SHIELD

Identità

OSINT difensivo: ciò che lei lascia trapelare

Usare gli strumenti dell'intelligence offensiva su sé stessi per anticipare ciò che un avversario vedrà in 2 ore.

Pubblicato il 15 min di lettura Exposed

Ultima revisione:

Lente di ingrandimento su sfondo di dati digitali

«Non c’è niente su di me online», mi dice il cliente aprendo la riunione. Due ore dopo, sullo schermo del proiettore, mostro la sua casa di villeggiatura, il nome dei suoi due figli, il suo vecchio numero di cellulare del 2014 ancora attivo su un account dimenticato, e la foto del suo ufficio scattata dalla sua finestra — con le coordinate GPS nei metadati. Non ha detto una parola per trenta secondi. Non è che mentisse. Non sapeva ciò che non sapeva.

Angle de lecture

La trappola abituale

La maggior parte delle persone confonde due cose che non hanno nulla a che vedere: «non emerge niente quando digito il mio nome su Google» e «niente è trovabile da qualcuno che sa cercare». Il primo è una vista filtrata, ordinata da un algoritmo concepito per la pertinenza commerciale e la freschezza, che le mostra ciò che ha intenzionalmente pubblicato e ciò che ha generato engagement. Il secondo è il lavoro di un investigatore che parte da un dato di partenza e tira il filo fino a ricostruire un profilo. Queste due attività non si assomigliano nemmeno.

Il discorso dominante sull’argomento si articola in due consigli: «si cancelli da Google» e «faccia una richiesta di diritto all’oblio». Entrambi sono illusioni confortevoli. La deindicizzazione GoogleIntelligence da fonti aperte (pubbliche): social network, registri, archivi. UE ritira un risultato dall’indice europeo — la pagina sorgente esiste ancora, l’archivio esiste ancora, il motore americano la mostra ancora, e l’attaccante che sa cercare non passa comunque dalla prima pagina di Google. Quanto al GDPRRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018. articolo 17, ha una portata reale ma limitata, soggetta a eccezioni estese, e nessuna presa sulle basi di dati di fughe né sugli attori fuori giurisdizione.

C’è una terza illusione, più perniciosa: «non ho niente da nascondere, quindi non ho niente da temere». Confonde due questioni distinte. La questione non è sapere se le sue informazioni siano vergognose — non lo sono quasi mai. La questione è sapere se la loro aggregazione dia a un avversario di che prenderla di mira. Il suo indirizzo, il nome dei suoi figli, il suo tragitto quotidiano, il nome del suo banchiere: nessuno di questi dati è segreto, e la loro combinazione è precisamente ciò che rende un attacco possibile. Il pericolo non è nel segreto violato, è nell’incrocio.

L’OSINTIntelligence da fonti aperte (pubbliche): social network, registri, archivi. difensivo capovolge completamente la logica. Invece di cercare di cancellare, lei fa lei stesso ciò che farebbe un avversario — prima di lui, con i suoi strumenti, nel suo stato d’animo. L’obiettivo non è «sparire»: è sapere precisamente ciò che un attaccante competente vedrà di lei in due ore, e trasformare questa conoscenza in decisioni. Non si può difendere una superficie d’attacco che non si è mai guardata. E la buona notizia, che sorprende sempre i miei clienti: la maggior parte di questa superficie si riduce con gesti gratuiti e rapidi — tagliare una geolocalizzazione, chiudere tre account morti, pulire dei metadati. Il costoso è l’ignoranza, non il rimedio.

Il modello di minaccia reale: ciò che un avversario ricostruisce in due ore

L’OSINT non è una lista di ricerche Google. È un metodo a grafo: si parte da un dato di partenza — un nome, un indirizzo email, un nickname — e si esplorano gli archi che collegano questo dato ad altri. Ogni nuovo dato diventa un nuovo punto di partenza. Il profilo si costruisce per accumulo e incrocio, non con una query magica.

