L'uso dell'open-source intelligence (OSINT) sta diventando sempre più importante all'interno dei dipartimenti di sicurezza informatica. L'OSINT comprende l'acquisizione, la raccolta, l'analisi e il consolidamento delle informazioni disponibili da fonti pubbliche come Internet.
L'OSINT fornisce una grande opportunità per i team di sicurezza IT di utilizzare fonti pubblicamente disponibili per rintracciare dati interni che non dovrebbero essere pubblici - tra cui, ad esempio, porte aperte e dispositivi in rete - e a prendere provvedimenti per rimediare alla situazione.
Il problema è che mentre l'OSINT è una grande fonte di dati e informazioni per gli amministratori IT e altri professionisti che supervisionano la sicurezza IT dell'azienda, aiuta anche i criminali informatici che possono usare questa intelligence pubblica e open-source per ottenere informazioni nel tentativo di attaccare l'azienda.
Al giorno d'oggi, i gruppi di hacker sono più sofisticati che mai, a causa delle enormi risorse finanziarie e umane a loro disposizione. Tuttavia, prima di procedere all'attacco vero e proprio, devono fare i loro "compiti a casa", spiando le loro vittime e raccogliendo quante più informazioni possibili in modo da essere in grado di identificare i punti deboli dell'obiettivo. Il modo più semplice per farlo? Passare attraverso la più grande fonte di informazioni del mondo, il World Wide Web.
Dai mass media e dai canali dei social media ai dati pubblici come i rapporti del governo, i dati commerciali o le informazioni facilmente ricercabili dai motori di ricerca, ci sono un sacco di posti dove gli attaccanti possono ottenere informazioni su quasi tutti gli argomenti. Internet è una fonte quasi infinita che i criminali informatici possono facilmente sfruttare.
Anche se lo scopo, il quadro giuridico e l'intenzione di utilizzo differiscono, grazie all'OSINT sia gli specialisti della sicurezza informatica che i criminali informatici spesso utilizzano le stesse fonti di informazione. Se trasformiamo questo fatto in una metafora, l'open-source intelligence è approssimativamente paragonabile a un deposito di armi dove sia gli agenti di polizia che i gangster si procurano le loro armi.
Quali strumenti di OSINT sono presenti sul mercato e per quale scopo possono essere utilizzati?
- Shodan , per esempio, può essere utilizzato per individuare dispositivi IoT, sistemi OT (tecnologia operativa) e porte aperte.
- Maltego è uno strumento che aiuta a identificare le relazioni nascoste tra persone, domini, aziende, proprietari di documenti e altre entità. Le informazioni vengono poi visualizzate tramite un'interfaccia utente intuitiva.
- Metagoofil è uno strumento per estrarre metadati da documenti pubblicamente disponibili, fornisce informazioni cruciali sui sistemi IT (nomi utente, versioni del software, indirizzi MAC, ecc.)
- TheHarvester, uno degli strumenti di OSINT più diffusi e facili da usare, consente di vedere ciò che un attaccante può vedere sulla vostra organizzazione, compresi i sottodomini, gli host, le e-mail e le porte aperte. TheHarvester non analizza solo Google e Bing, ma anche motori di ricerca meno noti come DNSDumpster o il motore di ricerca di metadati Exalead.
L'OSINT è legale?
Come già spiegato, l'OSINT può identificare informazioni pubbliche e liberamente accessibili. Da questo punto di vista, è completamente legale nella maggior parte dei paesi occidentali. Tuttavia, si dovrebbe essere cauti quando si tratta di requisiti di protezione dei dati. Questi due esempi illustrano questo punto: raccogliere dati protetti da password o qualsiasi altro dato non pubblico è illegale, e l'uso di informazioni reperite dai social network viola i termini d'uso della maggior parte delle piattaforme.
Come gli hacker usano l'OSINT nei loro attacchi?
I criminali informatici cercano di identificare le fonti di dati rilevanti per sviluppare metodi di attacco corrispondenti - idealmente, senza lasciare tracce. Non è raro che i criminali informatici sfruttino le moderne tecnologie di informazione e comunicazione che automatizzano questi compiti.
Esempio 1: Spear-Phishing
I motori di ricerca come Google eccellono nell'usare internet per cercare informazioni personali e professionali sulle persone. Lo stesso fanno i social network orientati alla carriera come LinkedIn.
Ma anche altri canali di social media offrono dettagli utili (come i nomi di animali domestici e parenti) che possono essere utilizzati per crackare le password. I dati ottenuti in questo modo possono essere utilizzati per identificare obiettivi preziosi come i dipendenti con accesso a informazioni aziendali riservate.
Esempio 2: Vulnerabilità di sicurezza
Con l'aiuto dell'OSINT, gli aggressori cercano lacune nella sicurezza, come dispositivi senza patch, porte aperte, cloud storage mal configurati o anche informazioni pubblicate accidentalmente, per identificare potenziali obiettivi.
E come gli specialisti IT usano l'OSINT per proteggere la propria azienda?
Quando si usa l'OSINT, i team di sicurezza aziendale mirano principalmente a prendere coscienza delle informazioni pubblicamente accessibili sui propri sistemi IT, con lo scopo di colmare le lacune di sicurezza. Queste includono:
- Porte aperte e dispositivi di rete insicuri
- Software non protetto da patch
- Informazioni sui dispositivi e sul software che usano, come versioni del software, nomi di dispositivi, reti e indirizzi IP
L'OSINT è anche utile per i manager IT, aiutandoli a identificare le informazioni pubbliche al di fuori dell'azienda, come il contenuto sui siti web e sui social media. Inoltre, possono ottenere informazioni da siti web e file non indicizzati, che sono anche chiamati deep web. Anche se non appaiono nei risultati di ricerca, sono tecnicamente pubblici e quindi accessibili tramite strumenti OSINT.
Se volete usare OSINT come parte della tua gestione del rischio informatico, dovresti definire una chiara strategia in anticipo e rispondere alle seguenti domande:
• Vuoi identificare le vulnerabilità della rete e del software?
• Vuoi identificare le risorse pubblicamente disponibili che possono essere utilizzate dagli hacker per selezionare i vettori di attacco appropriat
• Vuoi scoprire se ci sono rischi associati ai post che i dipendenti condividono sui social media?
Oltre alle importanti misure di protezione degli endpoint, come l'utilizzo di una soluzione antivirus, firewall o sandboxing nel cloud, nonché la formazione regolare di tutti i dipendenti dell'azienda, le strategie legate all'OSINT possono aggiungere un prezioso livello di sicurezza alla vostra organizzazione