Quanto è facile trovarti online partendo da poche informazioni? È questa la domanda da cui nasce tutto.

In questo articolo metto alla prova le tecniche usate dagli investigatori digitali: persone che, senza hackerare nulla, riescono a ricostruire identità, abitudini e spostamenti semplicemente analizzando dati pubblici.

Nella prima parte che trovi cliccando qui, ho seguito tracce “visibili”: profili social, username, dettagli lasciati qua e là. Ma adesso il livello cambia.

Dal quinto task in poi si esce dalla superficie e si entra in una zona molto più interessante — e meno intuitiva:

• servizi poco conosciuti

• dark web

• chiavi crittografiche

• reti Wi-Fi e geolocalizzazione

Qui non si tratta più solo di trovare un nickname.
Si tratta di capire come un’informazione rimbalza da un ecosistema all’altro, come tutto può essere collegato, incrociato, correlato.

Ed è proprio qui che si vede il vero potenziale dell’OSINT: non la singola ricerca, ma la capacità di mettere insieme i pezzi.

Se prima imparavi a osservare, ora impari a collegare.
E credimi: è in questa fase che inizi davvero a cambiare il modo in cui guardi quello che pubblichi online.
 

Task 5

Descrizione

Proprio come pensavamo, il criminale informatico è pienamente consapevole che stiamo raccogliendo informazioni su di lui dopo il suo attacco. È stato persino così sfacciato da inviare un messaggio all'OSINT Dojo su Twitter e deriderci per i nostri sforzi. L'account Twitter che hanno utilizzato sembra utilizzare un nome utente diverso da quello che stavamo monitorando in precedenza. Forse possiamo trovare qualche informazione aggiuntiva per farci un'idea di dove stanno andando a parare?

Abbiamo fatto uno screenshot del messaggio che ci ha inviato l'aggressore, puoi visualizzarlo nel tuo browser Qui .

Lo screehshot è questo:


Dall'immagine si nota che è presente un account alternativo su X: @AikoAbe3. Ad oggi però questa informazione non aiuta perchè sono presenti solo 2 post su quell'account che non sembra abbiano a che fare con la challenge.

Istruzioni
Sebbene molti utenti condividano il proprio nome utente su diverse piattaforme, non è raro che abbiano anche account alternativi che mantengono completamente separati, ad esempio per indagini, trolling o semplicemente per separare la propria vita privata da quella pubblica. Questi account alternativi potrebbero contenere informazioni non visibili negli altri account e dovrebbero essere anch'essi esaminati a fondo. Per rispondere alle seguenti domande, è necessario visualizzare lo screenshot del messaggio inviato dall'aggressore all'OSINT Dojo su Twitter e utilizzarlo per individuare ulteriori informazioni sull'account Twitter dell'aggressore. Sarà quindi necessario seguire le piste dall'account Twitter al Dark Web e ad altre piattaforme per scoprire ulteriori informazioni.

Rispondi alle domande qui sotto
Qual è l'attuale maniglia di Twitter dell'aggressore? (qui è tradotto letteralemente; What is the attacker's current Twitter handle?)

Qual è il BSSID per l'attaccante Home WiFi?

L'handle è la parte dopo la @, il nome utente. Quindi in questo caso SakuraLoverAiko:



Per quanto riguarda il BSSID c'è un problema. Il test originale aveva un campo in più che richiedeva di collegarsi ad un sito del dark web ad oggi non funzionante (per aprirlo ho utilizzato Tor Browser):

Lo stesso suggerimento dice quanto segue: quando hai trovato il sito per cercare il BSSID, registra un account e utilizza la Ricerca avanzata.

Su X ci sono i seguenti post:

Il primo tweet contiene indizi deliberati scritti in maiuscolo:

• DEEP → riferimento a DeepWeb/Dark Web
• PASTE → riferimento a DeepPaste, un sito pastebin del dark web. Un pastebin è un servizio dove puoi incollare testo (log, codice, dump di database, leak) e
  condividerlo tramite un link in modo anonimo.

L'aggressore sta dicendo che ha pubblicato le credenziali WiFi su DeepPaste (accessibile via Tor), che è esattamente dove si trova l'SSID (l’etichetta pubblica della rete wireless.)

