क्या आप स्ट्रावा जैसे फिटनेस-केंद्रित सोशल नेटवर्किंग ऐप के प्रशंसक हैं? तुम अकेले नहीं हो। यहां तक कि सैन्य कर्मियों को अपने रन को ट्रैक करने और साझा करने में मजा आता है। यह बहुत अच्छा लगता है, सिवाय इसके कि सभी गतिविधि और जीपीएस डेटा स्ट्रावा ऐप एकत्र करता है और प्रकाशित करता है जो सैन्य ठिकानों के सटीक स्थान को उजागर करता है।
आज इंटरनेट पर जिस तरह की जानकारी सार्वजनिक रूप से उपलब्ध है, उसे देखकर आपको आश्चर्य हो सकता है। लेकिन यह आश्चर्य की बात नहीं होनी चाहिए, यह देखते हुए कि हम ओवरशेयरिंग के दिनों में कैसे रहते हैं। हम अपनी छुट्टियों की योजनाओं के बारे में ट्विटर और ईमेल ऑटो-प्रतिक्रियाओं की घोषणा करते हैं, अनिवार्य रूप से लुटेरों को आमंत्रित करते हैं। सुरक्षा पेशेवर इसे कहते हैं OSINT (ओपन सोर्स इंटेलिजेंस), और हमलावर प्रक्रियाओं, तकनीकों और लोगों में कमजोरियों की पहचान करने और उनका फायदा उठाने के लिए हर समय इसका इस्तेमाल करते हैं। OSINT डेटा आमतौर पर एकत्र करना आसान होता है, और प्रक्रिया लक्ष्य के लिए अदृश्य होती है। (इसलिए क्यों सैन्य खुफिया इसे अन्य OSINT टूल जैसे HUMIT, ELINT और SAINTINT के साथ उपयोग करता है।)
अच्छी खबर? आप अपने उपयोगकर्ताओं की सुरक्षा के लिए OSINT को टैप कर सकते हैं। लेकिन पहले आपको यह समझना होगा कि कैसे हमलावर आपके हमले की सतह के दायरे का पर्याप्त मूल्यांकन करने के लिए OSINT का फायदा उठाते हैं और उसी के अनुसार आपके बचाव को मजबूत करते हैं।
OSINT एक पुरानी अवधारणा है। परंपरागत रूप से, ओपन सोर्स इंटेलिजेंस को टीवी, रेडियो और समाचार पत्रों के माध्यम से इकट्ठा किया जाता था। आज, ऐसी जानकारी पूरे इंटरनेट पर मौजूद है, जिसमें शामिल हैं:
· फेसबुक, इंस्टाग्राम और लिंक्डइन जैसे सामाजिक और पेशेवर नेटवर्क
· डेटिंग ऐप्स पर सार्वजनिक प्रोफ़ाइल
· इंटरएक्टिव नक्शे
· स्वास्थ्य और फिटनेस ट्रैकर
· OSINT उपकरण जैसे कि सेन्सिस और शोडान
यह सभी सार्वजनिक रूप से उपलब्ध जानकारी लोगों को दोस्तों के साथ रोमांच साझा करने, अस्पष्ट स्थानों को खोजने, दवाओं का ट्रैक रखने और सपनों की नौकरी और यहां तक कि आत्मा साथी खोजने में मदद करती है। लेकिन इसका एक दूसरा पहलू भी है। संभावित लक्ष्यों से अनभिज्ञ, यह जानकारी स्कैमर्स और साइबर अपराधियों के लिए उतनी ही आसानी से उपलब्ध है।
उदाहरण के लिए, वही ADS-B एक्सचेंज ऐप जिसका उपयोग आप वास्तविक समय में अपने प्रियजनों की उड़ानों पर नज़र रखने के लिए करते हैं, दुर्भावनापूर्ण अभिनेताओं द्वारा उनके लक्ष्य और शिल्प नापाक योजनाओं का पता लगाने के लिए शोषण किया जा सकता है।
OSINT के विभिन्न अनुप्रयोगों को समझना
ओपन सोर्स जानकारी केवल उन्हीं के लिए उपलब्ध नहीं है जिनके लिए इसका इरादा है। सरकार और कानून प्रवर्तन एजेंसियों सहित कोई भी इसका उपयोग और उपयोग कर सकता है। सस्ता और आसानी से सुलभ होने के बावजूद, राष्ट्र-राज्य और उनकी खुफिया एजेंसियां OSINT का उपयोग करती हैं क्योंकि यह सही होने पर अच्छी खुफिया जानकारी प्रदान करती है। और चूंकि यह सभी स्वतंत्र रूप से उपलब्ध जानकारी है, इसलिए किसी एक इकाई को पहुंच और उपयोग का श्रेय देना बहुत कठिन है।
चरमपंथी संगठन और आतंकवादी अपने लक्ष्यों के बारे में जितना संभव हो उतना डेटा एकत्र करने के लिए एक ही ओपन सोर्स जानकारी को हथियार बना सकते हैं। साइबर अपराधी OSINT का उपयोग अत्यधिक लक्षित सामाजिक इंजीनियरिंग और भाला फ़िशिंग हमलों को तैयार करने के लिए भी करते हैं।