Ecco lo svolgimento tipico di un esercizio di ricognizioneIntelligence da fonti aperte (pubbliche): social network, registri, archivi. su una persona identificata, come lo pratico nelle missioni. Punto di partenza: un indirizzo email professionale. Da questo indirizzo, strumenti come Holehe testano silenziosamente qualche centinaio di servizi online per identificare quali riconoscono l’indirizzo come un account esistente — senza mai allertare il bersaglio. Si scoprono così account dimenticati: un vecchio forum, una piattaforma di car pooling, un servizio di archiviazione, un sito di incontri. Ciascuno di questi account porta spesso un nickname. Secondo salto: dall’email ai nickname. Con Sherlock, si cerca questo nickname su diverse centinaia di piattaforme simultaneamente. Un nickname riutilizzato da quindici anni collega l’account GitHub professionale all’account gaming di adolescente, al forum di appassionati di aviazione, all’account di discussione su un problema di salute postato anonimamente — solo che l’anonimato non regge quando il nickname è lo stesso ovunque.

Terzo salto: dagli account ai contenuti. Gli account contengono foto, commenti, date, luoghi. È lì che i metadatiDati sui dati: chi ha scritto cosa, quando, dove, a chi. entrano in gioco. Una foto scattata con lo smartphone incorpora per impostazione predefinita dati EXIFMetadati allegati alle immagini: data, GPS, modello di dispositivo, parametri di scatto.: coordinate GPS precise, marca temporale al secondo, modello di dispositivo. Questi metadati sopravvivono all’upload su numerose piattaforme e negli allegati email. Una serie di foto pubblicate cartografa un domicilio, un luogo di lavoro, abitudini, un’agenda. Quarto salto: le fughe. In parallelo, si passa l’indirizzo email in Have I Been PwnedServizio pubblico gratuito di Troy Hunt che indicizza le email compromesse nelle violazioni pubbliche. e nelle basi di fugheServizio che indicizza i dati provenienti da violazioni pubbliche o semi-pubbliche. a pagamento (DeHashed, Intelligence X). Vi si trovano vecchie password in chiaro, numeri di telefono associati, a volte un indirizzo postale. Una password del 2014 riutilizzata con una variazione minima diventa una chiave.

In fondo alla catena — email → account → nickname → foto → coordinate GPS → indirizzo → numero di telefono → cerchia → datore di lavoro — l’investigatore dispone di un dossier che avrebbe richiesto un pedinamento fisico vent’anni fa. Il tutto in due ore, da una poltrona, per qualche centinaio di euro di prestazione. E questo dossier non è una fine: è la materia prima di un attacco. Il social engineeringManipolazione umana per ottenere informazioni o azioni, aggirando le difese tecniche. serio non inizia con un exploit tecnico, inizia con questa ricognizione. Il pretesto credibile — «Buongiorno, sono un collega di Gianmarco, mi ha chiesto di chiamarla direttamente a proposito del dossier di Milano» — si costruisce interamente a partire da ciò che l’OSINT ha rivelato.

Le fonti che nessuno pensa di includere

Quando elenco con un cliente i luoghi dove è esposto, cita spontaneamente LinkedIn, Facebook, forse Twitter. Dimentica sistematicamente gli strati che fanno il vero lavoro di un investigatore. I registri pubblici anzitutto: in Italia, il Registro delle Imprese consultabile tramite le Camere di Commercio rende accessibili i suoi mandati sociali, le società di cui è stato amministratore, i loro indirizzi, a volte la sua remunerazione se la società era quotata; i bollettini e gli albi pubblicano gli annunci legali, le sentenze e le procedure concorsuali. Questi dati non sono una fuga, sono pubblici per obbligo di legge, e il GDPR non vi ha alcuna presa. Per un dirigente, cartografano una vita professionale completa in qualche minuto.

Gli archivi poi. La Wayback MachineArchivio web dell'Internet Archive, che cattura le pagine dal 1996. cattura pagine web dal 1996: il suo sito personale ospitato presso un fornitore gratuito nel 2009, il suo profilo LinkedIn del 2013 quando era consulente junior, il forum su cui postava con il suo vero nome a ventidue anni — tutto resta consultabile. archive.today permette a chiunque di congelare uno snapshot permanente di una pagina, senza meccanismo ufficiale di rimozione. Eliminare la pagina sorgente non elimina l’archivio.

Il WHOIS storico infine, un angolo cieco classico. Se lei ha un giorno registrato un nome di dominio senza protezione della riservatezza, il suo nome, il suo indirizzo, la sua email e il suo telefono sono stati iscritti nella base WHOIS pubblica. Attivare la protezione più tardi non elimina niente: servizi di storico come DomainTools o ViewDNS conservano le registrazioni anteriori. Ho ritrovato l’indirizzo personale di un dirigente tramite un dominio che aveva riservato per il blog della moglie nel 2011, e abbandonato da allora.

