La quantità di informazioni che ci lasciamo dietro quando navighiamo in Rete è immensa e la maggior parte di queste le rilasciamo in modo inconsapevole. Un esempio banale? Pensiamo alle pagine pubbliche dei Social Network, che identificano i nostri profili. La maggior parte dei dati che vengono richiesti in fase di registrazione, compongono infatti la pagina pubblica ed accessibile a chiunque all’interno di un Social.
Non pensiamo solamente alle piattaforme più note, come Facebook, Instagram, Twitter, ma anche e soprattutto a quei Social medio-grandi le cui impostazioni di privacy, per default, sono spesso blande.
Ecco che, sfruttando questa immensa molte di dati che ci lasciamo dietro negli anni (e nelle decadi, ormai), è possibile generare dei report interessati su una persona, semplicemente conoscendo il suo username, il suo nome o il suo cognome. Certo, effettuare un’analisi manuale di questo tipo richiederebbe tempo e pazienza, ma se a farlo è un software, in pochi minuti sarà possibile scansionare centinaia di piattaforme alla ricerca di informazioni pubbliche.
Questa è una delle tante tecniche che fanno parte della OSINT (Open Source INTelligence) e che viene sfruttata dallo strumento che oggi vi presento: Sherlock, disponibile gratuitamente su GitHub.
Sherlock, una volta avviato, permette di ricercare in pochi minuti le pagine pubbliche, partendo dal semplice username, in oltre 300 Social Network (qui la lista completa) e restituendo gli URL dei singoli profili identificati.
Sembrerà incredibile, ma io stesso sono rimasto “di stucco” nel momento in cui ho effettuato la ricerca con alcuni degli username che utilizzo maggiormente in Rete: non mi ricordavo minimamente di alcuni profili che Sherlock è riuscito a trovare e le informazioni pubbliche disponibili potrebbero essere fondamentali per un attacco informatico (pensiamo, ad esempio, ad un attacco di Ingegneria Sociale).
Installare Sherlock
Installare Sherlock è un gioco da ragazzi e richiede meno di un minuto. I comandi da lanciare per scaricare ed installare Sherlock e le sue dipendenze sono i seguenti:
# clone the repo
$ git clone https://github.com/sherlock-project/sherlock.git# change the working directory to sherlock
$ cd sherlock# install the requirements
$ python3 -m pip install -r requirements.txt
Inoltre, potete sempre usare Google Cloud Shell per lanciare Sherlock senza doverlo installare sul vostro computer.
Una volta installato Sherlock, l’utilizzo è davvero banale. Basterà infatti richiamare Sherlock, seguito dall’username (o da più username) che vogliamo analizzare, come in questo caso:
python3 sherlock user1 user2 user3
Nell’arco di pochi minuti vi verranno restituiti gli account e gli URL trovati all’interno degli oltre 300 Social Network che Sherlock è in grado di analizzare. Un gioco da ragazzi 🙂
Articolo scritto da Luca Mercatanti