Collegandosi su DeepPaste e cercando l'hash MD5 fornito nello screenshot di X si troveranno le informazioni richieste.

L'hash MD5 e presente nel secondo post del 15 Ottobre 2022 e va inserito nella barra degli indirizzi dopo show.php?md5=

Un hash MD5 è una stringa di 32 caratteri generata applicando l’algoritmo di hashing MD5 a un contenuto. Molti servizi (soprattutto nel dark web) usano l’MD5 come identificatore del paste.

In pratica quando qualcuno pubblica un testo, il sistema genera un MD5, il paste viene richiamato tramite quell’hash.

Sono riuscito a trovare uno screenshot online con le informazioni che ci servono per proseguire:



I siti del dark web hanno estensione .onion perché funzionano solo dentro la rete Tor. Non usano il normale sistema dei domini (.com, .it, ecc.), ma indirizzi speciali generati in modo crittografico.

Si chiamano “.onion” perché Tor usa il sistema dell’“onion routing”, dove i dati vengono cifrati a strati, come una cipolla per garantire anonimato.

L'SSID della rete Wi-fi è DK1F-G

A questo punto collegati al seguente sito e registra un account:

https://wigle.net/

WiGLE.net (Wireless Geographic Logging Engine) è un sito che raccoglie e mappa reti wireless in tutto il mondo.

In pratica è un enorme database pubblico di reti Wi-Fi, access point, coordinate GPS associate, BSSID (MAC address del router), SSID (nome della rete).

Nel campo SSID / Network Name (wildcards...) scrivi l'SSID rintracciato e clicca sul pulsante Query per avviare la ricerca:

Il risultato sarà visibile in basso (NetID):



Qual è il BSSID per l'attaccante home wifi?

84:AF:EC:34:FC:F8

Ecco le risposte al task 5:




Task 6

Descrizione

Sulla base dei loro tweet, sembra che il nostro criminale informatico stia effettivamente tornando a casa come hanno affermato. Il loro account Twitter sembra avere un sacco di foto che dovrebbero permetterci di mettere insieme il loro percorso a casa. Se seguiamo le tracce di pangrattato che hanno lasciato, dovremmo essere in grado di tracciare i loro movimenti da una posizione all'altra fino alla loro destinazione finale. Una volta che possiamo identificare le loro fermate finali, possiamo identificare a quale organizzazione delle forze dell'ordine dovremmo inoltrare le nostre scoperte.

Istruzioni

In OSINT, spesso non c'è "pistola fumante" che indichi una risposta chiara e definitiva. Invece, un analista OSINT deve imparare a sintetizzare più pezzi di intelligenza per fare una conclusione di ciò che è probabile, improbabile o possibile. Sfruttando tutti i dati disponibili, un analista può prendere decisioni più informate e forse anche minimizzare le dimensioni delle lacune dei dati. Al fine di rispondere alle seguenti domande, utilizzare le informazioni raccolte dall'account Twitter dell'aggressore, nonché le informazioni ottenute da parti precedenti dell'indagine per rintracciare l'aggressore nel luogo che chiamano casa.

Rispondi alle domande qui sotto

Quale aeroporto è più vicino alla posizione in cui l'aggressore ha condiviso una foto prima di salire sul loro volo?

In quale aeroporto l'aggressore ha avuto la sua ultima sosta?

Quale lago può essere visto nella mappa condivisa dall'aggressore come erano sul loro volo finale verso casa?

Quale città l'aggressore probabilmente considera "casa"?

Per prima cosa analizza il profilo X dell'attaccante. E' stata condivisa una foto che mostra gli alberi di ciliegio:

Un secondo post purtroppo non risulta più online perchè era un retweet di un account sospeso; sono riuscito a trovare il post originale online. Il riferimento è un dettaglio di un albero di ciliegio. Nel post è stata scritta anche la località Bethesda:



Cercala su Google Maps:



Adesso cerca l'aeroporto più vicino alla località e risulta l'Aeroporto Nazionale di Washington-Ronald Reagan:



Cercalo su Google e prendi nota del codice (DCA) che è la risposta alla prima domanda:



Sempre su X è stata condivisa la foto di una lounge (JAL first class Lounge):