L’investigatore non si accontenta di raccogliere: incrocia. Un indirizzo trovato in un WHOIS del 2011 conferma una zona geografica dedotta da una foto geolocalizzata del 2022. Un datore di lavoro elencato su LinkedIn convalida un’email professionale trovata tramite Holehe. Un nickname di gaming collega un account «anonimo» su un forum all’identità anagrafica. Ogni incrocio aumenta la fiducia e riduce il rumore. È la differenza tra una lista di dati sparsi e un dossier sfruttabile.

L’approccio giusto: l’audit OSINT come routine, non come panico

La commutazione pragmatica si articola in una frase: lei non si cancella, si verifica. La cancellazione totale è impossibile e perseguirla esaurisce risorse per un risultato mediocre. L’audit, esso, è fattibile, ripetibile, e produce decisioni concrete. La buona postura non è «cancellare tutto», è «sapere cosa è esposto, e decidere per ogni cosa cosa farne».

Concretamente, un audit difensivo segue la stessa logica a grafo dell’attacco, ma rivolta verso sé stessi. Lei elenca anzitutto i suoi dati di partenza: nomi e varianti (nome di nascita, nome da coniugata, soprannomi professionali), indirizzi email attuali e storici, nickname attuali e vecchi, numeri di telefono, nomi di dominio che ha registrato. Passa poi ogni dato negli strumenti: Holehe sulle email per trovare gli account dimenticati, Sherlock sui nickname per trovare le piattaforme, Have I Been Pwned sulle email per le fughe, ExifTool sulle proprie foto e documenti pubblicati per i metadati. Lei incrocia, annota, costruisce il suo proprio grafo di esposizione. Nessuno di questi strumenti è riservato ai professionisti: Holehe, Sherlock ed ExifTool sono open source e gratuiti, Have I Been Pwned è pubblico.

Viene poi la decisione, che è la parte che conta davvero. Per ogni esposizione identificata, lei sceglie tra quattro opzioni. Mutare: cambiare il dato sottostante — chiudere un account e ricrearne uno sotto un’identità compartimentata, far ruotare un indirizzo email. Rimuovere: eliminare il contenuto, disattivare l’account, chiedere la deindicizzazione quando ha senso. Ridurre: passare un profilo in privato, togliere un numero di telefono da una pagina pubblica, disattivare la condivisione GPS di un’applicazione. Accettare: assumere un’esposizione inevitabile (i suoi mandati sociali al Registro delle Imprese, per esempio) preparando la risposta nel caso fosse sfruttata. La disciplina non è nell’esaustività della pulizia — è nella regolarità dell’audit. Un dirigente esposto dovrebbe rifare l’esercizio ogni trimestre; un privato, una volta all’anno è ampiamente sufficiente.

Una sfumatura operativa spesso ignorata: si faccia verificare da un terzo, almeno una volta. Lei ha un angolo cieco su sé stesso. Sa quali account ha «voluto» chiudere, non sa quali esistono realmente ancora. Un investigatore esterno, senza pregiudizi, troverà cose che lei ha dimenticato di aver pubblicato. È lo stesso principio di un pentest: non ci si verifica da soli per davvero.

Una parola sulla legalità e l’igiene dell’esercizio

Fare dell’OSINT su sé stessi non pone alcun problema: sono i suoi dati, i suoi account, le sue fonti aperte. Il confine si sposta non appena l’esercizio riguarda qualcun altro — i suoi dirigenti, per esempio. Un audit OSINT mandato dall’organizzazione sui propri quadri deve essere inquadrato da un mandato scritto, un perimetro definito, e il consenso informato delle persone interessate. Non si fruga l’esposizione di un collaboratore a sua insaputa; gli si spiega l’obiettivo difensivo, si raccoglie il suo accordo, e gli si restituisce il dossier perché agisca. Il prestatore terzo lavora solo su fonti aperte: nessun accesso a account, nessun aggiramento di autenticazione, nessun acquisto di dati rubati. La linea è netta tra consultare una fuga già pubblica per misurare la propria esposizione, e acquisire dati illegalmente — la prima azione è difensiva, la seconda è un reato.

