Spiderfoot: OSINT automatizzata per chi ama scavare a fondo

di

Viviamo in un’epoca in cui quasi tutto lascia una traccia. Che si tratti di un dominio web, un indirizzo email o un semplice nome utente, è possibile ricostruire mappe invisibili di collegamenti, dati, fughe di informazioni. Questa è la logica dell’OSINTOpen Source Intelligence: raccogliere dati pubblicamente accessibili per ricavarne conoscenza.

Il problema è che farlo a mano è lento, dispersivo e spesso frustrante: ecco dove entra in gioco Spiderfoot.

Spiderfoot è uno strumento open source che automatizza la raccolta e la correlazione di dati OSINT. Puoi dargli in pasto un dominio, un IP, un nome o un’email, e lui penserà a tutto il resto: analisi DNS, ricerche WHOIS, verifiche su database di leak, metadati, e molto altro ancora. Fa tutto in automatico e lo tende documentabile in modo gratuito.

Pensalo come un piccolo investigatore digitale che non si stanca mai.

In questo articolo vedremo:

  • cosa può fare Spiderfoot;
  • come usarlo passo passo;
  • a chi può servire e in quali scenari;
  • e perché potrebbe diventare uno dei tuoi strumenti OSINT preferiti.

I. Cos’è Spiderfoot (e perché usarlo)

Spiderfoot è una piattaforma pensata per automatizzare la raccolta di intelligence su target digitali. È scritto in Python, completamente open source e utilizzabile sia da interfaccia web che da riga di comando (CLI).

È modulare: supporta oltre 200 moduli diversi per analizzare fonti pubbliche.
È flessibile: puoi usarlo per attività legittime di analisi, sicurezza o ricerca.
È nerd-friendly: perfetto per chi vuole esplorare a fondo la superficie digitale del web.

Può raccogliere informazioni su:

  • domini e sottodomini
  • indirizzi IP e DNS
  • email e username
  • metadati da documenti
  • breach e credenziali compromesse
  • social media e profili online
  • dark web (se configurato con Tor)

La sua forza è nell’automazione. Una volta lanciata una scansione, Spiderfoot mette insieme dati provenienti da fonti diverse, li correla, li visualizza in report e tabelle, evidenziando possibili legami e punti deboli.

II. Cosa può fare: le fonti OSINT supportate

Spiderfoot si distingue per la sua capacità di combinare centinaia di fonti OSINT in un’unica scansione automatizzata. Basta inserire un target (ad esempio un dominio, un IP, un’email o un nome) e attivare i moduli desiderati: farà tutto da solo, eseguendo ricerche, interrogando API, incrociando dati.

Ecco una panoramica delle categorie principali di dati che può analizzare:

🧠 Informazioni DNS e infrastrutturali
  • Record A, AAAA, MX, NS
  • Sottodomini scoperti
  • Server associati, ASN, geolocalizzazione IP
  • Reverse DNS
  • WHOIS (registranti, date, contatti)
📬 Email e profili associati
  • Verifica se una email è stata coinvolta in breach (grazie a integrazioni come HaveIBeenPwned)
  • Collegamenti tra email e username/profili social
  • Domini associati all’email
🌍 Dominio & web fingerprinting
  • Tecnologie usate (CMS, server web, framework)
  • Certificati SSL e relativi emittenti
  • Redirect sospetti o mirror
🕵️‍♂️ Leaks, breach e dark web
  • Ricerca automatica in database pubblici e semi-pubblici di violazioni note
  • Possibile integrazione con fonti accessibili via Tor (se configurato)
  • Verifica di password esposte associate a target email o username
📄 Metadati da documenti
  • Se carichi un file (es. PDF, DOC), Spiderfoot può analizzare i metadati: autore, data, posizione GPS, software usato
  • Utile per attribuzione o profiling
🔍 Social media & OSINT “soft”
  • Ricerca di nomi o alias su Twitter, LinkedIn, GitHub, etc.
  • Trovare profili social legati a email, nomi utente o nomi reali
  • Informazioni grezze, ma aggregabili in una mappa digitale del soggetto

Moduli e API: il cuore della potenza di Spiderfoot

Spiderfoot lavora tramite moduli, ognuno dei quali attiva una specifica funzione. Alcuni moduli funzionano subito, altri richiedono una chiave API (es. Shodan, VirusTotal, HaveIBeenPwned).

