Articolo Aggiornato il 25/05/2026 da Francesco Polimeni
FOCA — Fingerprinting Organizations with Collected Archives — è uno strumento OSINT gratuito che in meno di 20 minuti estrae dai documenti pubblici di un’organizzazione nomi utente interni, hostname dei server, percorsi di rete, versioni software vulnerabili e coordinate GPS. Non richiede accesso ai sistemi bersaglio. Funziona interamente su dati che l’organizzazione ha già pubblicato online, spesso senza saperlo.
Ogni PDF che la tua azienda pubblica sul sito web contiene informazioni che non vedi. Il nome dell’utente che lo ha creato. Il computer su cui è stato redatto. Il percorso di rete del file originale — \\fileserver01\condivisi\documenti\. La versione di Office usata. A volte le coordinate GPS di dove è stata scattata la foto nella prima pagina.
FOCA raccoglie queste informazioni automaticamente, su scala, da centinaia di documenti contemporaneamente. Il risultato è una mappa dettagliata dell’infrastruttura interna di un’organizzazione costruita interamente con dati pubblici.
Contenuto
- Cosa sono i metadata e perché sono pericolosi
- Come funziona FOCA in un attacco reale
- Gli username: dal documento al password spraying
- Le versioni software di FOCA: dalla lista alla vulnerabilità
- FOCA vs altri strumenti OSINT: quando usarlo
- Un caso reale: cosa abbiamo trovato in 20 minuti
- Le coordinate GPS: dove si trovano fisicamente le persone
- Le query avanzate di FOCA: targeting di documenti sensibili
- Domande frequenti
- Autore
Cosa sono i metadata e perché sono pericolosi
Ogni file digitale — Word, Excel, PowerPoint, PDF, immagine — contiene un livello invisibile di informazioni tecniche chiamato metadata. Questi dati vengono creati automaticamente dal software al momento della creazione del file e raramente vengono rimossi prima della pubblicazione.
Polinet S.r.l. — Dal 2001
La tua azienda è esposta?
Eseguiamo valutazioni OSINT e ispezioni TSCM professionali per identificare ogni vettore di esposizione — documenti pubblici, metadati, segnali RF, dispositivi attivi non autorizzati.
🔍
Bonifica TSCM
Rilevamento microspie, bug RF, dispositivi di intercettazione attivi e passivi.
📡
Analisi RF
Analisi spettrale completa in banda sub-GHz, Bluetooth, Wi-Fi e ultrasonica.
🌐
OSINT Aziendale
Analisi dell’esposizione pubblica: documenti, metadata, dati indicizzati e fonti aperte.
🛡️
Consulenza Sicurezza
Protocolli operativi per trasferte ad alto rischio e gestione comunicazioni riservate.
Licenza ex Art. 28 T.U.L.P.S. | NATO NCAGE AL332 | MEPA/Consip
Richiedi una valutazione →FOCA estrae otto categorie di informazioni dai metadata: dati utente come nome autore e ultimo modificatore, informazioni software come applicazione e versione del sistema operativo, informazioni di rete come hostname del computer e percorsi UNC, informazioni temporali, coordinate geografiche da dati EXIF delle immagini, indirizzi email, percorsi interni del file system, e proprietà personalizzate come nome progetto e riferimenti interni.
Il dettaglio più critico dal punto di vista della sicurezza è questo: i percorsi di rete rivelano la topologia dell’infrastruttura interna senza alcuna scansione attiva. Un documento può contenere \\dc01.targetcorp.local\sysvol\ — identificando nome e ruolo del Domain Controller interno — insieme a fileserver, server di backup e workstation.
Come funziona FOCA in un attacco reale
FOCA opera su un workflow in quattro fasi: Discovery, Download, Metadata Extraction, Analysis. Nella fase di discovery interroga automaticamente Google e Bing con query filetype per trovare tutti i documenti pubblici di un dominio target.
Le query generate automaticamente sono:
site:azienda.com filetype:pdf
site:azienda.com filetype:docx
site:azienda.com filetype:xlsx
site:azienda.com filetype:pptxIl risultato tipico su un’organizzazione media è 300+ documenti trovati in pochi minuti. Dopo il download automatico e l’estrazione dei metadata, FOCA presenta una lista di 45+ username unici, 89+ percorsi di rete, software installato con versioni specifiche, e in alcuni casi hostname del Domain Controller interno.