Sul fronte igiene, due riflessi. Primo, registri il suo audit: tenga un foglio di monitoraggio per esposizione trovata, con la decisione presa (mutare, rimuovere, ridurre, accettare) e la data. È questo documento che trasforma un colpo di panico puntuale in routine misurabile, e che permette di confrontare da un trimestre all’altro. Poi, conduca l’audit da un ambiente pulito: un browser dedicato, disconnesso dai suoi account, idealmente su un profilo separato, per non inquinare i suoi risultati con le sue stesse sessioni attive e per vedere realmente ciò che un terzo vede — e non ciò che le piattaforme le mostrano perché sanno che è lei.

Cosa comporta concretamente

Angle de lecture

Per lei, come persona

I suoi metadati sono il suo angolo cieco più accessibile e più velocemente corretto. Le sue foto LinkedIn e Twitter contengono forse coordinate GPS. I suoi documenti PDF e Word condivisi contengono forse il suo nome completo d’autore e lo storico delle revisioni. Tutto questo si risolve in qualche minuto, senza budget.

Le sue tre priorità, questa settimana, per meno di 200 € (spesso 0 €):

  1. Verifichi i suoi metadati EXIF, poi li tagli alla fonte. Installi ExifTool (gratuito, brew install exiftool su Mac, pacchetto libimage-exiftool-perl su Linux) e lanci exiftool ~/Desktop/mia-foto.jpg sulle sue ultime dieci foto pubblicate: cerchi le righe GPS Latitude e GPS Longitude. Su smartphone, tagli poi la geolocalizzazione della fotocamera (iOS: Impostazioni → Privacy → Localizzazione → Fotocamera → Mai; Android: impostazioni dell’app Fotocamera, disattivare i tag di luogo). Costo: zero.

  2. Faccia il giro dei suoi account dimenticati e delle sue fughe. Passi i suoi indirizzi email principale e secondari in Have I Been Pwned. Per ogni fuga che contiene una password ancora in uso: la cambi immediatamente, ovunque. Poi lanci Holehe sui suoi indirizzi per riscoprire gli account che aveva dimenticato, e chiuda quelli che non servono più. Costo: zero.

  3. Verifichi le sue applicazioni che condividono una posizione. Orologio sportivo, applicazione di corsa, di ciclismo, di camminata: verifichi che il profilo non sia pubblico e che i suoi percorsi non partano dalla sua porta d’ingresso. Disattivi la condivisione pubblica, o definisca una «zona di riservatezza» intorno al suo domicilio nelle impostazioni dell’app. È la trappola che mi ha permesso di localizzare un dirigente in un’ora. Costo: zero.

Per lei, CISO / Direzione IT / dirigente

1. Commissioni un esercizio OSINT offensivo sui suoi 3-5 dirigenti più esposti. Un prestatore terzo, mandato per iscritto, produce il dossier che un attaccante produrrebbe: esposizione email, account personali, metadati, registri, cerchia cartografata, scenari di pretesto plausibili. Il deliverable non è un rapporto di conformità, è una mappa d’attacco. Conseguenza diretta: lei conosce la sua esposizione reale prima del suo avversario, e prioritizza i rimedi su fatti, non su ipotesi. È uno dei migliori rapporti costo/intelligence di tutto il suo budget sicurezza.

2. Integri l’esposizione esterna delle persone-chiave nel suo threat modelIntelligence da fonti aperte (pubbliche): social network, registri, archivi., non solo il suo perimetro tecnico. Il suo EDR, il suo SIEM, il suo firewall non vedono niente della ricognizione che si svolge su LinkedIn, nelle fughe e nei registri pubblici. L’anello d’ingresso di un attacco mirato è quasi sempre una persona, ricostruita tramite OSINT. Conseguenza diretta: un audit di esposizione annuale sui vertici aziendali e le funzioni sensibili (legale, M&A, R&S, finanza, assistenza di direzione) diventa tanto strutturante quanto un pentest applicativo, e alimenta direttamente il suo programma di sensibilizzazione mirata.

3. Tratti i metadati documentali come una fuga organizzativa, non come un dettaglio individuale. I suoi team pubblicano preventivi, rapporti, risposte a bandi di gara, PDF sul sito aziendale — spesso con il nome dell’autore, il percorso del file interno, e a volte revisioni recuperabili. Conseguenza diretta: una pulizia sistematica dei metadati prima della pubblicazione esterna (script di strip nella catena di pubblicazione, o controllo manuale per i documenti sensibili) chiude un vettore di ricognizione che nessuno sorveglia. È una misura a costo quasi nullo e a valore difensivo sproporzionato.

