Analisi informatica OSINT (Open Source Intelligence)

L’OSINT, acronimo di Open Source Intelligence, indica l’attività di raccolta e analisi di informazioni ottenute da fonti aperte e accessibili al pubblico. In un mondo sempre più connesso, una grande quantità di dati è liberamente disponibile online: dall’attività sui social media alle banche dati pubbliche. L’analisi informatica OSINT sfrutta queste risorse per ricavare intelligence utile, ed è diventata uno strumento fondamentale nell’informatica forense, nella sicurezza informatica e in molti altri ambiti investigativi. In questa guida informativa e professionale, adatta anche ai meno esperti, vedremo cos’è l’OSINT, come funziona, in quali campi trova applicazione, quali strumenti utilizzare e quali sono le considerazioni etiche e legali da tenere a mente.

Cos’è l’OSINT

OSINT (Open Source Intelligence) significa letteralmente “intelligence da fonti aperte”. Si tratta della disciplina che si occupa della ricerca, raccolta e analisi di dati o notizie di pubblico interesse provenienti da fonti aperte e pubbliche.
In altre parole, l’OSINT utilizza informazioni disponibili liberamente (ad esempio siti web, social network, archivi pubblici, articoli di giornale, ecc.) per estrarre conoscenza utile ai fini investigativi, decisionali o per introdurre specifici elementi in una perizia informatica. È importante notare che “fonte aperta” non ha nulla a che vedere con il software open source: indica invece qualsiasi fonte di informazione accessibile legalmente al pubblico (ad esempio un profilo social pubblico, un documento pubblico online, ecc.).

Cenni storici: l’OSINT come pratica strutturata nasce in ambito militare e di intelligence tradizionale. Già durante la Seconda Guerra Mondiale, le agenzie di sicurezza di alcune nazioni hanno iniziato a sistematizzare la raccolta di informazioni da fonti aperte. Oggi, con l’avvento di Internet, l’OSINT si è evoluto ed esteso a molti settori civili.
Esempio semplice: un’analisi OSINT potrebbe consistere nel raccogliere tutte le informazioni disponibili online su una persona o un’azienda (sito web ufficiale, profili social, notizie di stampa, registri pubblici) per trarne un profilo informativo dettagliato.

Applicazioni dell’OSINT

L’Open Source Intelligence trova applicazione in una vasta gamma di settori, grazie alla sua capacità di estrarre informazioni preziose da dati pubblici. Ecco alcuni ambiti principali in cui l’OSINT è utilizzato:

Informatica forense e indagini legali: in un contesto di indagini digitali, l’OSINT aiuta investigatori e analisti forensi a raccogliere prove e indizi online. Ad esempio, può essere usato per rintracciare l’attività web di un sospetto, identificare account social collegati a un cybercrimine o ottenere informazioni su vittime e testimoni attraverso fonti aperte.
Sicurezza informatica e cybersecurity: i professionisti della sicurezza informatica utilizzano l’OSINT per il penetration testing e il red teaming, raccogliendo informazioni su bersagli (indirizzi IP, domini, dati trapelati) prima di simulare attacchi. Anche i blue team (difensori) sfruttano OSINT per monitorare possibili minacce pubbliche, come fughe di dati o divulgazione di vulnerabilità su forum e nel dark web.
Intelligence e forze dell’ordine: le agenzie di intelligence nazionali e la polizia usano l’OSINT per raccogliere informazioni su possibili minacce alla sicurezza, terrorismo, criminalità organizzata. Ad esempio, monitorano fonti online in cerca di segnali premonitori (post sui social, annunci, forum) o per localizzare individui di interesse.
Settore aziendale e investigazioni private: l’OSINT viene impiegato anche in ambito commerciale per la competitive intelligence (ricerca di informazioni sui competitor), per verifiche su potenziali partner d’affari, indagini finanziarie e ricerca di violazioni di proprietà intellettuale (ad esempio individuare prodotti contraffatti venduti online). Investigatori privati e analisti di rischio usano OSINT per profili pre-assunzione o per rintracciare persone e beni.
Giornalismo investigativo: i giornalisti sfruttano fonti aperte per verificare fatti, scoprire connessioni nascoste e ottenere prove documentali a supporto di inchieste. Ad esempio, l’OSINT si è rivelato cruciale per analizzare immagini satellitari, tracciare navi o aerei, o verificare l’autenticità di foto e video condivisi online.