Il tempo operativo totale da zero a mappa dell’infrastruttura: 10-20 minuti.
Gli username: dal documento al password spraying
FOCA costruisce automaticamente una lista di username interni estratti dai metadata — nome autore, ultimo modificatore, creatore. Identifica il pattern di nomenclatura aziendale — tipicamente nome.cognome o iniziale.cognome — e la lista viene esportata direttamente in formato compatibile con strumenti di attacco come Kerbrute per Kerberos pre-authentication o CrackMapExec per autenticazione SMB.
Tradotto in termini operativi: un documento PDF pubblicato sul sito aziendale per un comunicato stampa contiene il nome di chi lo ha redatto. Quel nome è il suo username di rete. Con il pattern identificato da altri documenti, si costruisce una lista completa di username validi senza mai tentare un accesso.
Le versioni software di FOCA: dalla lista alla vulnerabilità
FOCA identifica le versioni esatte del software usato nell’organizzazione — Microsoft Office 2016, Adobe Acrobat DC 2021, LibreOffice 6.4. Ogni versione può essere incrociata con database di vulnerabilità note come Exploit-DB per identificare CVE non patchati.
Un’organizzazione che pubblica documenti creati con Office 2016 — fine supporto 2025 — sta involontariamente comunicando a chiunque che la sua infrastruttura potrebbe non essere aggiornata. È un segnale di allarme che un attaccante registra prima ancora di tentare qualsiasi accesso.
FOCA vs altri strumenti OSINT: quando usarlo
Non tutti gli strumenti OSINT fanno la stessa cosa. FOCA occupa una nicchia precisa — i documenti pubblici — che altri strumenti non coprono o coprono solo parzialmente.
| Strumento | Funzione principale | Fonte dati | Gratuito |
|---|---|---|---|
| FOCA | Metadata da documenti pubblici | Google/Bing filetype | Sì |
| theHarvester | Email e sottodomini | Motori di ricerca | Sì |
| Maltego | Mapping relazioni e infrastruttura | Fonti multiple | Freemium |
| Shodan | Dispositivi esposti su internet | Scansione diretta | Freemium |
| Metagoofil | Metadata su Linux | Google filetype | Sì |
Il vantaggio operativo di FOCA rispetto agli altri è la completezza della ricognizione passiva sui documenti: theHarvester trova email ma non percorsi di rete, Maltego richiede dati di input che FOCA genera autonomamente. In un information gathering professionale i tre strumenti si usano in sequenza, non in alternativa.
Un caso reale: cosa abbiamo trovato in 20 minuti
Durante una valutazione OSINT su un’azienda manifatturiera italiana con circa 200 dipendenti, l’analisi con FOCA di 43 documenti pubblici indicizzati su Google ha prodotto in meno di 20 minuti:
- 31 username interni con pattern nome.cognome identificato
- Nome e percorso del Domain Controller interno —
\\dc01.azienda.local - 3 versioni di Microsoft Office in uso, di cui una del 2013 fuori supporto
- 2 indirizzi email di dipendenti non presenti sul sito ufficiale
- Coordinate GPS estratte da 4 immagini pubblicate nel report annuale — corrispondenti alla sede principale e a uno stabilimento secondario non indicato sul sito
Nessun accesso non autorizzato. Nessuna scansione attiva. Solo documenti che l’azienda aveva già pubblicato online, convinta che fossero file neutri.
Le coordinate GPS: dove si trovano fisicamente le persone
Se l’organizzazione pubblica immagini — in report annuali, blog, comunicati stampa — FOCA estrae i dati EXIF incluse le coordinate GPS. Il risultato può essere una mappa delle sedi fisiche dell’organizzazione, dei pattern di viaggio dei dipendenti e delle location degli eventi.
Una foto scattata con smartphone e pubblicata in un comunicato stampa aziendale contiene spesso coordinate precise della sede dove è stata scattata — o dell’abitazione del dipendente che l’ha scattata fuori ufficio.
Le query avanzate di FOCA: targeting di documenti sensibili
FOCA supporta Google dork personalizzati per targetare documenti ad alto valore informativo. Le keyword più ricercate in combinazione con filetype sono: “confidential”, “internal use only”, “proprietary”, “draft”, “budget”, “architecture”, “network diagram”.
Un’organizzazione che pubblica accidentalmente su un server web accessibile un documento con “network diagram” nel nome non ha bisogno di essere attaccata — si è già esposta.
