Quanto è facile trovarti online partendo da poche informazioni? È questa la domanda da cui nasce tutto.
In questo articolo metto alla prova le tecniche usate dagli investigatori digitali: persone che, senza hackerare nulla, riescono a ricostruire identità, abitudini e spostamenti semplicemente analizzando dati pubblici.
Nella prima parte che trovi cliccando qui, ho seguito tracce “visibili”: profili social, username, dettagli lasciati qua e là. Ma adesso il livello cambia.
Dal quinto task in poi si esce dalla superficie e si entra in una zona molto più interessante — e meno intuitiva:
servizi poco conosciuti
dark web
chiavi crittografiche
reti Wi-Fi e geolocalizzazione
Qui non si tratta più solo di trovare un nickname.
Si tratta di capire come un’informazione rimbalza da un ecosistema all’altro, come tutto può essere collegato, incrociato, correlato.
Ed è proprio qui che si vede il vero potenziale dell’OSINT: non la singola ricerca, ma la capacità di mettere insieme i pezzi.
Se prima imparavi a osservare, ora impari a collegare.
E credimi: è in questa fase che inizi davvero a cambiare il modo in cui guardi quello che pubblichi online.
|
DISCLAIMER |
Task 5
Descrizione
Proprio come pensavamo, il criminale informatico è pienamente consapevole che stiamo raccogliendo informazioni su di lui dopo il suo attacco. È stato persino così sfacciato da inviare un messaggio all'OSINT Dojo su Twitter e deriderci per i nostri sforzi. L'account Twitter che hanno utilizzato sembra utilizzare un nome utente diverso da quello che stavamo monitorando in precedenza. Forse possiamo trovare qualche informazione aggiuntiva per farci un'idea di dove stanno andando a parare?
Abbiamo fatto uno screenshot del messaggio che ci ha inviato l'aggressore, puoi visualizzarlo nel tuo browser Qui .
Lo screehshot è questo:
Dall'immagine si nota che è presente un account alternativo su X: @AikoAbe3. Ad oggi però questa informazione non aiuta perchè sono presenti solo 2 post su quell'account che non sembra abbiano a che fare con la challenge.
Istruzioni
Sebbene molti utenti condividano il proprio nome utente su diverse piattaforme, non è raro che abbiano anche account alternativi che mantengono completamente separati, ad esempio per indagini, trolling o semplicemente per separare la propria vita privata da quella pubblica. Questi account alternativi potrebbero contenere informazioni non visibili negli altri account e dovrebbero essere anch'essi esaminati a fondo. Per rispondere alle seguenti domande, è necessario visualizzare lo screenshot del messaggio inviato dall'aggressore all'OSINT Dojo su Twitter e utilizzarlo per individuare ulteriori informazioni sull'account Twitter dell'aggressore. Sarà quindi necessario seguire le piste dall'account Twitter al Dark Web e ad altre piattaforme per scoprire ulteriori informazioni.
Rispondi alle domande qui sotto
Qual è l'attuale maniglia di Twitter dell'aggressore? (qui è tradotto letteralemente; What is the attacker's current Twitter handle?)
Qual è il BSSID per l'attaccante Home WiFi?
L'handle è la parte dopo la @, il nome utente. Quindi in questo caso SakuraLoverAiko:
Per quanto riguarda il BSSID c'è un problema. Il test originale aveva un campo in più che richiedeva di collegarsi ad un sito del dark web ad oggi non funzionante (per aprirlo ho utilizzato Tor Browser):
Lo stesso suggerimento dice quanto segue: quando hai trovato il sito per cercare il BSSID, registra un account e utilizza la Ricerca avanzata.
Su X ci sono i seguenti post:
Il primo tweet contiene indizi deliberati scritti in maiuscolo:
L'aggressore sta dicendo che ha pubblicato le credenziali WiFi su DeepPaste (accessibile via Tor), che è esattamente dove si trova l'SSID (l’etichetta pubblica della rete wireless.)
Collegandosi su DeepPaste e cercando l'hash MD5 fornito nello screenshot di X si troveranno le informazioni richieste.
L'hash MD5 e presente nel secondo post del 15 Ottobre 2022 e va inserito nella barra degli indirizzi dopo show.php?md5=
Un hash MD5 è una stringa di 32 caratteri generata applicando l’algoritmo di hashing MD5 a un contenuto. Molti servizi (soprattutto nel dark web) usano l’MD5 come identificatore del paste.
