Tecniche OSINT per ricavare informazioni dai Social

OSINT Facebook

Partiamo con un esempio, chi non ha mai visto un Film od una serie TV poliziesca in cui durante l’arresto, l’agente di turno elenca i “diritti” tra i quali c’e’ l’immancabile “tutto ciò che dirai potrà essere usato contro di te“; ecco oggi le informazioni che tutti noi riversiamo “volutamente” sui social hanno lo stesso effetto/valore.

Infatti, gia da un po’ di tempo, i Recruiter sono ormai soliti fare non poche indagini sui candidati, non soltanto verificando le competenze indicate sui profili Linkedin ma incrociando i “comportamenti” delle persone in base a cio che postano, le foto che condividono, i commenti che lasciano, i gruppi a cui sono iscritti e molto molto altro.

Le tecniche OSINT permettono di ricavare informazioni da fonti pubbliche come:

  • Mezzi di comunicazione – riviste, televisione, giornali, radio e siti web
  • Dati pubblici – dati demografici, rapporti dei governi, piani finanziari, conferenze stampa etc…..
  • Motori di ricerca e community

Molti sapranno gia dell’esistenza di tools come Maltego, Netglub, Lampyre ed altri, che permettono di effettuare ricerche di vario genere, incrociandole tramite parole chiave su piu’ motori/social diversi.
Molti di questi sono a pagamento e quindi fuori dalla portata di molti, ma anche sulle piattaforme Social è possibile ricavare informazioni, in modo diretto, senza per forza far riferimento a software del settore come Maltego e relativi Transform.

Tra le piattaforme Social di libero accesso a tutti, che meglio si prestano all’uso di queste tecniche per la raccolta d’informazioni, c’e’ proprio Facebook.

Chiariamo quindi subito che nell’esempio che faremo adesso, verranno evidenziate alcune informazioni, prese da profili “PUBBLICI”, le cui INFO a cui avremo accesso, sono state lasciate “di libero accesso” nella configurazione delle Impostazioni/Privacy di Facebook.
Questo articolo serve solo ad evidenziare quanto sia importante essere sempre a conoscenza delle regole di condivisione delle nostre informazioni che “regaliamo” volontariamente ai social media.

“In questo articolo verrà quindi illustrato un procedimento che potrà poi essere, eventualmente, automatizzato in completa autonomia, scrivendo qualche riga di codice o semplicemente creandosi un form in HTML, o altro”.

La procedura che da qui in avanti chiameremo come “Facebook OSINT” si avvale quindi di due grosse macro-categorie:

  • Google Dork
  • Manipolazione delle URL

N.B. : Le dork sono definite come testi di ricerca, preparati in modo limitato per lo scopo, composte da diverse keywords, che vengono immesse in un motore di ricerca per avere dei risultati specifici. Le dorks vengono dunque utilizzate principalmente per affinare i risultati di ricerca, al fine di avere link più specifici.

Dato che stiamo parlando di Facebook OSINT, quale miglior esempio che vederne il funzionamento cercando proprio maggiori informazioni sul profilo di Mark Zuckerberg.

Il primo passo è quello di cercare il codice numerico (ID) dell’utente Facebook da noi prescelto, in modo da poterlo utilizzare nell’URL di ricerca; per poter fare cio’ bisognera’ collegarci al nostro account FB e lasciarlo aperto, successivamente ci sposteremo su questo sito
[ https://findmyfbid.com/ ] a cui risponde il servizio “Find your Facebook ID” ed inseriamo nel campo Ricerca il link preso da FB, inerente l’utente su cui vogliamo fare ricerche, nel seguente modo: https://www.facebook.com/zuck

Premendo “Find numeric ID” ci verra’ ritornato un numero, come questo

che adesso potremo utilizzare in diverse forme, come le seguenti, ecco un piccolo elenco di ricerche da effettuare:

  • Luoghi visitati
    [https://facebook.com/search/User ID/places-visited]
  • “Mi Piace” alle pagine
    [https://facebook.com/search/User ID/pages-liked]
  • Commenti ai post
    [https://facebook.com/search/User ID/stories-commented]
  • Post dell’utente
    [https://facebook.com/search/User ID/stories-by]
  • Video dell’utente
    [https://facebook.com/search/User ID/videos-of]
  • Commenti alle foto
    [https://facebook.com/search/User ID/photos-commented]

….etc, la lista delle ricerche possibili e’ molto lunga, basta fare una ricerca e troverete tutte le altre possibilita’.

