Konteks Etis & Legal
Maltego adalah alat pengumpulan data open-source intelligence (OSINT) yang bekerja dengan informasi publik. Seluruh data yang diproses berasal dari sumber terbuka seperti DNS, WHOIS, media sosial, dan API publik. Pembahasan ini bersifat edukasional dan defensive. Penggunaan terhadap individu tanpa tujuan yang sah atau untuk stalking, doxing, atau perencanaan serangan adalah ilegal di banyak yurisdiksi.
𧬠Apa Itu Maltego Secara Teknis?
Maltego adalah platform graph-based link analysis yang mengubah fragmen data (alamat email, nama domain, alamat IP, akun media sosial) menjadi peta visual hubungan. Berbeda dengan Shodan yang mencari host di internet, Maltego menjawab pertanyaan: βBagaimana semua potongan informasi ini terhubung?β
Inti dari Maltego adalah konsep entity (node) dan transform (edge). Anda memulai dengan satu atau beberapa entitas, lalu menjalankan transform untuk menemukan entitas lain yang terhubung. Maltego kemudian menggambar graf yang mengungkapkan hubungan tersembunyi β geografis, organisasi, teknis, atau sosial.
Arsitektur Mesin Transform
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β Maltego Client (GUI) β
β Desktop (Windows/Linux/Mac) atau browser (Thin Client)β
ββββββββββββββββββββββββ¬ββββββββββββββββββββββββββββββββ
β (API requests via TDS)
βΌ
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β Transform Distribution Server (TDS) β
β (Maltego SaaS) - Proksi transform, caching, rate limit β
ββββββββββββββββββββββββ¬ββββββββββββββββββββββββββββββββ
β
βββββββββββββββΌββββββββββββββ
βΌ βΌ βΌ
βββββββββββββ βββββββββββββ βββββββββββββββββ
β Standard β β Public β β Custom β
β Transformsβ β Transformsβ β Transforms β
β (Maltego) β β (Hub) β β (Local/Server) β
β DNS, WHOISβ β Shodan, β β Python/REST β
β SSL, IP β β VirusTotal β β APIs β
βββββββββββββ βββββββββββββ βββββββββββββββββ
β
βΌ
[Sumber Data Eksternal]
(DNS server, WHOIS registry,
Shodan API, Twitter API,
custom DB, Splunk, etc.)
Transform adalah unit atomik investigasi. Ia menerima array entitas, mengeksekusi query terhadap sumber data tertentu, dan mengembalikan entitas baru. Transform dijalankan di server (Maltego Public Transform Server atau server pribadi) untuk menyembunyikan kredensial API dan mengurangi beban klien.
π§© Model Data Maltego: Entitas, Properti, dan Hubungan
Maltego memiliki lebih dari 40 tipe entitas bawaan, masing-masing dengan properti spesifik:
| Kategori Entitas | Contoh | Properti Utama |
|---|---|---|
| Person | Person, Twitter User, GitHub User | name, alias, email, location |
| Organization | Company, Organization, Government | name, industry, URL |
| Infrastructure | IP Address, Domain, NS Record, MX Record, URL, Netblock | fqdn, whois, nameserver, geolocation |
| Document/File | Document, Image, PDF | title, url, file size, md5 |
| Location | City, Province, Country, GPS Coordinate | name, area, longitude/latitude |
| Technology | Service, Banner, Port, Technology Stack | port, banner, product |
| Social Media | Facebook Object, Twitter User, Instagram Profile | profile url, friends count |
| Phone | Phone Number | country code, subscriber |
Setiap entitas dapat memiliki properties dinamis yang dapat diisi oleh transform. Misalnya, entitas IP Address dapat diperkaya dengan properti location dari geoIP.
Weight dan Kredibilitas
Setiap edge (hubungan) memiliki weight dan notes untuk mencerminkan kepercayaan. Dalam investigasi intelijen, ini penting: βApakah hubungan ini berdasarkan bukti keras atau hanya inferensial?β Maltego memungkinkan anotasi dan kategorisasi.
βοΈ Transform Kunci untuk Military & Intelligence Reconnaissance
1. DNS & Jaringan
- To DNS name [from Domain] β Mendapatkan semua subdomain yang diketahui (via certificate transparency, DNSDB, passive DNS).
- To IP Address [from Domain] β Resolusi A/AAAA.
- To Netblock [from IP] β WHOIS netblock query.
- To NS, MX, SOA [from Domain] β Mengungkap infrastruktur email dan nama server.
- Reverse DNS [from IP] β Mendapatkan PTR record, sering mengungkap nama host internal (misal:
dc01.internal.corp.com).