Alcuni moduli degni di nota:

  • sfp_shodan: interrogazioni alla rete Shodan per identificare dispositivi esposti
  • sfp_virustotal: verifica reputazione e dettagli su file, URL e IP
  • sfp_leaklookup: cerca credenziali esposte nei database compromessi
  • sfp_dnsdumpster: cerca DNS pubblici e sottodomini
  • sfp_metadata: estrae metadati da documenti caricati

Con oltre 200 moduli attivabili, hai un arsenale OSINT pronto all’uso. E puoi crearne di nuovi se ne hai bisogno.

III. Come si usa: esempio di flusso operativo

Utilizzare Spiderfoot è sorprendentemente semplice, soprattutto per la quantità di dati che riesce a raccogliere con un minimo input. Qui sotto ti propongo un flusso operativo tipo, che puoi replicare facilmente.

🔧 1. Installazione e avvio

Spiderfoot può essere usato in due modi:

  • via interfaccia web (più comoda per esplorare e visualizzare);
  • via CLI (per automatizzazioni, scripting, o integrazione in altri flussi di lavoro).

Per installarlo:

git clone https://github.com/smicallef/spiderfoot.git
cd spiderfoot
pip install -r requirements.txt
python3 sf.py -l 127.0.0.1:5001

A questo punto puoi aprire il browser su http://127.0.0.1:5001 e troverai l’interfaccia web.

🎯 2. Impostare un Target

Una volta dentro, il primo passo è creare un nuovo scan indicando un target. Può essere:

  • un dominio (example.com)
  • un indirizzo IP
  • una email
  • un nome o username
  • persino una chiave PGP, telefono, o un file contenente metadati

Esempio: testdomain.com

Spiderfoot inizierà a costruire un albero informativo a partire da questo dato.

🧩 3. Selezionare i moduli (o usarli tutti)

Puoi decidere se:

  • attivare tutti i moduli disponibili
  • selezionarne solo alcuni (es. solo DNS, o solo breach)

I moduli sono divisi per categoria e spiegati: puoi vedere quali richiedono API (e inserirle nel pannello di configurazione).

🚀 4. Avviare la scansione

Clic su Start Scan e… Spiderfoot inizia a lavorare.

A seconda della quantità di moduli attivati, può richiedere da qualche minuto a mezz’ora o più. Nel frattempo, vedrai popolare la sezione Scan Overview, con:

  • tipo di dati trovati
  • moduli che li hanno generati
  • potenziali alert (es. email trovata in un data breach, IP compromesso, etc.)
📊 5. Esplorare i risultati

Terminata la scansione, Spiderfoot mostra:

  • un report testuale dettagliato di tutti i dati raccolti
  • una visualizzazione ad albero (tree view) per vedere come ogni informazione si connette all’altra
  • opzioni per esportare tutto in CSV, JSON, PDF

Puoi analizzare le correlazioni tra le informazioni e seguire il filo che ti porta da un dominio a una email, poi a un profilo GitHub, fino a un database con credenziali esposte.

🔎 6. Interpretazione: è tutto legale?

Spiderfoot non “hackerà” nulla. Tutti i dati raccolti sono pubblicamente accessibili: li estrae da WHOIS, DNS, siti web, leak pubblici, social network, etc.

Attenzione però: l’uso improprio di questi dati (profilazione non autorizzata, doxing, violazioni della privacy) può avere implicazioni legali.

Il confine tra curiosità e investigazione è sottile. Usalo in modo responsabile.

IV. Use case reali/simulati

🎯 Use Case A – Analisi di un dominio sospetto

Obiettivo: analizzare sospetto-example.com per capire se è collegato ad attività rischiose o infrastrutture sospette.

🧪 FASE 1: Setup e avvio
git clone https://github.com/smicallef/spiderfoot.git
cd spiderfoot
pip install -r requirements.txt
python3 sf.py -l 127.0.0.1:5001

Apri: http://127.0.0.1:5001

🔍 FASE 2: Creazione Scan
  • Target: sospetto-example.com
  • Moduli selezionati:
    • DNS e subdomain enumeration
    • WHOIS
    • SSL certificate scan
    • Shodan
    • VirusTotal
    • Passive DNS
    • Blacklist check

Clic su Start Scan.