In pratica quando qualcuno pubblica un testo, il sistema genera un MD5, il paste viene richiamato tramite quell’hash.
Sono riuscito a trovare uno screenshot online con le informazioni che ci servono per proseguire:
I siti del dark web hanno estensione .onion perché funzionano solo dentro la rete Tor. Non usano il normale sistema dei domini (.com, .it, ecc.), ma indirizzi speciali generati in modo crittografico.
Si chiamano “.onion” perché Tor usa il sistema dell’“onion routing”, dove i dati vengono cifrati a strati, come una cipolla per garantire anonimato.
L'SSID della rete Wi-fi è DK1F-G
A questo punto collegati al seguente sito e registra un account:
https://wigle.net/
WiGLE.net (Wireless Geographic Logging Engine) è un sito che raccoglie e mappa reti wireless in tutto il mondo.
In pratica è un enorme database pubblico di reti Wi-Fi, access point, coordinate GPS associate, BSSID (MAC address del router), SSID (nome della rete).
Nel campo SSID / Network Name (wildcards...) scrivi l'SSID rintracciato e clicca sul pulsante Query per avviare la ricerca:
Il risultato sarà visibile in basso (NetID):
Qual è il BSSID per l'attaccante home wifi?
84:AF:EC:34:FC:F8
Ecco le risposte al task 5:
Task 6
Descrizione
Sulla base dei loro tweet, sembra che il nostro criminale informatico stia effettivamente tornando a casa come hanno affermato. Il loro account Twitter sembra avere un sacco di foto che dovrebbero permetterci di mettere insieme il loro percorso a casa. Se seguiamo le tracce di pangrattato che hanno lasciato, dovremmo essere in grado di tracciare i loro movimenti da una posizione all'altra fino alla loro destinazione finale. Una volta che possiamo identificare le loro fermate finali, possiamo identificare a quale organizzazione delle forze dell'ordine dovremmo inoltrare le nostre scoperte.
Istruzioni
In OSINT, spesso non c'è "pistola fumante" che indichi una risposta chiara e definitiva. Invece, un analista OSINT deve imparare a sintetizzare più pezzi di intelligenza per fare una conclusione di ciò che è probabile, improbabile o possibile. Sfruttando tutti i dati disponibili, un analista può prendere decisioni più informate e forse anche minimizzare le dimensioni delle lacune dei dati. Al fine di rispondere alle seguenti domande, utilizzare le informazioni raccolte dall'account Twitter dell'aggressore, nonché le informazioni ottenute da parti precedenti dell'indagine per rintracciare l'aggressore nel luogo che chiamano casa.
Rispondi alle domande qui sotto
Quale aeroporto è più vicino alla posizione in cui l'aggressore ha condiviso una foto prima di salire sul loro volo?
In quale aeroporto l'aggressore ha avuto la sua ultima sosta?
Quale lago può essere visto nella mappa condivisa dall'aggressore come erano sul loro volo finale verso casa?
Quale città l'aggressore probabilmente considera "casa"?
Per prima cosa analizza il profilo X dell'attaccante. E' stata condivisa una foto che mostra gli alberi di ciliegio:
Un secondo post purtroppo non risulta più online perchè era un retweet di un account sospeso; sono riuscito a trovare il post originale online. Il riferimento è un dettaglio di un albero di ciliegio. Nel post è stata scritta anche la località Bethesda:
Cercala su Google Maps:
Adesso cerca l'aeroporto più vicino alla località e risulta l'Aeroporto Nazionale di Washington-Ronald Reagan:
Cercalo su Google e prendi nota del codice (DCA) che è la risposta alla prima domanda:
Sempre su X è stata condivisa la foto di una lounge (JAL first class Lounge):
Altra ricerca su Google e si scopre che si trova presso l'aeroporto di Tokyo-Haneda:
Altra ricerca su Google per cercare il codice dell'aeroporto (HND):
Sempre su X in un post viene condivisa una foto aerea scrivendo: così vicino a casa! Non vedo l'ora di arrivare! :) E' visibile un lago. Salva l'immagine:
Effettua una ricerca inversa su Bing a questo link: https://www.microsoft.com/en-us/bing/visual-search
Clicca sul pulsante Browse per caricare l'immagine scaricata in precedenza:
Questo è il risultato:
Scrivi "lago" nel campo di ricerca ed ecco di quale lago si tratta e dove si trova! Si chiama Inawashiro:
L'ultima risposta è nello screenshot dal dark web (City Free WiFi: HIROSAKI):
Ecco le risposte del task 6:
Ed ecco il messaggio di congratulazioni!
