Tradicionalmente usada por agências de inteligência e militares, a técnica OSINT é usada para coletar informações sobre pessoas, organizações ou empresas de fontes de livre acesso, analisar os dados obtidos e tirar conclusões e informações úteis a partir deles.
Mas os especialistas em segurança de TI também podem se beneficiar da técnica para descobrir possíveis vulnerabilidades e corrigi-las antes que sejam exploradas por invasores.
Conversamos com Etay Maor, diretor sênior de estratégia de segurança da Cato Networks para saber como.
BN: O que é OSINT?
EM: Open Source Intelligence (OSINT) é uma tecnologia usada por agências de inteligência e militares. Em princípio, porém, qualquer pessoa pode utilizá-lo, inclusive particulares. A ideia é reunir informações sobre pessoas, organizações ou empresas a partir de fontes de livre acesso. As ferramentas OSINT analisam os dados obtidos e tiram conclusões e informações úteis a partir deles. Mas o OSINT também pode ser usado para identificar vulnerabilidades em dispositivos de rede.
Os dados recuperados são usados em ataques de engenharia social, localização de pessoas, coleta de informações detalhadas sobre pessoas ou empresas e, por último, mas não menos importante, hacking de redes.
Em muitos casos, as informações acessíveis ao público também mostram um perfil de movimento de pessoas, que também pode ser usado para ataques ou fornecer mais informações relevantes para a segurança. Dessa forma, mapas interativos com perfis de movimento podem ser criados ou informações de login para sites, serviços em nuvem ou dispositivos de rede com uma interface web podem ser encontradas. Isso permite identificar vulnerabilidades de segurança em redes rapidamente. Um fato que os invasores exploram ao máximo. É exatamente por isso que o OSINT também é interessante para os gerentes de segurança em empresas que desejam proteger melhor sua própria rede contra vulnerabilidades de segurança conhecidas publicamente.”
BN: Por que as organizações devem explorar o potencial do open-fonte de inteligência para se preparar melhor para um possível ataque?
EM: Com o OSINT, as organizações podem coletar e filtrar seus próprios rastros digitais acessíveis ao público, e existem alguns. Além de credenciais e senhas comprometidas, incluem informações internas da empresa que foram acidentalmente parar na rede, bem como dados de domínios e servidores, mas também dados da dark net e até informações que já foram excluídas.
Em quase todos os casos de ataques bem-sucedidos, os perpetradores não precisam hackear nada; eles simplesmente fazem login. Os dados de login necessários geralmente podem ser encontrados na darknet ou por meio de engenharia social baseada em OSINT. E é exatamente isso que precisa ser evitado.
As equipes de segurança devem procurar ativamente por brechas na rede. Por exemplo, pesquisando por si mesmos e seus próprios dispositivos nos sites mencionados. Os dados devem ser examinados do ponto de vista de um invasor para tomar as medidas apropriadas para proteger a rede e os usuários individuais. Obviamente, isso inclui corrigir as vulnerabilidades identificadas o mais rápido possível. Isso pelo menos exclui a possibilidade de dados públicos serem usados por invasores em hacks bem-sucedidos.
BN: Quais são as fontes publicamente disponíveis que o OSINT usa para identificar vulnerabilidades?
EM: Essas fontes incluem redes sociais como Facebook, Twitter, LinkedIn ou Instagram. Muitos usuários possuem vários perfis em diferentes plataformas. Como resultado, os dados de várias fontes podem ser lidos e correlacionados. Comentários, check-ins, locais, postagens, curtidas e muito mais dados são acessíveis publicamente aqui e fáceis de explorar.
Os especialistas se referem a isso como’compartilhamento excessivo’. Ou seja, significativamente mais informações estão disponíveis publicamente do que a maioria dos usuários de redes sociais percebe. Mas aplicativos de namoro e rastreadores de saúde também são um meio de informação popular para ferramentas OSINT, como está pesquisando no GitHub. Aqui você pode encontrar toneladas de dados em bancos de dados ou informações de conexão de programas.