Data breach e OSINT

Il servizio Have I Been Pwned, utilissimo per l’OSINT, contiene (al momento della stesura del presente articolo) oltre 14 miliardi di account sottratti

Uno degli ambiti più rilevanti e delicati dell’analisi OSINT riguarda l’utilizzo delle informazioni contenute nei data breach, ovvero le violazioni di dati che espongono informazioni personali o aziendali sensibili. Questi incidenti, sempre più frequenti, coinvolgono spesso credenziali di accesso, indirizzi email, numeri di telefono, informazioni finanziarie e altri dati identificativi che finiscono per essere pubblicati o venduti online, anche su forum e marketplace del dark web.
Nel contesto OSINT, i data breach rappresentano una fonte potentissima di informazioni. Analisti e investigatori digitali possono consultare banche dati pubbliche che raccolgono e aggregano queste violazioni, allo scopo di individuare account compromessi, comprendere i comportamenti online di un soggetto o ricostruire collegamenti tra email, username e profili social.

Un classico esempio pratico è l’utilizzo del sito Have I Been Pwned, che permette di verificare se un indirizzo email è presente in uno o più data breach noti. Uno strumento di questo tipo può essere usato per:

Verificare se un individuo o un’azienda ha subito violazioni
Risalire ad altri account collegati a un dato indirizzo email
Identificare pattern ricorrenti (ad esempio l’uso della stessa password su più servizi)
Effettuare un’attività di ricostruzione dell’identità digitale

Un analista OSINT esperto può anche incrociare queste informazioni con altre fonti pubbliche per mappare in modo più completo il profilo di un soggetto o valutare il livello di esposizione di un’organizzazione. Naturalmente, l’utilizzo di questi dati deve sempre avvenire nel rispetto della legalità: è fondamentale non accedere mai a database protetti o ottenere informazioni tramite mezzi non autorizzati.

Processo per l’Open Source Intelligence

L’attività di analisi OSINT segue solitamente un processo strutturato, simile al ciclo di intelligence, per garantire che le informazioni raccolte siano pertinenti e utili. Di seguito vediamo le fasi principali di un’analisi informatica OSINT e come si svolgono:

Definizione degli obiettivi e pianificazione: prima di iniziare, è fondamentale stabilire cosa si sta cercando e perché. In questa fase si definisce l’obiettivo dell’indagine (ad esempio, profilare una persona, raccogliere info su un’azienda, trovare vulnerabilità di un sistema) e si pianifica un approccio. Si identificano le possibili fonti da consultare (siti web, database pubblici, social network, motori di ricerca specializzati, ecc.) e si stabiliscono le parole chiave o i parametri di ricerca da utilizzare.
Raccolta delle informazioni: è la fase operativa in cui si cercano e si raccolgono i dati dalle fonti aperte identificate. Questa raccolta può avvenire manualmente (ad esempio usando Google con operatori avanzati, consultando registri pubblici come Whois per domini internet, cercando profili sui social media) oppure in modo automatizzato tramite strumenti specifici (vedi sezione successiva sugli strumenti OSINT). In questa fase è importante organizzare bene le informazioni trovate, annotando le fonti e dettagli rilevanti, poiché serviranno per la verifica successiva.
Analisi e verifica dei dati: una volta ottenuta una quantità di dati grezzi, occorre analizzarli criticamente. L’analisi consiste nel filtrare le informazioni irrilevanti, collegare tra loro i vari dati (ad esempio collegare un nickname a un indirizzo email, o un indirizzo IP a un’azienda) e trarre conclusioni intelligenti. È anche fondamentale verificare l’attendibilità delle fonti e la veridicità dei dati raccolti: incrociare le informazioni tra più fonti aiuta a evitare errori o fake news. Ad esempio, se si trova una notizia sui social, si cerca conferma su fonti giornalistiche affidabili; se un profilo afferma qualcosa, si cerca riscontro in database ufficiali.
Documentazione e presentazione dei risultati: infine, i risultati dell’analisi OSINT devono essere documentati e resi fruibili. In un contesto di informatica forense o intelligence, questo significa redigere un rapporto chiaro con tutte le evidenze raccolte (magari includendo screenshot, link e riferimenti alle fonti) e le conclusioni tratte. La presentazione deve essere organizzata in modo che anche altri possano verificare le informazioni e utilizzarle. Ad esempio, in un’indagine forense, il rapporto OSINT potrebbe entrare a far parte del fascicolo come supporto alle prove digitali tradizionali.

