Pillole di #penetrationtest
theHarvester è il più noto strumento automatico open source per realizzare semplicemente, ma efficacemente, la fase di information gathering, ed in particolare la Open Source Intelligence (OSINT) Gathering.
Questo strumento aiuta nella ricerca da fonti aperte di email, nomi di persone, sottodomini, indirizzi IP e URL, che caratterizzano la esposizione della azienda oggetto di penetration test su Internet (la sua "superficie di attacco non tecnica").
theHarvester arriva installato in Kali abile ad eseguire ricerche su motori di ricerca esclusivamente "aperti" (vedi google, duckduckgo, ecc).
Ma theHarvester supporta oltre 30 motori di ricerca, alcuni dei quali prevedono una chiave di accesso alla loro API, chiave di accesso che si ottiene solo previa registrazione.
Molti di questi motori "con chiave" possono essere in realtà ricchi di informazioni utili; sono: www.bing.com, www.github.com, www.hunter.io, www.intelx.io, https://pentest-tools.com, www.securitytrails.com, www.shodanhq.com, https://spyse.com.
La distro Kali (bontà sua) pre-registra una sola chiave per intelx, ma gli altri rimangono assolutamente non utilizzati fino a che non si provveda a registrare un proprio account su tali motori, acquisendone una chiave da porre nel file /etc/theHarvester/api-keys.yaml
, semplicemente compiandola dopo la parola chiave "key:" corrispondente al motore di ricerca.
Integrità del dato acquisito
La prova dell’integrità e dell’autenticità del dato, può essere fornita da sistemi crittografici e di firma digitale.
Viene calcolato un valore numerico, che ha la funzionalità dell’impronta digitale, sia per un singolo file che per l’intero dispositivo acquisito.
Confrontando il valore prima e dopo l’analisi si può essere sicuri che non sono state introdotte modifiche.
Un tool utile a tale scopo è aimage è uno strumento per creare una copia forense di un dispositivo in formato aff.
L'immagine risultante può essere in formato raw fatta con dd, in formato aff, o anche AccessData’s Forensic Toolkit (FTK).
AFF sta per Advanced Forensic Format che è un formato aperto con molteplici vantaggi:
-
Può memorizzare metadati arbitrari.
-
L'immagine può essere compressa con un livello di compressione elevato.
-
L'immagine risultante può essere crittografata.
-
L'immagine risultante può essere tagliata in pezzi più piccoli per adattarli su media o filesystem che non possono contenere file di grandi dimensioni.