Além das inúmeras fontes de dados, existem sites, dados vinculados na Internet, dados de DNS e inúmeras outras informações que podem ser usado para atacar redes, mas também para defendê-las. Uma vez compiladas as diversas informações, as ferramentas inteligentes OSINT reconhecem rapidamente as correlações, que o usuário pode utilizar em seu próprio benefício. Os invasores usam as informações para ataques. Os oficiais de segurança reconhecem as lacunas e podem fechar ou neutralizar possíveis cenários de ataque a tempo. Por exemplo, protegendo melhor os dados acessíveis ao público ou, em determinadas circunstâncias, eliminando-os completamente.
Neste ponto, não só as fontes da Internet são interessantes, mas também os dados de rádio, TV ou jornais. Aqui, por exemplo, as informações ficam ocultas no fundo de um vídeo. Além disso, há informações WiFi, conexões Bluetooth e redes sem fio, que também compartilham publicamente informações que fluem para análises.
BN: Como o OSINT pode ser usado como uma parte poderosa da TI e da segurança arsenal da equipe?
EM: OSINT pode ser usado facilmente e sem riscos. Você pode facilmente extrair informações da Internet ou de outras fontes. Além disso, as ferramentas são baratas e os dados estão disponíveis gratuitamente. Por fim, a pesquisa é simples: vários sites fornecem uma interface fácil de usar e os aplicativos OSINT importam dados adicionais via API, se necessário. Além disso, é simplesmente difícil rastrear ou controlar quem usa OSINT, quando e onde.
Graças a essas vantagens, governos, agências de inteligência, autoridades, militares, mas também empresas estão interessadas em explorar o potencial de OSINT. Assim como hackers e criminosos. Portanto, a questão não é por que o OSINT deve ser usado, mas por que não. E por último, mas não menos importante, indivíduos particulares também estão usando OSINT, já listamos alguns exemplos.
Além dos já descritos, existem funções OSINT estendidas, por exemplo, verificação ativa de portas em firewalls ou roteadores. Isso permite que um usuário colete e use os dados por conta própria. Informações sobre dispositivos padrão podem ser encontradas muito rapidamente na Internet, como o endereço IP padrão, o nome de login padrão do administrador e a senha definida na entrega. Muitos usuários não conseguem alterar esses dados padrão, o que permite que os invasores obtenham acesso rápido e fácil. Dados que podem ser encontrados com OSINT e pouco esforço de pesquisa.
O Google oferece inúmeras opções para restringir as pesquisas. Isso também não é desinteressante para o OSINT, pois permite uma melhor filtragem de informações relevantes para a segurança. Os exemplos são intitulados:”web client:login”, intitle:”Printer Status”AND inurl:”/PrinterStatus.html”. Esses são apenas dois dos muitos termos de pesquisa que mostram páginas de login ou dados sobre impressoras disponíveis publicamente. Em combinação com outras opções do Google, grandes quantidades de informações podem ser facilmente coletadas. Com opções como”site:”é possível filtrar os resultados da pesquisa em páginas individuais. O Google oferece vários operadores fáceis de usar para essa finalidade.
BN: OSINT é a melhor ferramenta para proteger redes?
EM: Para profissionais de segurança , definitivamente vale a pena dar uma olhada nas várias ferramentas OSINT e nos recursos de coleta de informações para proteger suas redes. Na maioria dos casos, isso nem exige altos investimentos e licenças: muitas ferramentas estão disponíveis gratuitamente como código aberto. O OSINT Framework oferece várias coleções de ferramentas para começar que não apenas facilitam a pesquisa, mas também formam uma base importante para fechar brechas de segurança.
Talvez uma palavra de cautela sobre OSINT–é preciso conhecer as leis locais em para fazer o OSINT corretamente e não ter problemas. Algumas empresas e países considerariam o port knocking/scanning um ataque. Da mesma forma, procurar impressoras é uma coisa, mas clicar nela e acessar os recursos de uma empresa é outra. Embora o OSINT seja uma ferramenta útil, você precisa agir com cuidado para não se meter em problemas.
Os hackers usam o OSINT para contornar as medidas de segurança e preparar ataques. Por que as próprias empresas não deveriam explorar o potencial da inteligência de código aberto para se preparar melhor para ataques de hackers?
Crédito da imagem: artursz/depositphotos.com