Policy da conoscere

Open-Source Intelligence – Preziosa fonte di informazioni per gli specialisti IT così come per i criminali informatici

2022-04-27

L'uso dell'open-source intelligence (OSINT) sta diventando sempre più importante all'interno dei dipartimenti di sicurezza informatica. L'OSINT comprende l'acquisizione, la raccolta, l'analisi e il consolidamento delle informazioni disponibili da fonti pubbliche come Internet.

L'OSINT fornisce una grande opportunità per i team di sicurezza IT di utilizzare fonti pubblicamente disponibili per rintracciare dati interni che non dovrebbero essere pubblici - tra cui, ad esempio, porte aperte e dispositivi in rete - e a prendere provvedimenti per rimediare alla situazione.

Il problema è che mentre l'OSINT è una grande fonte di dati e informazioni per gli amministratori IT e altri professionisti che supervisionano la sicurezza IT dell'azienda, aiuta anche i criminali informatici che possono usare questa intelligence pubblica e open-source per ottenere informazioni nel tentativo di attaccare l'azienda.

 

In questo articolo imparerai:

  • Quali strumenti di OSINT esistono e a cosa servono?
  • L'OSINT è legale?
  • Come gli hacker usano l'OSINT?
  • In che modo i team di sicurezza usano l'OSINT per aumentare la sicurezza informatica dell'azienda?
  • Cosa devo considerare se voglio usare l'OSINT come parte della gestione del rischio informatico?

 

Al giorno d'oggi, i gruppi di hacker sono più sofisticati che mai, a causa delle enormi risorse finanziarie e umane a loro disposizione. Tuttavia, prima di procedere all'attacco vero e proprio, devono fare i loro "compiti a casa", spiando le loro vittime e raccogliendo quante più informazioni possibili in modo da essere in grado di identificare i punti deboli dell'obiettivo. Il modo più semplice per farlo? Passare attraverso la più grande fonte di informazioni del mondo, il World Wide Web.

 

Dai mass media e dai canali dei social media ai dati pubblici come i rapporti del governo, i dati commerciali o le informazioni facilmente ricercabili dai motori di ricerca, ci sono un sacco di posti dove gli attaccanti possono ottenere informazioni su quasi tutti gli argomenti. Internet è una fonte quasi infinita che i criminali informatici possono facilmente sfruttare.

 

Anche se lo scopo, il quadro giuridico e l'intenzione di utilizzo differiscono, grazie all'OSINT sia gli specialisti della sicurezza informatica che i criminali informatici spesso utilizzano le stesse fonti di informazione. Se trasformiamo questo fatto in una metafora, l'open-source intelligence è approssimativamente paragonabile a un deposito di armi dove sia gli agenti di polizia che i gangster si procurano le loro armi.

 

Quali strumenti di OSINT sono presenti sul mercato e per quale scopo possono essere utilizzati?

  • Shodan , per esempio, può essere utilizzato per individuare dispositivi IoT, sistemi OT (tecnologia operativa) e porte aperte.
  • Maltego è uno strumento che aiuta a identificare le relazioni nascoste tra persone, domini, aziende, proprietari di documenti e altre entità. Le informazioni vengono poi visualizzate tramite un'interfaccia utente intuitiva.
  • Metagoofil è uno strumento per estrarre metadati da documenti pubblicamente disponibili, fornisce informazioni cruciali sui sistemi IT (nomi utente, versioni del software, indirizzi MAC, ecc.) 
  • TheHarvester, uno degli strumenti di OSINT più diffusi e facili da usare, consente di vedere ciò che un attaccante può vedere sulla vostra organizzazione, compresi i sottodomini, gli host, le e-mail e le porte aperte. TheHarvester non analizza solo Google e Bing, ma anche motori di ricerca meno noti come DNSDumpster o il motore di ricerca di metadati Exalead.

 

Laptop showing a piece of code

L'OSINT è legale?

Come già spiegato, l'OSINT può identificare informazioni pubbliche e liberamente accessibili. Da questo punto di vista, è completamente legale nella maggior parte dei paesi occidentali. Tuttavia, si dovrebbe essere cauti quando si tratta di requisiti di protezione dei dati. Questi due esempi illustrano questo punto: raccogliere dati protetti da password o qualsiasi altro dato non pubblico è illegale, e l'uso di informazioni reperite dai social network viola i termini d'uso della maggior parte delle piattaforme.

 

 

Come gli hacker usano l'OSINT nei loro attacchi?

I criminali informatici cercano di identificare le fonti di dati rilevanti per sviluppare metodi di attacco corrispondenti - idealmente, senza lasciare tracce. Non è raro che i criminali informatici sfruttino le moderne tecnologie di informazione e comunicazione che automatizzano questi compiti.

 

Esempio 1: Spear-Phishing

I motori di ricerca come Google eccellono nell'usare internet per cercare informazioni personali e professionali sulle persone. Lo stesso fanno i social network orientati alla carriera come LinkedIn.

Ma anche altri canali di social media offrono dettagli utili (come i nomi di animali domestici e parenti) che possono essere utilizzati per crackare le password. I dati ottenuti in questo modo possono essere utilizzati per identificare obiettivi preziosi come i dipendenti con accesso a informazioni aziendali riservate.

 

Esempio 2: Vulnerabilità di sicurezza

Con l'aiuto dell'OSINT, gli aggressori cercano lacune nella sicurezza, come dispositivi senza patch, porte aperte, cloud storage mal configurati o anche informazioni pubblicate accidentalmente, per identificare potenziali obiettivi.

 

E come gli specialisti IT usano l'OSINT per proteggere la propria azienda?

Quando si usa l'OSINT, i team di sicurezza aziendale mirano principalmente a prendere coscienza delle informazioni pubblicamente accessibili sui propri sistemi IT, con lo scopo di colmare le lacune di sicurezza. Queste includono:

  • Porte aperte e dispositivi di rete insicuri
  • Software non protetto da patch
  • Informazioni sui dispositivi e sul software che usano, come versioni del software, nomi di dispositivi, reti e indirizzi IP

 

L'OSINT è anche utile per i manager IT, aiutandoli a identificare le informazioni pubbliche al di fuori dell'azienda, come il contenuto sui siti web e sui social media. Inoltre, possono ottenere informazioni da siti web e file non indicizzati, che sono anche chiamati deep web. Anche se non appaiono nei risultati di ricerca, sono tecnicamente pubblici e quindi accessibili tramite strumenti OSINT.

 

Se volete usare OSINT come parte della tua gestione del rischio informatico, dovresti definire una chiara strategia in anticipo e rispondere alle seguenti domande:

 

• Vuoi identificare le vulnerabilità della rete e del software? 

• Vuoi identificare le risorse pubblicamente disponibili che possono essere utilizzate dagli hacker per selezionare i vettori di attacco appropriat

• Vuoi scoprire se ci sono rischi associati ai post che i dipendenti condividono sui social media?

 

Oltre alle importanti misure di protezione degli endpoint, come l'utilizzo di una soluzione antivirus, firewall o sandboxing nel cloud, nonché la formazione regolare di tutti i dipendenti dell'azienda, le strategie legate all'OSINT possono aggiungere un prezioso livello di sicurezza alla vostra organizzazione