Quello che hai visto in questa challenge non è hacking nel senso cinematografico del termine. Sono informazioni pubbliche, strumenti accessibili e soprattutto capacità di collegare i puntini.
Ma c’è un altro elemento che oggi cambia completamente il gioco: le intelligenze artificiali.
Se una volta l’analisi richiedeva tempo, competenze tecniche e tanta pazienza, oggi molte attività vengono semplificate in modo impressionante. Nell’articolo, ad esempio, ho utilizzato Gemini per decifrare il codice binario del primo indizio in pochi secondi — qualcosa che avrei potuto fare a mano, certo, ma con molto più tempo e margine di errore.
E questo è il punto. L’AI non “fa l’indagine al posto tuo”, ma accelera la ricerca, aiuta a interpretare dati, suggerisce connessioni, traduce formati, analizza pattern. Diventa un moltiplicatore di capacità. Il risultato? Le barriere d’ingresso si abbassano. Le competenze restano fondamentali, ma gli strumenti diventano sempre più potenti e accessibili.
Ed è proprio per questo che la domanda iniziale è ancora più attuale: uanto è facile trovarti online… oggi?
La vera lezione della challenge
Questa challenge non è stata solo una caccia all’indizio.
È stata una dimostrazione concreta di una cosa molto semplice e molto potente: online lasciamo tracce anche quando pensiamo di non farlo.
Un nickname riutilizzato, una foto apparentemente innocua, un BSSID visibile sullo sfondo, una chiave PGP caricata anni fa, un account secondario creato “tanto per”.
Separatamente sono dettagli insignificanti. Insieme diventano un’identità.
Ed è proprio questo il cuore dell’OSINT: non forzare sistemi, ma collegare punti.
Queste challenge insegnano qualcosa di molto più importante di una tecnica specifica; insegnano a osservare, a ragionare, a verificare le fonti, a non fermarsi alla prima risposta.
Ma insegnano anche un’altra cosa, forse ancora più importante:
Ogni contenuto che pubblichiamo — volontariamente o no — può diventare un tassello nel puzzle di qualcun altro.
La sicurezza non è solo firewall e password complesse. E' consapevolezza.
E se questa challenge ti ha fatto venire voglia di analizzare meglio quello che trovi online, allora ha già fatto il suo lavoro.
Articoli correlati
Se hai già letto i miei articoli su TryHackMe e contesti simili, potresti trovare utile collegare questi approfondimenti:
Try2Hack.lt: esercizi di logica e sicurezza informatica nel web degli anni 2000 parte 1
https://www.computermania.org/tutorial/sicurezza/try2hack-lt-esercizi-di-logica-e-sicurezza-informatica-nel-web-degli-anni-2000
Try2Hack.lt: esercizi di logica e sicurezza informatica nel web degli anni 2000 parte 2
https://www.computermania.org/tutorial/sicurezza/try2hack-lt-esercizi-di-logica-e-sicurezza-informatica-nel-web-degli-anni-2000-parte-2
Questi articoli esplorano piattaforme storiche di cybersecurity training e mettono in prospettiva l’evoluzione di strumenti moderni come TryHackMe.
Seguimi sui social per non perdere i prossimi aggiornamenti:
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti tutorial, guide e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulsante:
GRAZIE!
Nell'estate 2025 ti ho portato dentro una piattaforma uscita direttamente dai primi anni 2000: Try2Hack.lt. Era un sito essenziale, quasi spartano, composto da una serie di pagine web collegate tra loro. Ogni pagina rappresentava un livello da superare. Non c’erano spiegazioni, né suggerimenti dettagliati: solo una schermata e un obiettivo chiaro — trovare la password o la chiave per accedere allo step successivo. Si partiva da indizi nascosti nel codice sorgente, si passava per piccole manipolazioni dell’URL, stringhe apparentemente senza senso…e piano piano la difficoltà aumentava.
Ogni livello era una porta chiusa e per aprirla non dovevi “forzare” nulla, ma osservare, ragionare, collegare dettagli.