व्यवसाय प्रतिस्पर्धा का विश्लेषण करने, बाजार के रुझान की भविष्यवाणी करने और नए अवसरों की पहचान करने के लिए ओपन सोर्स जानकारी का उपयोग करते हैं। लेकिन कुछ बिंदु पर और कई कारणों से व्यक्ति भी OSINT का प्रदर्शन करते हैं। चाहे वह किसी पुराने मित्र को गूगल करना हो या किसी पसंदीदा हस्ती को, यह सब OSINT है।
एकाधिक OSINT तकनीकों का उपयोग कैसे करें
वर्क-फ्रॉम-होम में शिफ्ट होना अपरिहार्य था, लेकिन COVID-19 के हिट होने पर पूरी प्रक्रिया को तेज करना पड़ा। संगठनों की पारंपरिक सुरक्षा परिधि के बाहर, घर से काम करने वाले लोगों के खिलाफ कमजोरियों और डेटा का पता लगाना, कभी-कभी केवल एक त्वरित ऑनलाइन खोज की दूरी पर होता है।
सामाजिक नेटवर्किंग साइट: साइबर अपराधी व्यक्तिगत हितों, पिछली उपलब्धियों, पारिवारिक विवरण, और कर्मचारियों, वीपी और उनके लक्षित संगठनों के अधिकारियों के वर्तमान और भविष्य के स्थानों जैसे डेटा एकत्र कर सकते हैं। वे बाद में स्पीयर-फ़िशिंग संदेश, कॉल और ईमेल तैयार करने के लिए इसका उपयोग कर सकते हैं।
गूगल: दुर्भावनापूर्ण उपयोगकर्ता विशिष्ट ब्रांडों और आईटी उपकरणों के मॉडल और राउटर, सुरक्षा कैमरे और होम थर्मोस्टैट्स जैसे IoT उपकरणों के लिए डिफ़ॉल्ट पासवर्ड जैसी जानकारी Google कर सकते हैं।
GitHub: गिटहब पर कुछ सहज खोजें साझा, खुले स्रोत कोड में ऐप्स, सेवाओं और क्लाउड संसाधनों के लिए क्रेडेंशियल्स, मास्टर कुंजियाँ, एन्क्रिप्शन कुंजियाँ और प्रमाणीकरण टोकन प्रकट कर सकती हैं। कुख्यात कैपिटल वन ब्रीच इस तरह के हमले का एक प्रमुख उदाहरण है।
गूगल हैकिंग: Google डॉर्किंग के रूप में भी जानी जाने वाली यह OSINT तकनीक साइबर अपराधियों को उन्नत Google खोज तकनीकों का उपयोग करने देती है ताकि ऐप्स में सुरक्षा कमजोरियों, व्यक्तियों के बारे में विशिष्ट जानकारी, उपयोगकर्ता क्रेडेंशियल्स वाली फ़ाइलों और बहुत कुछ का पता लगाया जा सके।
शोडान और सेंसिस: Shodan और Censys इंटरनेट से जुड़े उपकरणों और औद्योगिक नियंत्रण प्रणालियों और प्लेटफार्मों के लिए खोज मंच हैं। ज्ञात कमजोरियों, सुलभ लोचदार खोज डेटाबेस, और अधिक के साथ विशिष्ट उपकरणों को खोजने के लिए खोज क्वेरी को परिष्कृत किया जा सकता है।
रक्षा अभ्यासों के लिए OSINT के अनुप्रयोग
ऐसे व्यवसाय जो अवसरों की पहचान करने और प्रतिस्पर्धियों का अध्ययन करने के लिए पहले से ही OSINT का उपयोग कर रहे हैं, उन्हें साइबर सुरक्षा के लिए OSINT के अपने अनुप्रयोग को विस्तृत करने की आवश्यकता है।
OSINT फ्रेमवर्क, OSINT उपकरणों का एक संग्रह, उद्यमों के लिए OSINT की शक्ति का उपयोग करने के लिए एक अच्छा प्रारंभिक बिंदु है। यह पैठ परीक्षकों और सुरक्षा शोधकर्ताओं को स्वतंत्र रूप से उपलब्ध और संभावित शोषण योग्य डेटा की खोज और संग्रह करने में मदद करता है।
सेंसर्स और शोडान जैसे उपकरण मुख्य रूप से पेन-परीक्षण के लिए भी डिज़ाइन किए गए हैं। वे उद्यमों को उनकी इंटरनेट से जुड़ी संपत्तियों की पहचान करने और उन्हें सुरक्षित करने की अनुमति देते हैं।
व्यक्तिगत डेटा को ओवरशेयर करना व्यक्तियों और उन संगठनों के लिए समस्याग्रस्त है, जिनके लिए वे काम करते हैं। उद्यमों को कर्मचारियों को सोशल मीडिया के सुरक्षित और जिम्मेदार उपयोग के बारे में शिक्षित करना चाहिए।
कर्मचारी साइबर सुरक्षा जागरूकता प्रशिक्षण, कम से कम, अर्ध-वार्षिक उपक्रम होना चाहिए। अघोषित साइबर हमले और फ़िशिंग सिमुलेशन इन प्रशिक्षण कार्यशालाओं का हिस्सा होना चाहिए।