Errori che si vedono di continuo

  • Cercare solo il proprio nome. Il nome è il dato di partenza più povero. I nickname, gli indirizzi email secondari, i nomi di dominio, il nome dell’azienda sono punti d’ingresso molto più produttivi per un investigatore — e quindi per il suo audit.
  • Credere che eliminare un post cancelli l’informazione. La Wayback MachineArchivio web dell'Internet Archive, che cattura le pagine dal 1996., archive.today, le cache dei motori e le ripubblicazioni da parte di terzi conservano ciò che lei ha ritirato. Eliminare riduce la visibilità, non cancella.
  • Dimenticare i metadati dei documenti. Decine di PDF professionali pubblicati contengono il nome dell’autore, l’organizzazione, e a volte versioni intermedie recuperabili. È sistematicamente trascurato, dai privati come dalle organizzazioni.
  • Sottostimare le tracce di gaming e di sport. Steam, Discord, Twitch, e soprattutto le piattaforme di condivisione di attività sportiva: nickname vecchi legati a email personali, percorsi GPS pubblici, raramente verificati durante un audit di superficie.
  • Confondere «profilo discreto» e «profilo compartimentato». Pubblicare poco non protegge se il poco che lei pubblica collega le sue identità tra loro. La protezione viene dalla separazione delle identità per usoAzienda che raccoglie, aggrega e rivende dati personali su larga scala., non dal silenzio.
  • Fare l’audit una volta e considerare l’argomento chiuso. La sua esposizione è viva: nuovi account, nuove fughe, nuove pubblicazioni. Un audit isolato scade in qualche mese.

Checklist azionabile

  • N1 Elencare i propri dati di partenza: nomi e varianti, email attuali e storiche, nickname attuali e vecchi, numeri di telefono, domini
  • N1 Verificare i propri indirizzi email su Have I Been Pwned, e cambiare immediatamente ogni password ancora in uso che appare in una fuga
  • N1 Lanciare ExifTool sulle proprie 10 ultime foto pubblicate e verificare i campi GPS Latitude / GPS Longitude
  • N2 Tagliare la geolocalizzazione nell'applicazione fotocamera dello smartphone
  • N2 Verificare che le applicazioni sportive (orologio, corsa, bici) non condividano percorsi pubblici che partono dal domicilio
  • N2 Passare Holehe sui propri indirizzi email per riscoprire e chiudere gli account dimenticati
  • N2 Passare Sherlock sui propri nickname attivi e vecchi, e ripulire gli account che collegano le identità tra loro
  • N2 Verificare e ripulire i metadati dei documenti PDF/Word pubblicati su siti terzi
  • N2 Togliere il numero di telefono dai profili pubblici (LinkedIn, forum, firme, annunci)
  • N3 Mettere in atto un'allerta sul proprio nome e sui propri nickname principali
  • N3 Per profilo esposto: commissionare un esercizio OSINT offensivo da parte di un terzo e misurare il tempo di ricostruzione
  • N3 Per organizzazione: integrare l'esposizione esterna dei vertici aziendali nel threat model e nel cruscotto trimestrale

Per approfondire

I riferimenti strutturanti figurano nel frontmatter di questo articolo. Per il metodo e la strumentazione, l’OSINT Framework cartografa gli strumenti per tipo di dato, il Bellingcat Online Investigation Toolkit è la cassetta degli attrezzi degli investigatori di riferimento, e l’opera Open Source Intelligence Techniques di Michael Bazzell — ex dell’FBI — resta il manuale più completo, aggiornato regolarmente. Per la strumentazione difensiva immediata: la documentazione di ExifTool per i metadati, e Have I Been Pwned per il monitoraggio delle sue fughe.

Per l’inquadramento strategico che dà tutto il suo senso a questo audit, veda I suoi dati sono già pubblici e L’audit di esposizione. Per trasformare l’esposizione cartografata in architettura difensiva, veda Compartimentazione dell’identità. E per capire come questi dati alimentano un attacco concreto, SIM swapping e Dirigente esposto.

Fonti e approfondimenti

Articoli correlati