Oggi ti parlo di Sakura Room di TryHackMe.com. E qui il livello cambia completamente. Non sei più davanti a una semplice pagina con enigmi nascosti, ma a una piattaforma strutturata con ambienti virtuali, percorsi formativi e simulazioni molto più vicine a scenari reali di cybersecurity.
|
DISCLAIMER |
Nel panorama delle piattaforme per apprendere cybersecurity, TryHackMe.com è oggi una delle risorse più citate e utilizzate a livello mondiale per chi vuole imparare hacking etico, difesa delle reti o semplici tecniche di sicurezza digitale. Fondata nel 2018 e con sede nel Regno Unito, offre centinaia di “stanze” (rooms) — ossia ambienti virtuali per mettere in pratica tecniche offensive e difensive — attraverso lab interattivi, simulazioni e sfide adatte a vari livelli di competenza.
E' una piattaforma consolidata con milioni di utenti, adottata da studenti, professionisti e aziende per la formazione in sicurezza informatica. La sua reputazione è confermata da un TrustScore elevato (circa 4,5⁄5 con oltre 800 recensioni) e commenti positivi sulla qualità dei contenuti didattici e l’efficacia pratica delle simulazioni.
In più, la community di utenti e addetti ai lavori concorda nel considerarla un sito legittimo, sicuro e affidabile per la formazione in cybersecurity, con ambienti isolati che permettono di sperimentare senza rischi per il proprio computer o rete locale.
Sakura Room rientra nelle sfide di OSINT (Open Source Intelligence), ovvero tecniche di raccolta di informazioni da fonti pubbliche. Questa room è pensata per guidare l’utente attraverso un’indagine strutturata per scoprire informazioni pubbliche su un “attaccante” simulato — ad esempio username, e-mail e altri dati — usando solo tecniche passive di raccolta informazioni disponibili da fonti Web.
Ogni task include una descrizione dello scenario e le istruzioni da seguire e una serie di domande a cui rispondere.
Cominciamo! Collegati al sito https://tryhackme.com e registrati. Il requisito di login/registrazione è necessario soprattutto per associare la progressione dell’utente alle attività svolte.
Effettua una ricerca scrivendo Sakura Room nell'apposito campo (il link diretto è https://tryhackme.com/room/sakura):
Il sito è in lingua inglese, ma è possibile tradurlo sia con Chrome che con Firefox.
Per andare avanti cliccate sul pulsante Join Room a destra:
La room è composta da 6 task (il primo è soltanto introduttivo). Per aiutare l'utente nella gestione del task sono disponibili dei suggerimenti (basta cliccare sull'icona della lampadina accanto ad ogni domanda):
Inoltre è disponibile un chatbot a cui fare domande; ma non aspettatevi le risposte dirette!
Task 1
Descrizione
Questa stanza è progettata per testare un'ampia varietà di diverse tecniche OSINT. Con un pò di ricerca, la maggior parte dei professionisti di OSINT principianti dovrebbe essere in grado di completare queste sfide. Questa stanza ti porterà attraverso un'indagine OSINT di esempio in cui ti verrà chiesto di identificare una serie di identificatori e altre informazioni al fine di aiutare a catturare un criminale informatico. Ogni sezione includerà qualche pretesto per aiutarti a guidarti nella giusta direzione, così come una o più domande a cui è necessario rispondere per continuare con l'indagine. Sebbene tutte le bandiere siano messe in scena, questa stanza è stata creata utilizzando le conoscenze di lavoro per aver guidato e assistito nelle indagini OSINT sia nel settore pubblico che privato.
NOTA: Tutte le risposte possono essere ottenute tramite tecniche passive OSINT, NON tentare alcuna tecnica attiva come raggiungere i proprietari di account, reimpostare le password, ecc. Per risolvere queste sfide.
Se hai altre domande, commenti o suggerimenti, ti preghiamo di contattarci a @OSINTDojo su X.
Istruzioni
Pronto per iniziare? Digita "Let's Go!" nella casella di risposta qui sotto per continuare.