Per concludere, non sottovalutate mai cio che state pubblicando, siatene sempre consci, poiche’ “una volta su Internet….una vita sul Web”, tenete sempre sott’occhio le vostre impostazioni sulle Privacy ed ogni nuova modifica del social network che state usando.

Good Luck !

Google Titan Security Key

Google Titan Security Key

SICUREZZA SICUREZZA SICUREZZA…….

La parola piu’ utilizzata e letta su ogni articolo, anche non a carattere tecnico, che si intenda la sicurezza nelle citta’, oppure quella sui social media, ma ancor di piu’ il peso di questa parola lo si nota attorno a tutto cio che gravita’ sui nostri device, sia quelli personali, sia quelli che utilizziamo quotidianamente in ufficio.

Questo perche’ oggi la SICUREZZA colpisce/interessa tutti in ogni istante della nostra vita. Ogni giorno usiamo , centinaia di volte al giorno, device tecnologici di ogni tipo (SmartTV, SmartPhone, IoT, Router, AccessPoint….) e per ognuno di questi, teoricamente, dovremmo poter essere in grado di sapere cosa e come fare per proteggere i nostri dati e la nostra identita’ tecnologica, che sempre di piu’ rappresentera’ noi stessi, chi siamo, cosa facciamo, come lo facciamo…….

Ma nella realta’ chi di noi ha veramente le conoscenze ed il desiderio di doversi occupare quotidianamente della propria sicurezza; la maggior parte di noi stenta a ricordarsi di cambiare la password dell’account di posta oppure dell’utenza per l’home banking etc……, tutto questo perche’ preferiamo pensare che non saremo certo noi a diventare vittime di un qualsiasi hacker che sicuramente ha altri interessi piu’ importanti. Purtroppo non e’ cosi, oggi giorno siamo tutti collegati e la singola persona, il dipendente “qualunque”, potrebbe essere l’anello debole della catena che permette all’hacker di entrare nell’infrastruttura che vuole colpire e da li, piano piano scalare fino ad avere cio che gli serve…..

Il discorso e’ troppo lungo, ed e’ gia stato trattato in altri articoli, nella sezione (manco a dirlo) 😉 “sicurezza” di questo blog ed altri arriveranno. Fatto sta che per poter aumentare (garantire e’ una parola che non esiste, nulla e’ sicuro al 100%) il nostro livello di sicurezza possiamo per lo meno attivare, li dove ci e’ possibile, quelle funzioni denominate accesso a due fattori, sui nostri account di posta, sul nostro profilo FB …etc….

L’accesso a due fattori (2FA) esiste gia da un po’ di tempo ed è considerato uno dei metodi più sicuri per proteggere i propri dati online da eventuali malintenzionati. Tuttavia, neanche questo sistema può considerarsi impenetrabile ed anch’esso si evolve, da una prima modalita’ tramite invio di codice SMS, sino alla sua versione migliore tramite l’uso di Security Key, tra le piu’ usate ad esempio la Yubico

Anche questa tecnologia deve comunque tenersi sempre aggiornata, ed e’ notizia di questi ultimi giorni che anche Big G ha creato una Security Key dal nome “Titan Security Key“, in pratica e’ stata annunciata come una chiavetta per autenticarsi con la massima sicurezza ed a prova di phishing (ad oggi una delle vulnerabilita’ peggiori sul web).

In soldoni, la Titan Security Key, che inizialmente era disponibile solo per i clienti Cloud americani, oggi e’ in vendita sul Google Store per chiunque la volesse acquistare.
E’ un dispositivo di sicurezza utilizzato per gli account che sfruttano il doppio fattore di autenticazione, che permette di autenticare gli accessi tramite Bluetooth o USB.

