Cos'è#
Fase di raccolta informazioni su un target senza interagire direttamente con i suoi sistemi. Il target non si accorge dell'attività perché si usano solo fonti pubbliche: motori di ricerca, DNS pubblici, social media, archivi, certificati TLS.
Come funziona#
PASSIVE RECONNAISSANCE
─────────────────────────────────────────────────────
[ATTACCANTE / ANALISTA]
│
┌────────────────┼────────────────┐
│ │ │
Shodan Google Censys
(porte) (sito, email) (certificati)
│ │ │
└────────────────┼────────────────┘
│
[TARGET] ← non sa nientevs
ACTIVE RECONNAISSANCE
─────────────────────────────────────────────────────
[ATTACCANTE] ──── nmap, ping, dirb ────► [TARGET]
│
vede il traffico
nei propri logPassive vs Active#
| Passive | Active | |
|---|---|---|
| Interazione con il target | No | Sì |
| Rilevabile nei log | No | Sì |
| Tool tipici | Shodan, Google, HIBP | nmap, dirb, ping |
| Rischio legale | Basso | Alto senza permesso |
Perché è importante per Blue Team#
Capire come un attaccante ti vede prima di attaccarti. Se fai passive recon sulla tua infrastruttura trovi le stesse cose che troverebbe un attaccante — porte esposte, certificati scaduti, email nei breach, server dimenticati.
Dove l'ho incontrato#
- search-skills — prima room TryHackMe che la introduce
Scenario Reale#
Un security engineer fa passive recon sulla propria azienda: cerca il dominio su Shodan (trova un server di staging dimenticato con porta 22 aperta), su Censys (trova un certificato scaduto su un sottodominio), su HIBP (trova 3 email aziendali in breach). Tutto questo senza inviare un singolo pacchetto all'infrastruttura.
Risorse#
Collegato a#
- network — categoria
- shodan — tool per passive recon
- censys — tool per passive recon
- google-operators — tecnica di passive recon
- search-skills — room TryHackMe