Scrivi Let's Go! e clicca sul pulsante Check (le risposte vanno inserite in lingua inglese; la traduzione è utile per comprendere i fatti e gli indizi):
Task 2
Descrizione
L'OSINT Dojo si è recentemente trovato vittima di un attacco informatico. Sembra che non ci siano danni importanti, e non sembra esserci altri indicatori significativi di compromesso su nessuno dei nostri sistemi. Tuttavia durante l'analisi forense i nostri amministratori hanno trovato un'immagine lasciata dai criminali informatici. Forse contiene alcuni indizi che potrebbero permetterci di determinare chi erano gli aggressori?
Istruzioni
Le immagini possono contenere un tesoro di informazioni, sia in superficie che incorporate all'interno del file stesso. Potresti trovare informazioni come quando è stata creata una foto, quali software sono stati utilizzati, informazioni sull'autore e sul copyright, nonché altri metadati significativi per un'indagine. Per rispondere alla seguente domanda, dovrai analizzare a fondo l'immagine trovata dagli amministratori di OSINT Dojo per ottenere informazioni di base sull'attaccante.
Abbiamo copiato l'immagine lasciata dall'attaccante, puoi visualizzarla nel tuo browser qui.
Rispondi alle domande qui sotto
Che nome utente utilizza l’aggressore?
L'immagine è in formato SVG, un file grafico basato su vettori, non su pixel. SVG significa Scalable Vector Graphics. Su Chrome si può salvare come qualsiasi immagine con il tasto destro del mouse>Salva con nome...
Il messaggio You've beeb Pwned! significa Sei stato compromesso.
Il codice binario nasconde la seguente frase: "A picture is worth a thousand words... but data is worth more." ("Un'immagine vale più di mille parole... ma i metadati valgono molto di più."). L'immagine usa un'estetica "soft" (rosa, fiori di ciliegio) contrastata dal termine "Pwned" (gergo hacker che indica l'aver preso il controllo totale di un sistema o account).
Su Chrome cliccate con il tasto destro del mouse e selezionate l'opzione Ispeziona:
Da sorgente, è possibile vedere che il file SVG è stato esportato in precedenza come immagine PNG usando il programma Inkscape, e il percorso di destinazione era /home/SakuraSnowAngelAiko/Desktop/pwnedletter.png.
In pratica, è un metadato che Inkscape salva automaticamente all'interno del file SVG per ricordare l'ultima esportazione effettuata.
Dal percorso di esportazione si può leggere chiaramente il nome utente utilizzato sul PC: /home/SakuraSnowAngelAiko/Desktop/pwnedletter.png
L'analisi dell'immagine si può fare anche online dal sito https://www.svgviewer.dev/svg-to-react-jsx
Basta caricare la foto e cliccare su React:
Inserisci il nome utente nel campo di risposta e clicca su check!
Ecco la risposta al task 2:
Task 3
Descrizione
Sembra che il nostro aggressore abbia commesso un errore fatale nella sicurezza operativa. Sembra che abbia riutilizzato il suo nome utente anche su altre piattaforme di social media. Questo dovrebbe semplificarci notevolmente la raccolta di ulteriori informazioni su di lui, individuando i suoi altri account social.
Istruzioni
La maggior parte delle piattaforme digitali ha una sorta di campo di nome utente. Molte persone si attaccano ai loro nomi utente e possono quindi utilizzarlo su una serie di piattaforme, rendendo facile trovare altri account di proprietà della stessa persona quando il nome utente è abbastanza univoco. Questo può essere particolarmente utile su piattaforme come su siti di ricerca di lavoro in cui un utente è più propenso a fornire informazioni reali su se stessi, come il loro nome completo o le informazioni sulla posizione.
Una rapida ricerca su un motore di ricerca rispettabile può aiutare a trovare nomi utente corrispondenti su altre piattaforme, e ci sono anche un gran numero di strumenti speciali che esistono per lo stesso scopo. Tieni presente che a volte una piattaforma non verrà visualizzata né nei risultati del motore di ricerca né nelle ricerche specializzate del nome utente a causa di falsi negativi. In alcuni casi è necessario controllare manualmente il sito da soli per essere positivo al 100% se l'account esiste o meno. Per rispondere alle seguenti domande, utilizzare il nome utente dell'attaccante trovato in Task 2 per espandere l'indagine OSINT su altre piattaforme al fine di raccogliere ulteriori informazioni identificative sull'attaccante. Diffidate di eventuali falsi positivi!
Rispondi alle domande qui sotto
Qual è l'indirizzo e-mail completo utilizzato dall'aggressore?
