Are you a fan of fitness-focused social networking apps such as Strava? You’re not alone. Even military personnel enjoy tracking and sharing their runs. It sounds great, except that all activity and GPS data the Strava app collects and publishes invariably exposes the precise location of military bases.
You might be surprised to see the kind of information that’s publicly available on the Internet today. But it shouldn’t be a surprise, given how we live in the days of oversharing. We announce on Twitter and email auto-responses about our vacation plans, essentially inviting robbers. Security professionals call it OSINT (nyílt forráskódú intelligencia), és a támadók folyamatosan használják a folyamatok, technológiák és emberek sebezhetőségeinek azonosítására és kihasználására. Az OSINT adatok általában könnyen gyűjthetők, és a folyamat láthatatlan a cél számára. (Ezért használja a katonai hírszerzés más OSINT-eszközökkel együtt, mint például a HUMIT, az ELINT és a SATINT.)
The good news? You can tap OSINT to protect your users. But first you’ll have to understand how attackers exploit OSINT to sufficiently evaluate the scope of your attack surface and bolster your defenses accordingly.
Az OSINT egy ősrégi fogalom. Hagyományosan a nyílt forráskódú intelligenciát tévén, rádión és újságokon keresztül gyűjtötték. Ma már az interneten mindenhol megtalálhatók ilyen információk, többek között:
· Közösségi és szakmai hálózatok, például a Facebook, az Instagram és a LinkedIn
· Nyilvános profilok a társkereső alkalmazásokban
· Interaktív térképek
· Egészség- és fitneszkövetők
· OSINT eszközök, mint a Censys és a Shodan
All this publicly available information helps people share adventures with friends, find obscure locations, keep track of medications, and find dream jobs and even soulmates. But there’s another side to it as well. Unbeknownst to potential targets, this information is just as conveniently available to scammers and cybercriminals.
For instance, the same ADS-B Exchange app that you use to keep track of your loved one’s flights in real-time can be exploited by malicious actors to locate their targets and craft nefarious plans.
Az OSINT különböző alkalmazásainak megismerése
Open source information isn’t just available to those it is intended for. Anyone can access and utilize it, including government and law enforcement agencies. Despite being cheap and easily accessible, nation-states and their intelligence agencies use OSINT because it provides good intelligence when done right. And since it’s all freely available information, it’s very hard to attribute access and utilization to a single entity.
A szélsőséges szervezetek és terroristák ugyanazokat a nyílt forráskódú információkat fegyverezhetik fel, hogy minél több adatot gyűjtsenek célpontjaikról. A kiberbûnözõk az OSINT-t is használják célzott közösségi tervezés és adathalász támadások kidolgozására.
Businesses use open source information to analyze competition, predict market trends, and identify new opportunities. But even individuals perform OSINT at some point and for a variety of reasons. Whether it’s Googling an old friend or a favorite celebrity, it’s all OSINT.
Több OSINT technika használata
Az otthoni munkára való átállás elkerülhetetlen volt, de az egész folyamatot fel kellett gyorsítani, amikor megjelent a COVID-19. Az otthonról dolgozó emberekkel szembeni sebezhetőségek és adatok megtalálása, a szervezetek hagyományos biztonsági határain kívül, néha csak egy gyors online keresésre van szükség.
Közösségi oldalak: A kiberbűnözők olyan adatokat gyűjthetnek, mint a személyes érdeklődési körök, múltbeli eredmények, családi adatok, valamint a célszervezetek alkalmazottainak, alelnökeinek és vezetőinek jelenlegi vagy akár jövőbeli tartózkodási helye. Később ezt felhasználhatják adathalász üzenetek, hívások és e-mailek létrehozására.
Google: A rosszindulatú felhasználók információkat szerezhetnek a Google-on, például az IT-eszközök és IoT-eszközök (például útválasztók, biztonsági kamerák és otthoni termosztátok) bizonyos márkáihoz és modelljeihez tartozó alapértelmezett jelszavakat.
GitHub: Néhány naiv keresés a GitHubon megosztott, nyílt forráskódban felfedheti a hitelesítő adatokat, a fő kulcsokat, a titkosítási kulcsokat és az alkalmazásokhoz, szolgáltatásokhoz és felhőforrásokhoz tartozó hitelesítési tokeneket. A hírhedt Capital One-sértés kiváló példa egy ilyen támadásra.
Google hackelés: Ez a Google dorking néven is ismert OSINT technika lehetővé teszi a kiberbűnözők számára, hogy fejlett Google keresési technikák segítségével keressenek biztonsági réseket az alkalmazásokban, konkrét információkat egyénekről, felhasználói hitelesítési adatokat tartalmazó fájlokat stb.
Shodan és Censys: A Shodan és a Censys keresőplatformok az internethez kapcsolódó eszközök és ipari vezérlőrendszerek és platformok számára. A keresési lekérdezések finomíthatók, hogy bizonyos eszközöket találjanak ismert sebezhetőségekkel, elérhető rugalmas keresési adatbázisokkal stb.
Az OSINT alkalmazásai védelmi gyakorlatokhoz
Azoknak a vállalkozásoknak, amelyek már használják az OSINT-t a lehetőségek azonosítására és a versenytársak tanulmányozására, ki kell terjeszteniük az OSINT alkalmazását a kiberbiztonság területén.
OSINT keretrendszer, az OSINT eszközök gyűjteménye, jó kiindulópont a vállalkozások számára, hogy kiaknázzák az OSINT erejét. Segíti a behatolást tesztelőket és a biztonsági kutatókat a szabadon elérhető és potenciálisan kihasználható adatok felfedezésében és összegyűjtésében.
Az olyan eszközöket, mint a Censys és a Shodan, elsősorban tollal történő tesztelésre tervezték. Lehetővé teszik a vállalkozások számára, hogy azonosítsák és biztonságossá tegyék internethez kapcsolódó eszközeiket.
A személyes adatok túlzott megosztása problémát jelent az egyének és az általuk alkalmazott szervezetek számára. A vállalatoknak fel kell tanítaniuk alkalmazottaikat a közösségi média biztonságos és felelős használatára.
Az alkalmazottak kiberbiztonsági tudatosító képzésének legalább félévente kell lennie. A be nem jelentett kibertámadásoknak és az adathalász szimulációknak a képzési műhelyek részét kell képezniük.
