Sherlock, il tool OSINT per hacker: cos’è, a cosa serve e come viene usato per “indagini” social

Sherlock rappresenta un ottimo tool per le indagini OSINT. Grazie a Sherlock è possibile sfruttare il nome utente di un account per verificare se il nostro target ha creato su altri siti (possiamo fornire a Sherlock, tramite elenco, tutti i siti che vogliamo) utenze utilizzando lo stesso user.

Esempio, sappiamo che un nostro target usa su Instagram un determinato username e vogliamo sapere se questo stesso user è presente su altri social network.

Sul sito ufficiale del progetto è presente l’elenco dei principali social network a livello mondiale (che possiamo utilizzare nei nostri test) giusto per renderci conto del tempo che possiamo risparmiare utilizzando questo tool e di tutte le informazioni che andiamo a controllare.

Eseguendo Sherlock verrà creato un file di testo con un elenco di tutti i siti Web su cui è stato trovato lo stesso nome utente fornendoci il link diretto per consultare le informazioni pubbliche dell’account trovato.

Perché queste ricerche sono utili a un hacker

L’utente medio gestisce male la propria privacy e pochi social network lo tutelano imponendogli determinate opzioni di visualizzazione (il classico “visualizza informazioni solo agli amici” per intenderci).

Consultando le pagine degli account trovati potremmo imbatterci in un account MyHeritage che rivela la data di nascita del target, il nome di un parente (magari un figlio) o, soprattutto, un indirizzo e-mail.

Potremmo trovare un account Facebook con l’indirizzo e-mail del target oppure scovare su Instagram e Flickr foto recenti o datate, la tipologia di studi o meglio ancora un suo indirizzo di residenza o domicilio.

Tutte informazioni utili per iniziare a preparare un attacco di social engineering ad hoc per la potenziale vittima.

C’è da dire che questa tipologia di ricerca può essere fatta tranquillamente utilizzando gli operatori di Google, ma Sherlock è molto più veloce tanto da permetterci di modificare leggermente lo user dato ed effettuare più ricerche.

Questo perché viene fatto?

Semplice. Quando ci registriamo su un nuovo portale non è detto che il nostro user sia disponibile e tendiamo a conservare la parte principale aggiungendo qualche lettera o numero.

Prima di procedere con l’installazione di Sherlock, è utile verificare che sul nostro sistema siano presenti Python (si raccomanda la versione 3, nell’articolo abbiamo utilizzato la 3.7) e Pip3 (il package installer per Python).

Installiamo Sherlock

Sherlock è disponibile per piattaforme Microsoft Windows e Linux/Mac.

La procedura di installazione non è complicata, basta seguire dei semplici step e il tool sarà pronto per l’utilizzo in pochi minuti.

Installazione su piattaforma Windows

Avviamo il browser e colleghiamoci alla pagina di Sherlock ospitata su GitHub.

Scarichiamo l’archivio compresso in formato ZIP contenente i file di installazione di Sherlocke ed estraiamolo in una qualsiasi cartella dell’hard disk (va benissimo anche il Desktop).

Apriamo la cartella appena estratta e copiamo l’indirizzo indicato.

Apriamo una finestra del Prompt dei comandi MS-DOS, incolliamo l’indirizzo appena copiato preceduto dal comando cd e premiamo Invio. Dovremmo così ritrovarci nella cartella estratta.

Istalliamo dallo store di Microsoft la versione di Python disponibile se non lo abbiamo già fatto.

Assicuriamoci che la nostra Shell sia sempre nella cartella di Sherlock e lanciamo il comando adatto alla nostra versione di Python:

python -m pip install -r requirements.txt (per le versioni di python 2.x)

oppure

python3 -m pip install -r requirements.txt (per le versioni di python 3.x)

Appena l’istallazione sarà terminata potremo utilizzare Sherlock per cercare informazioni sui social network partendo dallo username di un utente.

Installazione su piattaforme Mac/Linux

Apriamo una Shell e cloniamo il repository utilizzando il comando git clone https://github.com/SHERLOCK-project/SHERLOCK.git.

Spostiamoci nella directory di Sherlock utilizzando il comando cd SHERLOCK.

Istalliamo il necessario eseguendo il comando pip3 install -r requirements.txt.

Assicuriamoci, quindi, di avere istallato la giusta versione di Pip per la vostra versione di Python.

Anche in questo caso, appena l’istallazione sarà terminata, potremo utilizzare Sherlock per cercare informazioni sui social network partendo dallo user di un utente.

Utilizzo di Sherlock

Indipendentemente dal sistema operativo utilizzato, apriamo una Shell e posizioniamoci nella cartella di installazione di Sherlock, quindi eseguiamo il comando adatto alla nostra versione di Python:

python SHERLOCK.py user123 (per le versioni di python 2.x)

oppure

python3 SHERLOCK.py user123 (per le versioni di python 3.x)

Il comando eseguito nell’esempio appena mostrato (python3 SHERLOCK.py user123) genera in pochi secondi il file di testo user123.txt nella cartella di Sherlock contenete tutti i link alle utenze trovate.

Questo è il risultato finale che si ottiene utilizzando Kali Linux.

Visitando i link segnalati possiamo ottenere utili informazioni sul target.

Ad esempio, potremmo scoprire che è un utente Telegram.

In aggiunta, scopriamo anche che è un utente registrato ma non attivo su Tripadvisor, ma dalla scheda emerge un indirizzo che potrebbe essere interessante.

Lo user utilizzato non può darci un immediato riscontro della potenzialità del tool, ma vi invito ad utilizzarlo sul vostro nome utente: così facendo, potrete notare i limiti del tool e comunque apprezzare al meglio Sherlock.

Al termine dei nostri test dovremmo essere più consapevoli del fatto che oltre a utilizzare delle password robuste, anche la scelta di diversi username ha il suo peso nella tutela della vostra privacy.

Nota: L’articolo è stato scritto a scopo educativo ed è stato eseguito in ambiente di laboratorio, eventuali tentativi di replica su siti web o indirizzi IP pubblici costituiscono reato informatico.