Sekali transform ini dijalankan berulang pada domain target, Anda akan melihat peta infrastruktur organisasi: server email, nameserver, reverse proxy, dan bahkan layanan cloud yang digunakan.
2. WHOIS & Registrasi
- To Organization [from Domain/IP] β Data WHOIS historis dan saat ini.
- To Email [from Domain] β Email registrar/administratif dari WHOIS.
- To Phone [from Domain] β Nomor telepon yang tercatat.
Sering kali, alamat email pribadi digunakan untuk mendaftarkan domain perusahaan, yang kemudian bisa dihubungkan ke akun media sosial atau profil GitHub. Inilah benang merah pertama dari infrastruktur ke manusia.
3. Social Media & Profiling
- To Twitter/GitHub/Instagram [from Email] β Pencarian profil berdasarkan email (via API publik atau data leak).
- To Profile [from Alias] β Mencari username di berbagai platform.
- To Connections [from Social Media] β Mengambil daftar teman/follower (jika API mengizinkan).
Dengan satu alamat email dari WHOIS, Anda mungkin menemukan akun Twitter pengembang, lalu menemukan akun GitHub-nya, lalu melihat organisasi GitHub-nya yang lain, dan seterusnya. Ini adalah rantai OSINT klasik.
4. Data Breach & Leak Correlation
- To Email [from Domain] β Mencari email dengan domain tersebut yang muncul di database breach (Have I Been Pwned API, Dehashed). Ini mengungkap kredensial bocor.
- To Password [from Email] β Jika breach menyertakan password, transform tertentu bisa mengambilnya (legalitas abu-abu).
5. SSL/TLS Certificate Analysis
- To SSL Certificate [from IP/Port] β Mendapatkan rantai sertifikat, SANs (Subject Alternative Names).
- To Domain [from SSL Certificate] β SAN sering mengungkap domain lain yang di-hosting di server yang sama, atau proyek staging/internal. Ini adalah teknik domain correlation yang sangat kuat.
6. Shodan & Censys Integration (via Transforms)
Dengan Maltego standard transforms atau dari hub, Anda bisa:
To Port/Service [from IP]β Menampilkan semua port terbuka dan banner yang dikenal Shodan.To Vulnerability [from IP/Service]β Mencocokkan dengan CVE yang terdeteksi.
Ini menggabungkan kekuatan Shodan ke dalam graf, sehingga Anda bisa melihat gambaran lengkap: organisasi β domain β IP β port/service β kerentanan.
π Studi Kasus: Dari Nama Perusahaan ke Potensi Attack Surface
Skenario: Red team atau unit intelijen menargetkan PT Contoh Teknologi. Hanya diketahui nama perusahaan.
- Mulai dengan entitas
CompanyβPT Contoh Teknologiβ. - Transform: To Domain [Company] β menemukan
contohteknologi.co.id. - To DNS name (subdomain) β mengungkapkan:
mail.contohteknologi.co.idvpn.contohteknologi.co.idstaging.api.contohteknologi.co.idjenkins.internal.contohteknologi.co.id(ups, ter-expose di sertifikat SSL)
- To IP Address [from Domain] β beberapa IP publik.
- To Netblock [from IP] β menunjukkan bahwa mereka menggunakan cloud provider tertentu, dan mungkin ada IP lain dalam netblock yang juga milik mereka.
- Shodan Transform on IPs β menemukan:
- Port 22 (SSH) terbuka di beberapa IP.
- Port 443 dengan sertifikat SANs:
*.contohteknologi.co.id,*.internal.corp(mengonfirmasi domain internal). - Port 8080 dengan Jenkins tanpa otentikasi.
- WHOIS on Domain β email pendaftar:
admin@contohteknologi.co.id. - To Social Media [from Email] β menemukan profil LinkedIn dengan nama lengkap, posisi βSystem Administratorβ.
- To Email [from Domain] via breach data β satu email
it.support@contohteknologi.co.idmuncul di data breach LinkedIn 2012 dengan password hash MD5. - Graph Analysis β menunjukkan hubungan antara manusia (admin), infrastruktur (Jenkins), dan kerentanan (password lemah, Jenkins terpapar). Attack path menjadi jelas.
Seluruh investigasi di atas dilakukan tanpa mengirim satu paket pun ke target selain yang dilakukan oleh transform (yang sebagian besar adalah query ke database publik). Ini adalah kekuatan OSINT pasif yang mematikan.