Altra ricerca su Google e si scopre che si trova presso l'aeroporto di Tokyo-Haneda:



Altra ricerca su Google per cercare il codice dell'aeroporto (HND):



Sempre su X in un post viene condivisa una foto aerea scrivendo: così vicino a casa! Non vedo l'ora di arrivare! :) E' visibile un lago. Salva l'immagine:



Effettua una ricerca inversa su Bing a questo link: https://www.microsoft.com/en-us/bing/visual-search

Clicca sul pulsante Browse per caricare l'immagine scaricata in precedenza:



Questo è il risultato:



Scrivi "lago" nel campo di ricerca ed ecco di quale lago si tratta e dove si trova! Si chiama Inawashiro:



L'ultima risposta è nello screenshot dal dark web (City Free WiFi: HIROSAKI):

Ecco le risposte del task 6:



Ed ecco il messaggio di congratulazioni!



Quello che hai visto in questa challenge non è hacking nel senso cinematografico del termine. Sono informazioni pubbliche, strumenti accessibili e soprattutto capacità di collegare i puntini.

Ma c’è un altro elemento che oggi cambia completamente il gioco: le intelligenze artificiali.

Se una volta l’analisi richiedeva tempo, competenze tecniche e tanta pazienza, oggi molte attività vengono semplificate in modo impressionante. Nell’articolo, ad esempio, ho utilizzato Gemini per decifrare il codice binario del primo indizio in pochi secondi — qualcosa che avrei potuto fare a mano, certo, ma con molto più tempo e margine di errore.

E questo è il punto. L’AI non “fa l’indagine al posto tuo”, ma accelera la ricerca, aiuta a interpretare dati, suggerisce connessioni, traduce formati, analizza pattern. Diventa un moltiplicatore di capacità. Il risultato? Le barriere d’ingresso si abbassano. Le competenze restano fondamentali, ma gli strumenti diventano sempre più potenti e accessibili.

Ed è proprio per questo che la domanda iniziale è ancora più attuale: uanto è facile trovarti online… oggi?

La vera lezione della challenge

Questa challenge non è stata solo una caccia all’indizio.

È stata una dimostrazione concreta di una cosa molto semplice e molto potente: online lasciamo tracce anche quando pensiamo di non farlo.

Un nickname riutilizzato, una foto apparentemente innocua, un BSSID visibile sullo sfondo, una chiave PGP caricata anni fa, un account secondario creato “tanto per”.

Separatamente sono dettagli insignificanti. Insieme diventano un’identità.

Ed è proprio questo il cuore dell’OSINT: non forzare sistemi, ma collegare punti.

Queste challenge insegnano qualcosa di molto più importante di una tecnica specifica; insegnano a osservare, a ragionare, a verificare le fonti, a non fermarsi alla prima risposta.

Ma insegnano anche un’altra cosa, forse ancora più importante:

Ogni contenuto che pubblichiamo — volontariamente o no — può diventare un tassello nel puzzle di qualcun altro.

La sicurezza non è solo firewall e password complesse. E' consapevolezza.

E se questa challenge ti ha fatto venire voglia di analizzare meglio quello che trovi online, allora ha già fatto il suo lavoro.

Articoli correlati

Se hai già letto i miei articoli su TryHackMe e contesti simili, potresti trovare utile collegare questi approfondimenti:

Try2Hack.lt: esercizi di logica e sicurezza informatica nel web degli anni 2000 parte 1
https://www.computermania.org/tutorial/sicurezza/try2hack-lt-esercizi-di-logica-e-sicurezza-informatica-nel-web-degli-anni-2000

Try2Hack.lt: esercizi di logica e sicurezza informatica nel web degli anni 2000 parte 2

https://www.computermania.org/tutorial/sicurezza/try2hack-lt-esercizi-di-logica-e-sicurezza-informatica-nel-web-degli-anni-2000-parte-2

Questi articoli esplorano piattaforme storiche di cybersecurity training e mettono in prospettiva l’evoluzione di strumenti moderni come TryHackMe.

Seguimi sui social per non perdere i prossimi aggiornamenti:





Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti tutorial, guide e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulsante: 
 
 

GRAZIE!