Chi si occupa di sicurezza informatica, giornalismo o verifica delle fonti conosce bene il problema. Le informazioni pubbliche su una persona, un dominio o un’azienda esistono, ma sono sparse tra decine di servizi diversi, e collegarle a mano richiede tempo e porta a errori. È il terreno dell’OSINT, cioè la raccolta di intelligence da fonti aperte, e da anni lo strumento di riferimento per visualizzare queste connessioni è Maltego, un software potente ma dal costo elevato, con piani professionali che partono da oltre mille dollari l’anno.
Flowsint prova a rispondere alla stessa esigenza con un approccio diverso. È uno strumento open source, gratuito e pensato per girare sul tuo server o sul tuo computer, che trasforma un’indagine in un grafo visivo dove ogni elemento (un’email, un dominio, un indirizzo IP, un numero di telefono) diventa un nodo collegato agli altri. Il progetto è giovane ma cresce in fretta, con oltre 6.000 stelle su GitHub e aggiornamenti molto frequenti.
Tutto resta sulla tua macchina, una caratteristica che per un’indagine seria conta quanto le funzioni, perché i dati sensibili non finiscono su server di terzi. In questa guida vedremo cosa fa Flowsint, come ragiona la sua logica a grafo, come installarlo con Docker e quali sono i suoi limiti, senza dimenticare il tema delicato dell’uso responsabile di strumenti come questo.
Che cos’è un’indagine a grafo
Per capire il valore di Flowsint serve prima chiarire come ragiona uno strumento del genere. In un’indagine OSINT tipica si parte da un dato, per esempio un indirizzo email, e si cerca tutto ciò che vi è collegato, dai profili social agli eventuali domini registrati con quella casella. Ogni risultato apre nuove piste, che a loro volta vanno verificate.
Mettere ordine in questo intreccio con fogli di calcolo o appunti diventa presto ingestibile. L’approccio a grafo risolve il problema in modo visivo. Ogni informazione è un nodo, ogni legame tra due informazioni è una linea, e l’insieme forma una mappa che mostra a colpo d’occhio come le cose sono connesse tra loro.
È esattamente la forza che ha reso celebre Maltego, dove un’indagine prende la forma di una rete di punti collegati. Il limite di quel software, però, è il prezzo, con licenze professionali che possono superare le diverse migliaia di euro l’anno e che lo mettono fuori portata per molti freelance, redazioni piccole o ricercatori indipendenti.
Flowsint riprende la stessa idea di fondo e la mette in mano a chiunque, gratis. Non punta a replicare ogni funzione di Maltego, ma offre l’essenziale, ovvero un grafo interattivo capace di reggere migliaia di nodi senza rallentare, e una serie di automatismi che riempiono la mappa al posto tuo.
Gli enricher, i mattoni che ampliano il grafo
La parte più utile nel lavoro quotidiano sono gli enricher, che potremmo tradurre come arricchitori. Sono moduli automatici che, a partire da un nodo già presente nel grafo, vanno a cercare informazioni collegate e le aggiungono come nuovi nodi. In pratica fai un clic su un dominio e lasci che il programma trovi da solo i sottodomini, l’indirizzo IP, i dati di registrazione e altro ancora.
Flowsint ne include un buon numero, organizzati in base al tipo di dato di partenza. Ecco una panoramica delle famiglie principali.
| Categoria | Cosa fanno gli enricher |
|---|---|
| Domini | DNS, WHOIS, sottodomini, storico, ASN e dominio radice |
| Indirizzi IP | Geolocalizzazione, dettagli di rete e ASN associato |
| ASN e CIDR | Intervalli di rete e singoli IP che li compongono |
| Social | Ricerca di un nome account sulle piattaforme con Maigret e Sherlock |
| Gravatar, domini collegati e presenza in database di violazioni | |
| Telefono | Verifica del numero nei data breach noti |
| Organizzazioni | ASN, domini posseduti e dati societari |
| Persone | Affiliazioni e domini associati a un individuo |
| Siti web | Crawler, link, testo e script di tracciamento |
| Criptovalute | Storico delle transazioni e NFT di un wallet |
| Integrazioni | Connettore verso i flussi di automazione di N8n |
Vale la pena soffermarsi su un paio di esempi. La ricerca social si appoggia a Maigret e Sherlock, due strumenti molto noti che setacciano centinaia di piattaforme alla ricerca di uno stesso username. La verifica delle email contro i database di violazioni, i cosiddetti data breach, permette di capire se una casella è comparsa in fughe di dati passate.
Il connettore verso N8n, infine, apre la porta all’automazione, perché consente di collegare un’indagine a flussi di lavoro esterni. Non tutti gli enricher danno lo stesso valore in ogni situazione, e alcuni richiedono chiavi API di servizi esterni per funzionare appieno. Conoscere cosa fa ciascuno ti aiuta a costruire il grafo nella direzione giusta, invece di accumulare nodi che non portano da nessuna parte.
Come funziona Flowsint
Sotto l’interfaccia c’è un’architettura divisa in moduli. La parte grafica con cui interagisci è scritta in TypeScript ed è costruita per restare fluida anche con migliaia di nodi sullo schermo.
Il cuore del backend, invece, è in Python. Le richieste passano da un server FastAPI, mentre le operazioni più lente, come l’esecuzione degli enricher, vengono gestite in background da Celery, così l’interfaccia non si blocca mentre il programma lavora.