📊 FASE 3: Risultati ottenuti (simulati)
Tipo datoValoreModulo
Subdomainpanel.sospetto-example.comDNSDumpster
SSL Subject Alt Name*.evilcdn.netsfp_sslcert
WHOIS Registrant Emailanonymized@privacyprotect.orgsfp_whois
IP associato185.244.212.101sfp_dnsresolve
VirusTotal Score9/72 positivo (malware)sfp_virustotal
Shodan ServicesHTTP, FTP anonimo, porta 8080 apertasfp_shodan
🧠 Analisi e takeaways
  • IP usato anche da altri 12 domini maligni → hosting sospetto
  • Certificati condivisi con domini “cloni” → possibile phishing
  • VirusTotal segnala link malevolo attivo

👉 Azione consigliata: segnalazione, blacklist IP/domains, blocco via firewall/DNS sinkhole.

🏢 Use Case B – Esposizione di una piccola azienda

Obiettivo: audit della superficie digitale di azienda-demo.it

🧪 FASE 1: Setup e target multipli
  • Target principali:
    • Dominio: azienda-demo.it
    • Email pubblica: contatti@azienda-demo.it
  • Moduli selezionati:
    • DNS + subdomain scan
    • SSL
    • WHOIS
    • Metadata scan
    • Breach search
    • Social discovery
🔎 FASE 2: Risultati (output simulato)
Tipo datoValoreModulo
Subdomaindev.azienda-demo.itsfp_dnsbrute
Metadata fileAutore: Mario R. – GPS: Milanosfp_metadata
Breach emailcontatti@azienda-demo.it → FOUNDsfp_breach
Social accountGitHub: @mariodev1990sfp_socialprofiles
SSL expiryCertificato scaduto 45 giorni fasfp_sslcert
🔧 Azioni consigliate
  • Chiudere dev. o isolarlo
  • Rimuovere documenti PDF con metadati interni
  • Cambiare password email / forzare 2FA
  • Contattare autore file per revisione sicurezza
  • Rinnovare certificato SSL immediatamente

🧑 Use Case C – Ricostruzione identità digitale da email

Obiettivo: partire da mario.rossi@example.com e scoprire l’identità pubblica.

🧪 FASE 1: Setup
  • Target: mario.rossi@example.com
  • Moduli attivati:
    • Email leak lookup
    • Username detection
    • Social discovery
    • Metadata + PGP + email-to-domain
📈 FASE 2: Risultati (simulati)
Tipo datoValoreModulo
BreachEmail compromessa (Adobe, 2013)sfp_breach
Username correlatomariodev1990, mrossisfp_username
Profili socialGitHub: mariodev1990sfp_socialprofiles
Documento WordAutore: Mario R. – Azienda: X Corpsfp_metadata
Dominio collegatoxcorp-tech.itsfp_emaildomain
🎯 Sintesi
  • Identità ricostruita: nome + azienda + account social tecnico
  • Profilazione legittima per investigazione giornalistica
  • Richiede cautela legale per pubblicazione o divulgazione

V. Vantaggi, limiti e considerazioni etiche

✅ Vantaggi di Spiderfoot

1. Automazione estrema

Con pochi clic (o comandi da terminale), Spiderfoot può avviare una raccolta massiva di dati pubblici: chiunque abbia familiarità con concetti base di OSINT può generare report ricchissimi senza scrivere una riga di codice.

2. Modularità

Oltre 200 moduli integrati: DNS, WHOIS, breach, social, dark web, geolocalizzazione, Shodan, VirusTotal… Spiderfoot è un coltellino svizzero dell’intelligence digitale. Ogni modulo può essere attivato o disattivato in base allo scopo investigativo.

3. Visualizzazione e tracciabilità

Il sistema mostra chiaramente:

  • da dove proviene ogni dato (modulo → dato generato)
  • come si collega agli altri (albero relazionale)

Perfetto per generare dossier, intelligence report, o fornire evidenze in investigazioni.

4. Portabilità

È open source, si installa facilmente su Linux, macOS e anche Windows. Può girare in locale o essere containerizzato per ambienti professionali.

⚠️ Limiti (da conoscere per usarlo bene)

1. Dati solo pubblici

Spiderfoot non viola sistemi né accede a fonti protette: lavora unicamente con dati OSINT. Non aspettarti magicamente email private, contenuti chiusi o dati non esposti.

2. Richiede API per i moduli più utili

Molti moduli richiedono chiavi API (gratuita o a pagamento). Senza:

  • Shodan non funziona
  • VirusTotal restituisce info parziali
  • HaveIBeenPwned non fa lookup

💡 Soluzione: creare un profilo gratuito su questi servizi e aggiungere le API nel pannello.

