O uso de inteligência de código aberto (OSINT) está se tornando cada vez mais importante nos departamentos de segurança de TI. A OSINT inclui a aquisição, coleta, análise e consolidação de informações disponíveis em fontes publicamente disponíveis, como a Internet.
É uma ótima oportunidade para as equipes de segurança de TI rastrearem dados internos que não deveriam ser públicos – incluindo, por exemplo, portas abertas e dispositivos em rede. Muitas informações que não deveriam ter sido divulgadas também podem ser encontradas em redes sociais e sites.
No entanto, a OSINT é uma excelente fonte de dados e informações não apenas para gestores de cibersegurança e outros profissionais que supervisionam a segurança das empresas, mas também para cibercriminosos que lucram com inteligência de código aberto em tentativas de ciberataques, usando informações públicas como seu banco de dados.
Neste artigo, você aprenderá:
- Quais ferramentas OSINT estão disponíveis e para que são utilizadas?
- A OSINT é legal?
- Como os invasores usam a OSINT?
- Como as equipes de segurança usam OSINT para reforçar aumentar a cibersegurança da empresa?
- O que deve ser considerado antes de usar a OSINT como parte do gerenciamento de riscos de cibersegurança?
Hoje em dia, os grupos de hackers trabalham de forma mais sofisticada do que nunca – e muito se deve aos enormes recursos financeiros e humanos que têm à sua disposição. Ainda assim, antes de prosseguirem para o ataque propriamente dito, precisam fazer o seu “dever de casa”, tentando espionar as vítimas em potencial e coletar o máximo de informações possível para conseguirem identificar os pontos fracos dos alvos e outros detalhes. A maneira mais fácil de atingir isso? Analisar a maior fonte de informações do mundo: a “World Wide Web”.
Desde meios de comunicação de massa e canais de mídia social até dados públicos, como relatórios governamentais, dados comerciais ou informações que podem ser facilmente encontradas por mecanismos de pesquisa – muitas são opções dos invasores para obter insights valiosos sobre quase todos os tópicos. A Internet é uma fonte quase infinita, da qual os cibercriminosos podem se aproveitar sem dificuldades. Por outro lado, os administradores de segurança podem usar fontes disponíveis publicamente para identificar informações sobre sua empresa, sua posição em termos de cibersegurança e outros dados expostos sem necessidade.
Ainda que a finalidade, o quadro jurídico e a intenção de uso sejam diferentes, parece que, graças à OSINT, tanto os especialistas em cibersegurança como os cibercriminosos costumam utilizar as mesmas fontes de informação. Se transformarmos esses dados em uma metáfora, a inteligência de código aberto pode ser comparada a um esconderijo de armas onde tanto agentes da polícia como os bandidos adquirem suas armas.
Quais ferramentas de OSINT existem no mercado e para que fins podem ser utilizadas?
- Com a ajuda da ferramenta de busca Shodan, por exemplo, é possível detectar dispositivos IoT, sistemas OT (tecnologia operacional) e portas abertas;
- A Maltego, por exemplo, é uma ferramenta capaz de ajudar na identificação de relacionamentos ocultos entre pessoas, domínios, empresas, proprietários de documentos e outras entidades. As informações são, assim, visualizadas através de uma interface de usuário intuitiva;
- A Metagoofil extrai metadados de documentos disponíveis publicamente, fornecendo informações cruciais sobre sistemas de TI (nomes de usuário, versões de software, endereços MAC e etc);
- TheHarvester é uma das ferramentas de OSINT mais utilizadas e de fácil uso. Ela fornece acesso ao que um invasor consegue encontrar sobre sua organização, incluindo subdomínios, hosts, e-mails e portas abertas. A TheHarvester não analisa apenas as ferramentas de pesquisa Google e Bing, mas também mecanismos de busca menos conhecidos, como DNSDumpster ou o mecanismo de busca de metadados Exalead.