πΈοΈ Maltego untuk Intelijen Militer dan Kontra-Terorisme
Dalam konteks military & intelligence (Level 0), Maltego digunakan untuk:
- Target Network Mapping: Memetakan jaringan pendukung target (individu, perusahaan, lokasi) dari satu titik awal (nomor telepon, nama samaran, email). Ini adalah standard link analysis untuk intelijen manusia (HUMINT) dan SIGINT.
- Supply Chain Analysis: Melihat hubungan antara perusahaan, pemilik, dan anak perusahaan untuk mengidentifikasi entitas yang terlibat dalam proliferasi atau sanksi.
- Botnet / C2 Tracking: Dengan memulai dari IP C2 yang diketahui, Maltego dapat menemukan domain terkait, nameserver, dan IP lain dalam netblock yang sama, membantu memetakan infrastruktur C2 aktor ancaman.
- Fraud & Criminal Investigation: Menghubungkan nomor telepon penipu dengan korban lain, akun bank, atau alamat fisik melalui OSINT.
π‘οΈ Deteksi & Pertahanan Terhadap Penggunaan Maltego
Maltego sendiri tidak meninggalkan jejak pada target karena ia beroperasi pada data publik. Namun, query ke layanan tertentu bisa tercatat:
- DNS queries: Jika Anda menjalankan transform DNS, nameserver target mungkin mencatat query dari server transform (bukan dari Anda). Untuk investigasi sensitif, gunakan DNS over HTTPS atau VPN.
- WHOIS queries: Rate limited oleh registry.
- Social Media API: Akses API bisa di-log oleh platform (Twitter, GitHub) dan mungkin terkait dengan akun API Anda. Gunakan akun throwaway atau resmi untuk red team.
- Shodan/Censys API: Pemilik data (target) tidak tahu Anda meng-query mereka, tetapi Shodan tahu.
Untuk defender:
- Tidak banyak yang bisa dilakukan untuk mencegah pemetaan OSINT. Data yang Anda publikasikan di DNS, WHOIS, sertifikat SSL, dan media sosial adalah data publik. Satu-satunya cara adalah meminimalkan exposure: menghilangkan informasi pribadi dari WHOIS (gunakan privacy guard), membersihkan SAN dari domain internal, tidak menggunakan email pribadi untuk pendaftaran domain, dan menghapus metadata dari dokumen publik.
- Monitor eksposur Anda sendiri dengan menggunakan Maltego secara defensif: lakukan self-reconnaissance dan hapus data sensitif yang ditemukan.
βοΈ Dual-Use Spectrum
DEFENSE ββββββββββββββββββββββββββββββββββββββββββββββΊ OFFENSE
SOC / Blue Team Red Team APT / State Actor
β β β
Memetakan aset sendiri Menemukan titik lemah Full OSINT profiling
dan hubungan supply sebelum serangan target untuk spear-
chain untuk mengelola untuk simulasi phishing dan social
risiko realistis engineering
β β β
β β βΌ
βΌ βΌ Doxing, stalking,
Forensik digital: OSINT untuk intimidation
hubungkan artefak credential stuffing
dengan identitas dari breach data
βββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Maltego adalah alat netral; hasilnya bergantung pada tangan operator.
π Koneksi dalam Vault
- shodan β Transform Shodan di Maltego mengintegrasikan data host/service langsung ke graf.
- bloodhound β Keduanya menggunakan graph database (Neo4j) untuk analisis. Maltego untuk hubungan dunia nyata; BloodHound untuk hubungan Active Directory.
- metasploit β Setelah target terpetakan di Maltego, Metasploit digunakan untuk eksploitasi endpoint yang ditemukan.
- pegasus β Investigasi Pegasus sering dimulai dengan OSINT di Maltego: melacak nomor telepon, akun, dan infrastruktur yang terkait dengan operator spyware.
- xkeyscore β Maltego adalah versi sipil dari query link analysis yang dilakukan NSA dengan XKEYSCORE. XKEYSCORE juga menggunakan graph untuk memetakan koneksi, tetapi dengan data rahasia.
π Referensi
- Paterva, Maltego User Guide (2023)
- Vinicius, Mastering Maltego: A Comprehensive Guide to OSINT and Link Analysis (2022)
- Bazzell, M. Open Source Intelligence Techniques (2023)
- NIST SP 800-137: Information Security Continuous Monitoring (ISCM) β relevan untuk self-reconnaissance.
- MITRE ATT&CK: T1591 (Gather Victim Org Information), T1590 (Gather Victim Network Information), T1593 (Search Open Websites/Domains)
Maltego Deep Dive | OSINT Link Analysis & Reconnaissance | Dual-Use Entity Correlation