Qual è il vero nome dell'attaccante?
In questo caso basta fare una ricerca su Google con il nome utente rintracciato in precedenza. Dai risultati si vede che è l'utente è presente su GitHub e su X; apri entrambi i profili (il secondo ti sarà utile fino alla fine del test):
https://github.com/sakurasnowangelaiko
https://x.com/SakuraLoverAiko
GitHub è una piattaforma web che permette di ospitare, condividere e collaborare su codice sorgente. Si basa su Git, un sistema di controllo versione che tiene traccia di tutte le modifiche fatte ai file nel tempo. Cliccate su Repositories:
Una repository (o "repo") è essenzialmente una cartella progetto ospitata su GitHub che contiene tutti i file del progetto, la cronologia completa di ogni modifica documentazione, segnalazioni/richieste (issues), ecc.
Chiunque può creare una repo pubblica (visibile a tutti) o privata. Le repo pubbliche sono molto usate per condividere software open source, strumenti, script, ecc.
In questa sezione è disponibile la "cartella PGP (Pretty Good Privacy), un sistema di crittografia asimmetrica creato da Phil Zimmermann nel 1991. Viene usato per cifrare e-mail e file, firmare digitalmente messaggi (per verificarne l'autenticità) e verificare l'identità di chi invia un messaggio.
Funziona con una coppia di chiavi:
Perché qualcuno pubblica la propria chiave PGP su GitHub?
È una pratica comune, specialmente in ambienti legati alla sicurezza informatica e al dark web/hacking. Serve a:
- permettere ad altri di inviarle messaggi cifrati che solo lei può leggere
- permettere di verificare la sua identità (firma digitale)
- dimostrare che certi file o messaggi provengono davvero da lei
Dal profilo Github clicca su Repositories e su PGP. Copia la chiave pubblica e incollala su blocco note; salva il file con estensione .asc (asc è una rappresentazione testuale della chiave. Si tratta della codifica nel formato testuale ASCII usato da OpenPGP):
Collegati al seguente sito:
https://keys.openpgp.org/upload
Si tratta di un server pubblico di chiavi PGP (keyserver). Il sito funziona come una rubrica telefonica pubblica per le chiavi crittografiche. Chiunque può caricare la propria chiave PGP pubblica, così altri possono trovarla facilmente senza doverla cercare su GitHub o altri posti.
E' possibile cercare la chiave pubblica di qualcuno tramite e-mail, nome utente o fingerprint (una specie di "codice identificativo" univoco della chiave). Scaricare la chiave trovata per poter poi cifrare messaggi destinati a quella persona, o verificare la sua firma digitale.
Carica la chiave cliccando sul pulsante Sfoglia... e clicca poi su Carica:
Ecco la mail in chiaro: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Per rintracciare il nome completo "dell'aggressore" collegati al profilo su X:
https://x.com/SakuraLoverAiko
Il nome completo è presente in un post:
Silly me, I forgot to introduce myself! (“Che sciocco, mi sono dimenticato di presentarmi!”)
@AikoAbe3
Ecco le risposte al task 3:
Task 4
Descrizione
Sembra che il criminale informatico sappia che lo stiamo seguendo. Mentre indagavamo sul suo account Github, abbiamo notato segnali che il proprietario dell'account aveva già iniziato a modificare ed eliminare informazioni per depistarci. È probabile che stessero rimuovendo queste informazioni perché contenevano dati che avrebbero potuto arricchire la nostra indagine. Forse esiste un modo per recuperare le informazioni originali che ci hanno fornito?
Istruzioni
Su alcune piattaforme, il contenuto modificato o rimosso potrebbe non essere recuperabile, a meno che la pagina non sia stata memorizzata nella cache o archiviata su un'altra piattaforma. Tuttavia, altre piattaforme potrebbero disporre di funzionalità integrate per visualizzare la cronologia di modifiche, eliminazioni o inserimenti. Quando disponibile, questa cronologia di controllo consente agli investigatori di individuare informazioni che in passato erano state incluse, probabilmente per errore o per negligenza, e poi rimosse dall'utente. Tali contenuti sono spesso molto preziosi nel corso di un'indagine. Per rispondere alle domande seguenti, sarà necessario eseguire un'analisi più approfondita dell'account Github dell'aggressore per individuare eventuali informazioni aggiuntive che potrebbero essere state modificate o rimosse. Utilizzerai quindi queste informazioni per tracciare alcune delle transazioni in criptovaluta dell'aggressore.
