sull’identificazione delle potenziali minacce può fare la differenza nella difesa dell’azienda. Coinvolgere i dipendenti nella difesa della sicurezza informatica, fornendo loro le conoscenze e gli strumenti necessari, è essenziale per proteggere i dati e la reputazione dell’azienda. Questo si ottiene attraverso politiche aziendali chiare e procedure di risposta agli incidenti, che aiutano a mantenere al sicuro l’intera organizzazione.