Le implicazioni per la sicurezza aziendale
FOCA non fa nulla di illegale nella sua fase di raccolta — interroga motori di ricerca pubblici e scarica documenti pubblicamente accessibili. Il problema non è lo strumento: è che la stragrande maggioranza delle organizzazioni non ha mai verificato cosa rivelano i propri documenti pubblici.
Le contromisure efficaci operano su due livelli.
Sanitizzazione dei metadata prima della pubblicazione: ogni documento deve essere ripulito dei metadata prima di essere pubblicato. Su Windows è sufficiente: File → Proprietà → Rimuovi informazioni personali. Esistono anche strumenti automatici per la sanitizzazione in batch — MAT2 su Linux, Document Inspector su Office.
Audit periodico dei documenti pubblici: verificare cosa è indicizzato sui motori di ricerca per il proprio dominio usando le stesse query che userebbe FOCA. Se un documento rivela percorsi interni o username, va rimosso e ripubblicato sanitizzato.
Politica di nomenclatura dei file: nomi come bilancio_interno_2025_v3_DRAFT.pdf comunicano più di quanto sembri — versione, anno, stato di bozza. I file pubblicati devono avere nomi neutrali.
La verifica dell’esposizione da metadata pubblici rientra nel perimetro di una valutazione di sicurezza OSINT professionale — un’analisi di quello che un attaccante può raccogliere sull’organizzazione prima ancora di tentare qualsiasi accesso attivo.
Polinet S.r.l. include nelle valutazioni di sicurezza l’analisi OSINT dell’esposizione pubblica dell’organizzazione, operando dal 2001 con licenza ex Art. 28 T.U.L.P.S. e codice NATO NCAGE AL332. Contattaci su spiare.com per una valutazione riservata.
Fonte tecnica: HackIta — FOCA: Metadata Extraction e OSINT su Documenti
Leggi anche Dossier segreto su ogni straniero che viaggia in Cina
Domande frequenti
Cos’è FOCA e chi può usarlo?
FOCA — Fingerprinting Organizations with Collected Archives — è uno strumento OSINT gratuito sviluppato da Informatica64 e distribuito da ElevenPaths. È scaricabile liberamente da GitHub, è Windows-only nella versione nativa e non richiede competenze avanzate per essere operativo. Chiunque abbia una connessione internet e 20 minuti di tempo può usarlo per raccogliere informazioni pubbliche su qualsiasi organizzazione.
Cosa rivela un documento Word o PDF pubblicato online?
Un documento Office o PDF non sanitizzato può rivelare: nome e cognome dell’autore, username di rete, nome del computer su cui è stato creato, percorsi interni del file system come \\fileserver01\condivisi\, versione del software e del sistema operativo, date di creazione e modifica, indirizzi email e in alcuni casi coordinate GPS se il file contiene immagini scattate con smartphone.
FOCA è legale da usare?
Nella fase di raccolta sì — FOCA interroga motori di ricerca pubblici e scarica documenti pubblicamente accessibili. Non effettua accessi non autorizzati a sistemi. Il problema legale sorge nell’uso successivo delle informazioni raccolte. In ambito di penetration testing autorizzato o security assessment è uno strumento standard. Usarlo per raccogliere informazioni su organizzazioni senza autorizzazione a fini offensivi configura reati informatici.
Come si rimuovono i metadata da un documento prima di pubblicarlo?
Su Windows con Microsoft Office: File → Informazioni → Controlla documento → Rimuovi informazioni personali. Su PDF con Adobe Acrobat: Strumenti → Redigi → Sanifica documento. Per sanitizzazione automatica in batch su Linux esiste MAT2 — Metadata Anonymisation Toolkit. La procedura va applicata sistematicamente prima di qualsiasi pubblicazione online.
Come verifico se la mia azienda è esposta tramite metadata pubblici?
Il metodo più rapido è usare le stesse query di FOCA manualmente su Google: site:tuodominio.com filetype:pdf e ripetere per docx, xlsx, pptx. Scarica alcuni documenti e aprili con un visualizzatore di proprietà per controllare cosa contengono. Una valutazione OSINT professionale analizza sistematicamente tutta l’esposizione pubblica dell’organizzazione, inclusi documenti indicizzati, dati esposti e informazioni ricavabili da fonti aperte.