Seguendo queste fasi in maniera metodica, l’analisi OSINT diventa efficace e riproducibile. È un processo iterativo: nuove informazioni scoperte possono portare a ridefinire gli obiettivi o a cercare in altre fonti, finché non si soddisfano le necessità dell’indagine.

Strumenti e software

Sebbene sia possibile fare OSINT manualmente, esistono molti strumenti specializzati che facilitano e velocizzano la raccolta e l’analisi di informazioni da fonti aperte.
Di seguito presentiamo alcuni strumenti utili per l’analisi informatica OSINT, con una breve descrizione e il link al sito ufficiale o risorsa riconosciuta:

Maltego – Maltego è uno strumento di link analysis che aiuta a scoprire e visualizzare connessioni tra entità (persone, email, domini, indirizzi IP, documenti, ecc.). Dispone di un’interfaccia grafica in cui, inserendo un dato di partenza, il tool effettua ricerche OSINT su varie fonti e produce grafici che mostrano le relazioni trovate. Maltego è molto usato in ambito forense e di cybersecurity per mapping delle reti sociali di un soggetto o le infrastrutture online di un target.
Shodan – Shodan viene spesso definito “il motore di ricerca degli hacker”. È un motore di ricerca specifico per dispositivi e servizi esposti su Internet: inserendo un indirizzo IP, un nome di servizio o altri filtri, Shodan elenca informazioni su server, webcam, router, sistemi industriali e qualunque dispositivo connesso visibile pubblicamente online. Nelle indagini OSINT, Shodan è utile per identificare i sistemi attivi di un’organizzazione (ad esempio, scoprire che un’azienda ha un database aperto su una certa porta) o valutare la superficie di attacco di un bersaglio.
theHarvester – theHarvester è un tool open source (incluso in distribuzioni Linux per pentest come Kali) progettato per raccogliere rapidamente informazioni su domini internet. Attraverso theHarvester su GitHub, è possibile trovare indirizzi email, sottodomini, nomi di dipendenti, porte aperte e altre informazioni relative a un dominio o un’azienda, interrogando automaticamente fonti pubbliche come motori di ricerca, servizi DNS, database di key PGP, ecc. Questo strumento è molto apprezzato per ottenere in pochi minuti un elenco di possibili vettori di attacco o di dettagli utili su un target specifico.
SpiderFoot – SpiderFoot è un altro popolare tool OSINT open source, specializzato nell’automatizzare la raccolta di informazioni da un’ampia gamma di fonti. Si configura come una piattaforma modulare: dato un obiettivo (ad esempio un nome di persona, un username, un indirizzo IP o un dominio), SpiderFoot effettua centinaia di query su API e servizi pubblici (social media, database di leak, registri Whois, ricerca sul web, ecc.) e compila un report con tutte le tracce digitali trovate relative a quell’obiettivo. È particolarmente utile per avere una visione completa dell’impronta digitale di un soggetto o di un’organizzazione.
Altri strumenti e risorse: oltre a quelli citati, il panorama OSINT include moltissimi altri strumenti. Ad esempio, Censys (simile a Shodan, per la ricerca di dispositivi online), Recon-ng (framework OSINT a riga di comando), oppure risorse web come Have I Been Pwned (sito per controllare se un’email appare in database di dati violati) e il famoso repertorio OSINT Framework (un elenco interattivo di risorse OSINT disponibile come sito web). La scelta degli strumenti dipende dal tipo di informazioni che si cerca: spesso un analista OSINT utilizza combinazioni di strumenti per ottenere risultati più completi.

Analisi informatica OSINT (Open Source Intelligence)

Cos’è l’OSINT

Applicazioni dell’OSINT

Data breach e OSINT

Processo per l’Open Source Intelligence

Strumenti e software

Articoli simili dal Blog

Magnet Axiom: cos’è e come funziona

Guida all’attività dell’informatico forense: strumenti, fasi operative e norme italiane

Copia forense: accertamento tecnico irripetibile o ripetibile?

Ispezione informatica, sequestro e duplicazione: analisi delle garanzie e delle criticità procedurali

Copia forense WhatsApp: metodi, strumenti e validità probatoria

Normativa perizie informatiche: guida aggiornata a leggi, ruoli e procedure in Italia

Software gratuiti per la Digital Forensics (Informatica Forense)

BitLocker nelle perizie informatiche

Immagini forensi: tipologia e differenze

Trascrizione file audio con l’intelligenza artificiale

Scoprire le App spia sul telefono

Network Forensics

P.IVA - 02421300464

(+39) 0584 171 6575

Via Verdi 270, Viareggio (LU)

info@perizieinformatiche.it