Il dispositivo funziona con i browser più diffusi (incluso chiaramente Chrome) e può essere sfruttato all’interno di un crescente ecosistema di servizi che supportano lo standard FIDO, uno standard di autenticazione compatibile con numerose app e browser (gli account Google supportano le chiavi di sicurezza e altri accessi FIDO gia dal 2014), di conseguenza, il dispositivo può essere utilizzato anche per accedere a servizi diversi da Google (Facebook, Twitter, Dropbox, Gmail….. e molti altri ), anche se questi potrebbero non essere in grado, in questo momento, di usufruire appieno del firmware speciale sviluppato da Google ed inserito nelle Titan Security Key.

Come accennato prima, esistono due versioni della Titan Security Key di Google: una è USB mentre l’altra e’ dotata di connettività Bluetooth.
In entrambi i casi la chiavetta andra’ accoppiata con i propri account seguendo le indicazioni fornite da Google all’interno della confezione.

La versione USB, dunque la chiavetta fisica in se, è di piccole dimensioni, mentre la seconda versione, altrettanto piccola, essendo basata su tecnologia Bluetooth, a differenza della precedente non richiede l’inserimento fisico nel dispositivo (PC/Mac), ma è sufficiente la pressione del pulsante, presente su una delle facce, ed un accoppiamento via/Bluetooth per poter inviare i token di accesso/login nel momento desiderato.
La funzionalità del Token di sicurezza è la medesima della versione USB e, nella confezione è fornito un cavetto USB utile per la configurazione iniziale.

Ad oggi, dalle stime di Google soltanto il 10% degli account Google hanno attivato il sistema di autenticazione a due fattori sui relativi device. Una percentuale davvero bassa e sicuramente molte persone non gradiranno dover pagare un’oggetto per aumentare la loro sicurezza, poiche’ ci si aspetta che essa debba essere garantita e gratuita.

Molti ancora non vorranno doversi portare (seppur davvero piccolo e leggero) dietro l’ennesimo device/oggetto; ma al momento e’ un piccolo prezzo da pagare nella fase di adeguamento che subira’ Internet come lo conosciamo oggi, poiche’ quando nacque alla fine degli anni 60 (parlando di ARPANET) i protocolli creati all’inizio e che ancora sostengono il core dell’infrastruttura che chiamiamo Internet non erano pensati per i livelli di sicurezza richiesti oggi.

Concludo aggiungendo che per coloro che usano molti dei servizi offerti da Google per il proprio lavoro professionale, i token di sicurezza Titan sono compatibili con il Programma di protezione avanzata, il più potente strumento per la sicurezza offerto da Google per preservare gli Account Google (come giornalisti, attivisti, dirigenti aziendali e team di campagne elettorali) dal rischio di attacchi mirati.

NGROK – reverse proxy server cross-platform

ngrok mostrare un sito in locale

Ngrok Pubblica il tuo sito in localhost

Lo sviluppo di siti e di Webb Application e’, al giorno d’oggi, uno dei core business piu’ importanti per la maggior parte delle aziende in tutto il mondo, motivo per cui sono nati una grande quantita’ di tool per agevolare i web developer durante tutte le operazioni di sviluppo, test e produzione.

Molto spesso capita che non si abbia il tempo o anche il budget per gestire piu’ ambienti di sviluppo, cosi ci si riduce per avere tutto il proprio ambiente [sviluppo / test / pre produzione] soltanto sul proprio pc.

Come fare quindi se c’e’ bisogno di mostrare l’avanzamento del lavoro al cliente senza dover prima creare e/o aggiornare gli altri ambienti di test/pre-produzione??? …. e’ per aiutare in questa pressante fase che e’ nato un tool come ngrok.

