C’è un modo inaspettato di migliorare la sicurezza aziendale: guardarsi con gli occhi dell’attaccante.
Abbiamo seguito il corso del nostro Managing Partner Francesco Terlizzi sul dorking. E no, non è un hobby geek per chi passa troppo tempo su Google, ma una tecnica vera, potente e inquietantemente semplice.
Quando “cercare su Google” diventa un atto offensivo
In poche ore, abbiamo capito quanto la prospettiva conti.
Non si tratta solo di cercare, ma di ragionare come chi sta dall’altra parte, osservando i sistemi aziendali con mentalità offensiva. Bastano pochi operatori di ricerca – site:, filetype:, inurl: e intitle: – per far emergere ciò che spesso dimentichiamo di avere: vecchi pannelli di login, file di backup dimenticati, sottodomini “test” o “staging” che nessuno ammette di aver mai creato.
È la forma più elegante (e legale) di offensive security: niente scanner, solo ricerche passive, a costo zero e con risultati immediati.
La regola d’oro?
Se Google lo trova, anche un attaccante può farlo.
E, come la tradizione insegna, lo farà il venerdì sera, cinque minuti dopo che l’ultimo sysadmin ha timbrato l’uscita.
Il lato oscuro della ricerca “innocente”
Dopo il corso, digitare “pizza vicino a me” ci è sembrato quasi offensivo.
Mentre noi cerchiamo un ristorante carino, qualcuno nel mondo scrive query come:
tsite:example.com inurl:admin
site:example.com filetype:sql
site:example.com (inurl:dev OR inurl:staging OR inurl:old)
Queste ricerche vanno eseguite solo su domini di cui hai la piena autorizzazione, nell’ambito di attività di security testing o auditing interne.
Con tre righe di testo, si apre un tour guidato tra ciò che dovremmo proteggere: server dimenticati, directory indicizzate, ambienti di test “fantasma”.
Francesco ci ha mostrato casi reali di:
- Portali RDP trovati e poi violati con brute-force.
- Backup di progetti riservati caricati su server pubblici.
- Directory “Index of” aperte, veri cataloghi IKEA del disastro informatico.
“Non tutti hanno bisogno di un 0‑day. A volte basta un 0‑senno nel pubblicare file sul web.”
Vuoi provare in casa questa forma di intelligenza offensiva?
Vuoi testare questa forma di intelligenza offensiva in casa?
Fallo solo sui domini aziendali di cui hai piena autorizzazione (la legalità prima di tutto!) e segui questi passaggi:
- Mappa gli ambienti nascosti
Cerca i tuoi domini combinando il nome del sito con termini come dev, test, staging, backup o old nei percorsi URL. Questo ti aiuta a scoprire sottodomini o cartelle dimenticate indicizzati pubblicamente. - Fai l’inventario
Per ogni risultato che emerge:- Serve davvero o è un reperto del passato?
- È aggiornato e protetto da VPN, IP aziendali o 2FA?
- Contiene dati sensibili che non dovrebbero stare lì?
- Agisci
- Se serve, proteggilo adeguatamente.
- Se non serve, dismettilo e togliti un pensiero.
E come bonus motivazionale: se in meno di dieci minuti scopri un “/old” o un “/staging” dimenticato, il tempo passato al corso è già valso l’investimento.
La prossima volta che apri Google…
…chiediti se stai solo cercando una risposta o se, senza accorgertene, stai già facendo un piccolo penetration test alla tua azienda.