Per i dati, Flowsint usa due database con compiti diversi. PostgreSQL conserva le informazioni classiche come account e impostazioni, mentre Neo4j è un database a grafo, cioè pensato apposta per memorizzare nodi e relazioni, ed è ciò che permette di gestire reti di collegamenti complesse in modo efficiente.
Il dettaglio che conta di più per chi indaga, però, è un altro. Tutto questo gira sulla tua macchina, e i dati restano lì. Per un’indagine OSINT la riservatezza non è un particolare di contorno, perché stai maneggiando informazioni che spesso riguardano persone reali, e sapere che nulla viene caricato su un servizio esterno cambia il modo in cui puoi lavorare con tranquillità. Il progetto, inoltre, è rilasciato con licenza Apache-2.0, una delle più permissive, quindi puoi anche studiarne il codice o adattarlo alle tue necessità.
Flowsint: installazione con Docker e Make
L’installazione è uno dei punti di forza, perché è stata ridotta all’essenziale. L’installazione è pensata per un ambiente Unix, quindi Linux e macOS li gestiscono in modo naturale. Servono solo due strumenti già diffusi, ovvero Docker, che crea gli ambienti isolati in cui girano i vari pezzi del programma, e Make, che automatizza i comandi.
Una volta installati i prerequisiti, bastano tre righe nel terminale per scaricare il progetto e avviarlo in modalità produzione.
git clone https://github.com/reconurge/flowsint.git
cd flowsint
make prod
Su Windows, invece, la procedura è stata semplificata e non richiede Make, oltre a funzionare sia nel Prompt dei comandi (cmd) sia in PowerShell. I prerequisiti qui sono due, ovvero Docker Desktop, che deve essere già in esecuzione prima di procedere, e Git. Dopo aver clonato il progetto, prepari i file di configurazione copiando l’esempio fornito nelle cartelle dei vari moduli.
git clone https://github.com/reconurge/flowsint.git
cd flowsint
copy .env.example .env
copy .env.example flowsint-api\.env
copy .env.example flowsint-core\.env
copy .env.example flowsint-app\.envFatto questo, avvii l’intero stack con Docker Compose, che alla prima esecuzione scarica e costruisce le immagini necessarie.
docker compose up -dIn tutti i casi, una volta partito il programma, apri il browser e vai all’indirizzo locale sulla porta 5173, raggiungibile su http://localhost:5173/register. Qui crei il primo account, perché il programma non arriva con credenziali predefinite.
Anche in questo caso l’applicazione resta accessibile sulla stessa porta locale. Vale la pena ricordare un paio di cose. La prima è che, trattandosi di un progetto giovane, conviene affidarsi alla documentazione ufficiale del repository, che cambia spesso. La seconda è che, come per molti strumenti OSINT, alcuni enricher rendono al meglio solo dopo aver inserito le chiavi API dei servizi esterni a cui si appoggiano, un passaggio facoltativo ma utile se vuoi sfruttare tutte le funzioni.
Flowsint: pregi, limiti e uso responsabile
Flowsint va inquadrato per ciò che è oggi, ovvero un progetto in fase iniziale ma con basi solide e una comunità che cresce in fretta. Rispetto a un prodotto come Maltego, mancano anni di rifinitura, l’enorme catalogo di moduli di terze parti e il supporto commerciale che molte aziende richiedono. Se lavori in un contesto in cui l’affidabilità conta più di tutto, oggi un software maturo resta la scelta più prudente.
Flowsint, però, è gratuito, è open source, gira in locale e copre già le piste più comuni di un’indagine, dai domini alle email fino ai wallet di criptovalute. Per uno studente di sicurezza, un giornalista o un ricercatore indipendente è un modo accessibile per imparare a ragionare a grafo senza spendere cifre proibitive.
C’è poi un aspetto che non si può ignorare. Uno strumento che collega informazioni su persone e organizzazioni è potente, e la stessa potenza che aiuta un analista può essere usata male. Il progetto include un documento dedicato all’etica e chiarisce che il software va usato solo per indagini lecite, dalla ricerca in cybersicurezza al giornalismo, escludendo in modo esplicito sorveglianza non autorizzata, molestie o doxxing. Il doxxing (dall’inglese “dropping dox”, cioè “rilascio di documenti”) è la pratica di raccogliere e pubblicare online informazioni personali e private di qualcuno senza il suo consenso, con l’intento di danneggiarlo, intimidirlo o esporlo a rappresaglie.
Raccogliere dati su una persona, anche se pubblici, ricade sotto normative sulla privacy come il GDPR in Europa, e la responsabilità di restare nei limiti della legge è di chi usa lo strumento. Tienilo presente prima di avviare qualsiasi ricerca su una persona.
Un OSINT alla portata di (quasi) tutti
La cosa più interessante di Flowsint è che porta un tipo di analisi finora riservato a chi poteva permettersi licenze costose alla portata di chiunque abbia un computer e un po’ di curiosità. Non è un caso che in poco più di un anno abbia raccolto migliaia di consensi. Flowsint è un progetto vivo, che migliora di settimana in settimana e che ti permette di toccare con mano come si costruisce un’indagine a grafo.
Installalo in un ambiente di prova, parti da un dato semplice come un dominio e gioca con gli enricher per vedere come la mappa si popola da sola. Capirai in fretta se questo modo di lavorare fa per te. E se deciderai di usarlo sul serio, fallo con la testa giusta, perché la differenza tra uno strumento di indagine e uno di sorveglianza non sta nel software, ma nelle mani di chi lo adopera.