Ngrok e’ un reverse proxy server con cui e’ possibile rendere “pubblico” un server locale, anche se e’ collocato dietro un NAT od un Firewall, il tutto tramite secure tunnel. Quindi attraverso Ngrok si potra’ implementare un personal cloud service direttamente dalla propria postazione di lavoro realizzando cosi uno stack LAMP/LEMP

 

INSTALLAZIONE

mkdir ngrok
cd ngrok/
wget -c https://bin.equinox.io/c/4VmDzA7iaHb/ngrok-stable-linux-amd64.zip
unzip ngrok-stable-linux-amd64.zip

Dopo aver installato il pacchetto possiamo fare una prova, se ad esempio usate come web server Apache, potete farlo in questo modo;

sudo nano /var/www/html/index.html

<!DOCTYPE html> <html> <body> <h1>Prova</h1> <p>Test di Ngrock.</p> </body> </html>

Salviamo il file e ora possiamo avviare il tool puntandolo sulla porta su cui abbiamo in ascolto il nostro Web server:

ngrok http 80

Una volta lanciato il comando ci apparira’ qualcosa di simile:

Session Status online Session Expires 7 hours, 53 minutes
Version 2.2.8 Region United States (us)
Web Interface http://127.0.0.1:4040
Forwarding http://44c9afca.ngrok.io -> localhost:80
Forwarding https://44c9afca.ngrok.io -> localhost:80

Una volta avviato possiamo dunque iniziare ad usarlo anche tramite la comoda interfaccia Web:

http://localhost:4040

ngrok localhost

Tornando alla descrizione del Tunnel appena creato, le voci a cui dobbiamo fare caso sono:

  • Web Interface: tramite questo indirizzo potrai accedere ad un’interfaccia web dove puoi monitorare tutte le attività associate all’url che hai appena creato. Questo vuol dire che potrai vedere quanti utenti si stanno collegando ed altre informazioni.
  • Forwarding: questo è il link che dovrai fornire al tuo cliente. Hai entrambe le versioni, sia http che https. Lavorando in locale probabilmente userai quasi sempre l’http.
  • HTTP Requests: In questa sezione vedrai in tempo reale tutte le richieste http che vengono fatte tramite il tuo link. Ti è utile per capire se qualcuno sta guardando il sito in un dato momento.

Quindi dando al proprio cliente il link http://44c9afca.ngrok.io  quest’ultimo avra’ accesso alla root web del localhost

Questo vuol dire che se stai utilizzando MAMP o XAMPP verrà servito il file index.php all’interno della tua cartella /htdocs

Se invece utilizzi WAMP su Windows il tuo tunnel porterà gli utenti alla index.php della cartella www

Per coloro che utilizzano un Virtual Host per gestire i tuoi progetti la procedura e’
leggermente diversa ma pur sempre semplice; nella pratica bastera’ aggiungere un solo
parametro, come nell’esempio seguente:

ngrok http -host-header=miosito.dev 80

dove ovviamente al posto di “miosito.dev” metterete l’indirizzo del vostro in locale. ** WordPress per coloro che invece usano la piattaforma di WordPress si dovranno applicare altri accorgimenti per far in modo che il vostro cliente veda correttamente il sito. Questo perche’ tutti gli url che creati da WordPress sono assoluti ovvero mostrano per esteso l’indirizzo di un determinato documento. Per poter effettuare questo tipo di modifica consiglio di utilizzare un comodo tool come Relative URL , un tool che fa gia parte dei plugin consigliati da WordPress, con il quale sara’ possibile modificare URL da qualcosa come questo (esempio):

http://localhost:8080/wp/2012/09/01/hello-world/

in qualcos’altro come questo:

/wp/2012/09/01/hello-world/

Una volta effettuate tutte le modifiche del caso bisognera’ aggiornare il file wp-config.php
inserendo, prima della riga “/* i parametri dei re indirizzamenti, qualcosa del tipo:

define('WP_SITEURL', 'http://' . $_SERVER['HTTP_HOST']);
define('WP_HOME', 'http://' . $_SERVER['HTTP_HOST']);

PS:Ricordatevi di disinstallare il plugin e rimuovere le righe di codice dal file wp-config.php quando metterete il sito online.