3. Falsi positivi o correlazioni imprecise

Come ogni tool OSINT, Spiderfoot correla sulla base di nomi, pattern, metadati: può sbagliare.

  • Due utenti con username simile ≠ stessa persona
  • Una email trovata in un documento ≠ prova d’identità

Serve sempre valutazione umana critica.

4. Nessun motore di analisi comportamentale

Non fa analisi predittiva, né machine learning o profiling automatico. Spiderfoot raccoglie. L’intelligenza resta all’analista.

🧭 Considerazioni etiche e legali

La linea tra informazione e sorveglianza

Spiderfoot non fa nulla di illegale, ma l’uso che ne fai può esserlo.

Esempi di uso corretto:

  • Valutazione della superficie di attacco aziendale
  • Ricerca per giornalismo investigativo
  • Audit di sicurezza e pentest autorizzati
  • Pre-screening di domini prima di interazioni commerciali

Esempi di uso scorretto:

  • Raccogliere dati su persone senza consenso per profilazione personale
  • Tentare il doxing o la raccolta massiva di dati sensibili con intento offensivo
  • Automatizzare scansioni di domini terzi senza autorizzazione (potresti violare policy d’uso o leggi locali)
GDPR, privacy, responsabilità

In Europa (e in molti altri paesi), anche i dati “pubblici” sono soggetti a norme sulla privacy:

  • I dati personali devono avere un fine legittimo e proporzionato
  • Non puoi conservarli o diffonderli indiscriminatamente
  • La raccolta deve essere trasparente se rivolta a soggetti identificabili

Inoltre, se usi Spiderfoot in contesto aziendale o istituzionale, serve una policy OSINT interna, con:

  • Logiche di raccolta chiare
  • Tracciabilità
  • Governance su dati raccolti
Responsabilità morale

“Non tutto ciò che è accessibile è giusto da usare.”

Spiderfoot mette a disposizione uno strumento potente, ma impersonale. Sta a chi lo usa:

  • scegliere gli obiettivi in modo etico;
  • non trasformare l’OSINT in un pretesto per lo stalking digitale;
  • comprendere i limiti dei dati, senza interpretarli come verità assolute.

Spiderfoot è come un radar: non ti dice cosa fare, ma ti mostra cosa c’è. È un alleato per hacker etici, ricercatori, giornalisti, analisti e difensori della sicurezza digitale. Ma come ogni strumento, diventa utile o pericoloso a seconda della mano che lo guida.

VI. Epilogo – Dove inizia l’intelligence

Nel mondo digitale non esistono più silenzi. Ogni stringa di testo, ogni IP, ogni documento caricato e dimenticato in fondo a un server può raccontare una storia. E Spiderfoot, come altri strumenti OSINT, non fa altro che ascoltare il brusio del web, con la pazienza automatica di una macchina, e la curiosità — inevitabilmente umana — di chi cerca.

In un’epoca dove l’informazione è ovunque e il rischio si nasconde tra righe di log e metadati, automatizzare non è solo un vantaggio tecnico, ma un’esigenza culturale: significa ridurre il rumore, concentrarsi su ciò che conta, e rendere sostenibile l’intelligence per chi lavora nella sicurezza, nel giornalismo, nella giustizia, nella ricerca.

Ma Spiderfoot non è magia. È uno strumento. È un radar, non un giudice. Ti mostra cosa c’è, non cosa significa. L’interpretazione, il contesto, la responsabilità, restano a te. Perché l’intelligence — quella vera — inizia quando finisce la raccolta, quando i dati si trasformano in scelte, e le scelte in conseguenze.

“Non basta vedere. Bisogna capire perché guardiamo.”

In una realtà sempre più interconnessa e opaca, saper leggere i segnali nascosti è un atto di autodifesa, ma anche di cultura. E strumenti come Spiderfoot ci ricordano che ogni traccia digitale può essere l’inizio di una mappa.
A noi decidere se vogliamo usarla per controllare, proteggere, o soltanto capire un po’ meglio il mondo in cui viviamo.

🚀 Per iniziare subito con SpiderfootCome iniziare subito con Spiderfoot

Spiderfoot è un tool open source potente per l’automazione delle investigazioni OSINT. Anche se la documentazione ufficiale e le demo online non sono sempre disponibili, puoi partire subito seguendo questi semplici passi:

  • Clona il progetto e installa le dipendenze:
git clone https://github.com/smicallef/spiderfoot.git
cd spiderfoot
pip install -r requirements.txt

pip install -r requirements.txt

  • Avvia Spiderfoot localmente:
python3 sf.py -l 127.0.0.1:5001

Poi apri nel browser http://127.0.0.1:5001

  • Configura le API keys per fonti come Shodan, VirusTotal e HaveIBeenPwned per risultati più ricchi.
  • Rispetta la legge e la privacy:
    Usa Spiderfoot solo per indagini etiche e legali.

