Maltego è un tool sviluppato dalla società Paterva, che offre la possibilità OSINT (Open Source INTelligence) cioè di raccogliere informazioni tramite la consultazione di dati pubblicamente accessibili e raggrupparle, in formato grafico. Tramite questo strumento si è in grado di raccogliere informazioni da:
- Siti web
- Comunicazioni web (social network, wiki, blog, ...)
- Dati pubblici (conferenze stampa, rapporti dei governi, dati demografici, ...)
- Osservazioni dirette (dati geolocalizzati, conversazioni radio, foto satellitari, ...)
- Professionisti ed accademici (simposi, conferenze, pubblicazioni scientifiche, associazioni professionali, ...)
Maltego con OSINT os: architettura client/server
Viene utilizzata un'architettura client/server per la raccolta dei dati e per determinare le relazioni fra di essi. Le principali categorie da cui possiamo partire nelle nostre ricerche sono:
- Dispositivi
- Dispositivo (un dispositivo come un telefono o fotocamera)
- Infrastrutture
- AS (internet Autonomous System)
- Nome DNS (un servizio di Domain Name System)
- Dominio (un dominio web)
- Indirizzo Ipv4 (un indirizzo della tipologia v4 es: 12.34.56.78)
- Record MX (Mail eXchange)
- Record NS (Name Server)
- Blocco di indirizzi ipv4
- URL (Uniform Resource Locator)
- Sito web
- Posizioni
- Posizione (Una coordinata geografica)
- Personale
- Alias (uno pseudonimo di una persona)
- Documento
- Indirizzo e-mail
- Immagine
- Persona
- Numero di telefono
- Frase (un testo parziale o totale)
- Social Network
- Oggetto Facebook
- Tweet
- Affiliazione facebook (un url specifico appartenente ad una persona)
- Affiliazione Twitter (n url specifico appartenente ad un utente)
Ogni categoria al suo interno cela molte altre informazioni ed ampliamenti atti a focalizzare l'attenzione sul dato utile. Ogni categoria è collegata con le altre grazie ad un intelligenza artificiale.
Maltego è programmato in Java ed è quindi multi-piattaforma (può essere installato sia su Windows, Linux che Mac)
Installazione: Maltego
E' possibile scaricare Maltego dal sito ufficiale
Ci verrà subito chiesto se vogliamo prendere la versione Community (gratuita) o la versione Commercial (a pagamento). Le differenze sono le seguenti:
COMMUNITY |
COMMERCIAL |
|
|
Detto questo, a voi la scelta.
Per l'installazione sotto Linux basterà avviare il giusto comando a seconda della distribuzione che si usa:
dpkg -i maltego.deb
oppure per RPM
rpm -i .rpm
Altrimenti c'è la versione ZIP che comprende l'intera cartella installata di Maltego. Per avviarlo basterà quindi cliccare sull'eseguibile "maltego" dalla cartella /bin/
Primo avvio e registrazione Maltego
La versione in uso è la 3.4.1 presente sull'ultima release di Kali Linux (Ex Backtrack). Al primo avvio ci verrà chiesto di inserire le informazioni di accesso alla versione Community (username e password) oppure, se non li abbiamo ancora, è presente un link per registrarsi.
La registrazione, fatta interamente sul sito non sul programma, richiede poche informazioni. Vi verrà inviato per mail un codice di attivazione ed una volta confermato saremo pronti per proseguire: l'ultimo step prima di poter utilizzare Maltego sarà quello dell'aggiornamento delle trasformate. Questo sincronizzerà i dati delle trasformate sul client, tramite il server di Paterva.
E questa sarà la schermata iniziale di Maltego:
Il segreto di Maltego: le trasformate!
Tutto il lavoro di ricerca e aggregazione intelligente viene svolto dalle così dette "trasformate". Sono dei piccoli moduli che risiedono nel server ed è possibile customizzarli (non modificarli completamente). Ogni componente da cui si parte ha il suo set di trasformate:
Nell'immagine possiamo vedere un esempio di trasformate che si possono utilizzare sul componente URL. E' possibile avere maggiori informazioni su cosa faccia la trasformata cliccando sull'icona blue. Mentre invece l'icona grigia, vicino al nome, serve a modificare alcuni dei campi.
Come usare Maltego: esempi
Avete mai pensato che le mail che leggiamo tutti i giorni sono fisicamente su uno (o piu) computer da qualche parte del mondo? In questo primo esempio vedremo come identificare la nazione in cui risiedono le mail che mandiamo ad uno specifico dominio.
L'elemento iniziale da cui siamo partiti per le ricerche è di tipo URL e ci consente di specificare un solo indirizzo web.
La prima operazione che abbiamo chiesto a Maltego è quella di estrarre gli MX (Mail eXchangers, utilizzati per lo smistamento della posta) in uso su quel dominio. Il risultato è che la posta del dominio ihteam.net è gestita dai server Google. A questo punto abbiamo bisogno di trovare l'ip dei server MX di Google ed infine possiamo avviare la geolocalizzazione che ci dirà che le mail inviate ad "info@ihteam.net" sono immagazzinate in un server a Mountain View, negli USA.
Un'altra grande potenzialità di Maltego risiede nel controllo delle immagini. All'interno del file immagine ci sono decine di informazioni utili ad una ricerca forense.
L'elemento usato per questo scopo è "Device", basterà dargli in pasto l'immagine ed aprire i dettagli per trovarci di fronte a questo schermata:
Informazioni come:
- Tempo si esposizione
- Uso del flash
- ISO
- Modello fotocamera
- Dati GPS
Sono tutte inserire all'interno delle foto che facciamo con il nostro cellulare o con la nostra fotocamera tutti i giorni. Cercando poi le coordinate GPS della foto sotto esame, vi posso assicurare che è di una precisione imbarazzante:
Cerchiamo ora di vedere l'utilizzo del componente "E-mail Address". Specificando un indirizzo email è stato possibile risalire al Nome e Cognome dell'utilizzatore (grazie alla trasformata che "ficca il naso" sui server PGP). Dal nuovo dato estratto siamo riusciti poi ad estrapolare ulteriori indirizzi e-mail appartenenti a quella stessa persona (ricerche su Google in maniera intelligente).
Conclusioni su Maltego OSINT os
Abbiamo visto come funziona un software di opensource forense e ci siamo resi conto quanto sia facile trovare informazioni partendo da un dato iniziale (che sia un nome, una mail, una foto, ...). Maltego non sfrutta canali preferenziali o database segreti: tutte le informazioni che vengono estrapolate sono pubblicamente accessibili da chiunque. Siamo noi utenti che, col passare del tempo, abbiamo fornito ad "Internet" tutte le informazioni, dati, email e chi più ne ha, più ne metta. Pensateci due volte quindi prima di pubblicare un tweet o uno status con visibilità pubblica su Facebook, c'è già qualcuno che vi sta osservando.