Le configurazioni possibili con Ngrok sono davvero svariate e potete trovare tutto cio che non e’ stato contemplato in questo articolo, direttamente sul sito del progetto NGROK

Navighi e ti sembra che gli annunci siano fatti ad hoc per te? Retargeting

Retargeting - instrada i tuoi acquisti

RETARGETING – instrada i tuoi acquisti

Ieri sera, durante la nuova puntata di “Fratelli di Crozza” (del 12/05/17), nella gag dell’ INC.COOL.8 , Crozza ha svelato al grande pubblico come funziona una tecnica avanzata di Marketing detta Retargeting. Vediamo di capire meglio di cosa si tratta e come funziona.

Il Remarketing, noto anche come Retargeting, è una forma di pubblicità online che si rivolge agli utenti sulla base delle loro precedenti azioni su Internet, in situazioni in cui tali azioni non si traducono in vendita o conversione.
Questa forma di marketing comportamentale e’ molto interessante per le aziende che c’investono soldi perche’ li aiuta a mantenere il loro marchio comunque visibile agli utenti anche dopo che essi hanno lasciato il sito web.

Per la maggior parte dei siti, solo il 2% del traffico web si tramuta in vendita di prodotti sin dalla prima visita, mentre il Retargeting è uno strumento progettato per aiutare le aziende a raggiungere quel 98%  degli utenti che non hanno effettuato subito una delle azioni desiderate dal sito web, quali (acquisto, contatto, iscrizione etc.).

Come funziona il Retargeting?
Il Retargeting è una tecnologia basata sui cookie, che utilizza un semplice codice  Javascript anonimo per “seguire” il pubblico su tutto il web.

Sei un’azienda ? Ecco come funziona:
devi inserire un piccolo pezzo di codice nel tuo sito web (questo codice è a volte indicato come “pixel”), che viene generato quando si attiva una campagna. Il codice, o pixel, è impercettibile per i visitatori del sito e non influisce sulle prestazioni del sito. Ogni volta che un nuovo visitatore accede al sito, il codice rilascia al browser (Internet Explorer, Firefox, Chrome, Safari, Opera etc.) un cookie anonimo.
Più tardi, quando i visitatori tracciati da questi cookies, navigano sul web, il cookie permette al tuo fornitore di retargeting (ad esempio Google AdWords) di pubblicare annunci, assicurando che questi annunci vengano mostrati solo a persone che hanno già visitato il tuo sito.

Il Retargeting è molto efficace perché concentra i tuoi investimenti pubblicitari, il ROI (Return On Investment) su persone che hanno già familiarità con il tuo marchio e di recente hanno dimostrato interesse. Ecco perché la maggior parte dei marketer che lo utilizzano vedono un ROI più elevato rispetto alle altre campagne sui canali digitali.

Chi fornisce servizi di Retargeting?
E’ possibile attivare campagne di Retargeting sulla Rete Display di Google (un gruppo di oltre un milione di siti web che collaborano con Google per pubblicare annunci pertinenti) attraverso Google AdWords.

E’ anche possibile attivare il Retargeting su Facebook, in modo tale da mostrare i tuoi annunci sul popolare social network a chi ha visitato il tuo sito. Per ora non è possibile attivarlo direttamente dalla gestione delle inserzioni di Facebook, per attivarlo è necessario passare attraverso un fornitore terzo, come AdRoll o Perfect Audience.

Come fare campagne di retargeting di successo?
Il Retargeting è un potente strumento di branding e ottimizzazione delle conversioni,
ma funziona meglio in combinazione con il marketing inbound e outbound o di generazione della domanda. Ad esempio, strategie di marketing che coinvolgono contenuti, SEO, AdWords e Social Media Marketing (come gli annunci pubblicitari su Facebook, Linkedin, etc.) sono l’ideale per acquisire traffico, ma non aiutano l’ottimizzazione della conversione. Al contrario, il retargeting può contribuire ad aumentare le conversioni, ma non può guidare la gente al tuo sito. La migliore possibilità di successo sta perciò nell’utilizzare uno o più strumenti per indirizzare il traffico al tuo sito, e il retargeting per ottenere il massimo da quel traffico.

Come vedere tutto quello che hai cercato su Google

Google My Activity

Welcome to Google My Activity

Noi magari no ma Google ha una memoria davvero di ferro, infatti si ricorda tutto, ma proprio tutto quello che avete mai cercato mentre stavate usando il vostro account Google. Infatti, ogni ricerca fatta su Google lascia una traccia, così come rimane memoria dei luoghi che cerchiamo su Maps o dei video che guardiamo su YouTube.