Mais importante ainda, sem importar a ferramenta usada para coletar informações e testar suas defesas, é fundamental que sua equipe de cibersegurança sempre siga a política de testes de penetração de sua organização e daqueles cujos serviços você venha a contratar.
A OSINT é legal?
Conforme já explicado, a OSINT consegue identificar informações públicas e de livre acesso. Desse ponto de vista, é completamente legal na maioria dos países ocidentais. No entanto, é sempre necessário ter cautela com requisitos de proteção de dados.
Dois exemplos dizem tudo: A coleta de dados protegidos por senha ou quaisquer outros dados não públicos é ilegal. O uso de informações das redes sociais viola os termos de uso da maioria das plataformas.
De que forma os invasores usam a OSINT em seus ataques?
Os cibercriminosos tentam identificar fontes de dados relevantes para desenvolver métodos de ataque correspondentes – de preferência, sem deixar rastros. Não é incomum que os cibercriminosos utilizem tecnologias modernas de informação e comunicação para automatizar essas tarefas.
Exemplo 1: Spear-Phishing
Mecanismos de busca, como o da Google, são excelentes em usar a internet para buscar informações pessoais e profissionais sobre os usuários. Pensando nisso, redes sociais voltadas à carreira, como o LinkedIn e XING, são utilizadas com frequência e facilidade.
Mas outros canais de mídia social também oferecem detalhes úteis (como nomes de animais de estimação e parentes) – tudo isso pode ser usado para descobrir senhas. Os dados obtidos dessa forma também podem ser utilizados indevidamente para identificar alvos valiosos (principalmente pessoas com amplos direitos sobre as suas próprias contas de usuário ou acesso a informações confidenciais).
Exemplo 2: Vulnerabilidades de segurança
Com a ajuda da OSINT, os invasores procuram brechas de segurança, como dispositivos não corrigidos, portas abertas, armazenamento na nuvem mal configurado ou até mesmo informações publicadas acidentalmente, buscando identificar possíveis alvos.
E como os especialistas de cibersgurança usam a OSINT para proteger as empresas?
Ao usar a OSINT, as equipes de cibersegurança corporativa têm como objetivo principal conhecer as informações acessíveis ao público sobre seus próprios sistemas de segurança, com o objetivo de fechar lacunas de segurança. Essas lacunas incluem, por exemplo:
- Portas abertas e dispositivos de rede inseguros;
- Software sem correções;
- Informações sobre os dispositivos e software que utilizam, como versões de software, nomes de dispositivos, redes e endereços IP.
A OSINT também é útil para gestores de cibersegurança, ajudando-os a identificar informações públicas fora da empresa, como conteúdos em sites e mídias sociais. Além disso, podem obter informações de sites e arquivos não indexados, também chamados de deep web. Embora não apareçam nos resultados da pesquisa, são tecnicamente públicos e, portanto, acessíveis através de ferramentas de OSINT.
Caso decida usar a OSINT como parte do seu gerenciamento de riscos de cibersegurança, defina uma estratégia clara e lide com as seguintes questões, com antecedência:
• Você gostaria de identificar vulnerabilidades de rede e software?
• Você gostaria de identificar ativos disponíveis publicamente que podem ser usados por hackers para selecionar vetores de ataque apropriados?
• Você gostaria de saber se existem riscos associados às publicações que os funcionários compartilham em suas redes sociais?
Tenha em mente que durante a análise gera-se uma grande quantidade de dados. Portanto, é crucial que o processo seja amplamente automatizado. Além disso, testes de penetração regulares, levando em consideração a OSINT, provaram ser muito úteis. Além de medidas importantes de proteção de endpoints, como uso de solução antivírus, firewall ou sandbox com base na nuvem, bem como treinamento regular para todos os funcionários da empresa, lembre-se também de integrar estratégias relacionadas à OSINT ao seu modelo de cibersegurança.