Rispondi alle domande seguenti
Per quale criptovaluta l'aggressore possiede un portafoglio di criptovalute?
Qual è l'indirizzo del portafoglio di criptovalute dell'aggressore?
Da quale mining pool l'aggressore ha ricevuto i pagamenti il 23 gennaio 2021 UTC?
Con quale altra criptovaluta l'aggressore ha effettuato scambi tramite il suo portafoglio di criptovalute?
Dal profilo Github>Repositories sono presenti 2 indizi; Ethereum (ETH) e bitcoin:
Clicca su ETH>miningscript. Dagli indizi il sospettato ha cancellato alcune informazioni. Clicca su History a destra per verificare lo storico:
E su Update miningscript (datato 23 Gennaio 2021):
Ecco l'informazione che cercavamo:
stratum://0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef.Aiko:Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.:4444
stratum://ethwallet.workerid:password@miningpool:port è un URL di connessione per il mining di criptovalute, specificamente usando il protocollo Stratum. È la stringa di configurazione che inserisci nel tuo software di mining (come PhoenixMiner, T-Rex, NBMiner) per dire al programma: "connettiti a questo pool, mina per questo wallet, con questo worker".
ethwallet → è l'indirizzo wallet Ethereum (es.
0x1a2b3c...) dove ricevi i pagamenti
La risposta 1 è Ethereum
L'indirizzo del wallet di criptovaluta dell'attaccante è 0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef
Quale pool di mining ha ricevuto l'aggressore dai pagamenti il 23 gennaio 2021 UTC?
Un mining pool è un gruppo di "minatori" che uniscono la loro potenza di calcolo per aumentare le probabilità di trovare un blocco e condividono il premio proporzionalmente al lavoro contribuito.
Quando il pool ti paga, la transazione è registrata sulla blockchain pubblica. Puoi verificarla su un block explorer come Etherscan:
https://etherscan.io/address/0xTUOWALLET
Ecco il link completo:
https://etherscan.io/address/0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef
Ho evidenziato la data del 23 Gennaio 2021:
La risposta è Ethermine:
Con quale altra criptovaluta l'aggressore ha effettuato scambi tramite il suo portafoglio di criptovalute? Questa è semplice! L'unica altra criptovaluta alternativa a ETH nell'elenco delle transazioni è Tether:
Di seguito tutte le risposte al task 4:
Arrivati al quarto task, la sensazione è chiara: non stiamo più solo seguendo indizi. Stiamo seguendo una persona e ogni passaggio ha aggiunto un tassello.
Fin qui abbiamo lavorato in superficie. Social, indizi pubblici, correlazioni evidenti a chi sa osservare.
Ma qualcosa cambia. L’aggressore non si limita più a lasciare tracce: inizia a provocarci. Ci manda un messaggio. Cambia nome. Si sposta. Nasconde meglio le informazioni.
Ed è qui che la challenge smette di essere una semplice esercitazione OSINT e diventa un vero percorso investigativo.
Perché dal prossimo task in poi non basta più cercare. Bisogna ragionare. Bisogna collegare ambienti diversi. Bisogna entrare in territori meno immediati.
Nel prossimo articolo entriamo nella parte più interessante — e più delicata — della challenge.
Articoli correlati
Se hai già letto i miei articoli su TryHackMe e contesti simili, potresti trovare utile collegare questi approfondimenti:
Try2Hack.lt: esercizi di logica e sicurezza informatica nel web degli anni 2000
https://www.computermania.org/tutorial/sicurezza/try2hack-lt-esercizi-di-logica-e-sicurezza-informatica-nel-web-degli-anni-2000
Try2Hack.lt: parte 2
https://www.computermania.org/tutorial/sicurezza/try2hack-lt-esercizi-di-logica-e-sicurezza-informatica-nel-web-degli-anni-2000-parte-
Questi articoli esplorano piattaforme storiche di cybersecurity training e mettono in prospettiva l’evoluzione di strumenti moderni come TryHackMe.
Seguimi sui social per non perdere i prossimi aggiornamenti:
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti tutorial, guide e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulsante:
GRAZIE!
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti articoli e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulstante GRAZIE! Roberto