Da qualche tempo però è possibile visualizzare e (volendo) cancellare tutte le attività svolte sul motore di ricerca e sui siti di sua proprietà (come ad esempio YouTube) attraverso My Activity, un portale costruito come la timeline di un social network in cui ritrovare tutto quello che è stato fatto attraverso il proprio account.

L’idea nasce per dare agli utenti la possibilità di conoscere quali dati vengono memorizzati da Big G e di poter gestire autonomamente la privacy della propria vita virtuale.

Pero’ la cosa potrebbe risultare imbarazzante se qualcuno vi rubasse l’account o se lasciaste incustodito il vostro computer o altro dispositivo digitale su cui usate il vostro account Google. L’imbarazzo potrebbe capitare a tutti, sia perché a Google oramai chiediamo qualunque cosa, senza pudori, sia perché una ricerca innocente potrebbe comunque causare equivoci.

Per consultare la vostra cronologia delle ricerche (che non è pubblica ma è accessibile solo a chi sa la password del vostro account Google) potete arrivarci collegandovi a history.google.com/history, che vi dirottera’ a myactivity.google.com/myactivity. Qui scoprirete un’ universo di dettagli cronologici non solo sulle vostre ricerche, ma anche sulle vostre attività su computer e telefonini associati al vostro account Google, comprese le app che avete usato e gli orari nei quali le avete usate.
Se avete usato un dispositivo mobile provvisto di geo-localizzazione abilitata, ci sara’ anche l’indicazione di dove eravate quando avete fatto la ricerca. Potete anche esplorare la cronologia usando un filtro per data, scegliendo per esempio, e poi selezionando, una data massima e una minima.

Se avete un account Google da molti anni, andare a sfogliare le informazioni risalenti a molto tempo fa richiedera’ un bel po’ di clic sul calendario del filtro, oppure per selezionare una data specifica si può usare l’URL seguente:

https://myactivity.google.com/myactivity?utm_campaign=continue&authuser=0&max=numero

dove numero è una sequenza di 16 cifre di cui sembrano essere significative solo le prime cinque; qualunque valore immesso nelle cifre successive non cambia la data.

Cosa colleziona Google su di noi?
Tre tipologie principali di dati. La prima riguarda le nostre attività: ricerche, siti web visitati, video guardati, annunci pubblicitari visualizzati, posizione su GoogleMaps e dati relativi a cookie e indirizzo Ip. Le seconde sono definite da Google “creazioni”, ovvero ciò che realizziamo utilizzando i suoi servizi: email inviate, contatti aggiunti, foto e video caricati, documenti e presentazioni ecc. E, in ultimo, gli “elementi personali” come nome, indirizzo email e password, data di nascita e le altre caratteristiche personali che ci contraddistinguono. Tra queste My Activity si focalizza principalmente sulla prima. E se è vero che basta impostare la navigazione anonima da browser per evitare che le aziende registrino le nostre “impronte digitali”, è altrettanto vero che impostando il profilo Google correttamente è possibile accedere da qualunque Pc o app senza più preoccupazioni.

Se volete eliminare l’intera cronologia, usate questo link: myactivity.google.com/delete-activity. Alla voce Elimina per data, scegliete Sempre e poi cliccate su Elimina: avrete un’ultima occasione per decidere se procedere con l’eliminazione o annullarla. Se cliccate di nuovo su Elimina, la cancellazione della vostra cronologia sarà definitiva e irrevocabile.

Per scaricare una copia completa della vostra cronologia di ricerca (magari prima di eliminarla dalla memoria di Google), potete andare a myactivity.google.com/more-activity e cliccare su Crea archivio nella sezione Scarica le ricerche precedenti: riceverete una mail che vi avviserà quando la cronologia sarà pronta da scaricare.

Per impedire che Google accumuli di nuovo queste informazioni sulle vostre attività, potete andare a myaccount.google.com/activitycontrols e disattivare Attività web e app.