Certo! Ecco una lista di risorse utili (in italiano e inglese) per chi vuole imparare a usare Spiderfoot o approfondire l’OSINT, perfette da aggiungere come appendice all’articolo o in un box finale per lettori curiosi.

🎒 Risorse utili per imparare Spiderfoot e l’OSINT

🔹 Guide e tutorial (Spiderfoot)

🧠 Approfondire l’OSINT

  • 📘 Libro (italiano):
    Open Source Intelligence – L’intelligence delle fonti aperte – G. Giacinto, M. Ciardulli
    https://amzn.to/3PDI7s6
  • 🌐 Community Telegram italiane:
    • OSINT Italia – ricerca gruppi con parole chiave come osint, cybersec, infosec
    • RedHotCyber – community molto attiva su temi OSINT, cybersecurity, geopolitica digitale
  • 📰 Siti da seguire:

🛠 Altri strumenti OSINT da esplorare

  • 🔍 Maltego – per mappature visive e collegamenti tra entità
  • 🧠 TheHarvester – raccolta email, subdomini, nomi host
  • 🧾 Recon-ng – framework per OSINT automatizzato (simile a Spiderfoot, ma CLI)
  • 🐍 GHunt – tool OSINT per analizzare account Google

Consigli d’acquisto: Suggerimenti per attrezzare il tuo laboratorio OSINT

Questo articolo contiene link di affiliazione a Amazon. Se acquisti tramite questi link potrei ricevere una commissione senza costi aggiuntivi per te.

Qui, consiglio solo prodotti che ritengo utili per chi fa OSINT e sicurezza digitale.

Attenzione: usa questi strumenti e dispositivi solo per scopi legittimi. Non promuovere attività di doxing, stalking o raccolta di dati personale senza consenso. Rispetta GDPR e normative locali.

1) Mini-server / single-board computer — per eseguire Spiderfoot in locale

Perché: basso consumo, sempre acceso, perfetto per eseguire scansioni in background senza bloccare il PC.
Suggerimento d’acquisto: Raspberry Pi 4 Kit 4GB oppure Raspberry Pi 4 Kit 8GBottimo per container Docker o VM leggere.

2) SSD esterno oppure NVMe + case USB — per archiviare scan e risultati

Perché: esportare JSON/CSV/PDF può occupare spazio; velocità e affidabilità riducono i tempi di esport.
Suggerimento d’acquisto:

Se usi un laptop o Raspberry Pi con adattatore ti serirà anche un case USB-C per la scheda, in questo caso ti consiglio:

Se prevedi di fare molte analisi o scansioni parallele, scegli un modello con DRAM (come una delle due Samsung citate qui sopra). Le prestazioni restano più stabili nel tempo.

3) Router / VPN hardware o servizio VPN (se usi Tor o vuoi separare l’ambiente)

Perché: per la privacy, per testare ricerche tramite diversi exit node o per isolare l’ambiente di scansione.
Nota:

  • TP‑Link Omada ER706W: router wireless + supporto VPN integrato, ottime prestazioni, adatto se hai molti dispositivi WiFi. Buona scelta se vuoi che tutto il traffico di casa passi attraverso la VPN.
  • GL.iNet GL‑Mango Mini Travel VPN Router: mini‑router portatile, spesso con firmware OpenWRT, ottimo per uso mobile o da viaggio.
    Solo cifrare il traffico domestico, proteggere identità, uso WiFi standard, magari laptop/destop di tanto in tanto
  • TP‑Link TL‑R605 Gigabit Router: router cablato con ottimo throughput, utile se hai una LAN robusta o molti dispositivi via Ethernet.
  • ASUS ROG Rapture GT-AX6000: Buon compromesso: prestazioni alte, ottima copertura, ottimo firmware ASUS. Meno estremo del 11000, ma molto valido per laboratori domestici / semi‑professionali.

Questo nodo della rete è alimentato da conoscenza libera e caffeina.
Se hai trovato qualcosa di utile, puoi supportarci con un caffè digitale.
👉 Offrimi un caffè

Powered by Buttondown

Lascia un commento