Apakah Anda penggemar aplikasi jejaring sosial yang berfokus pada kebugaran seperti Strava? Kamu tidak sendiri. Bahkan personel militer senang melacak dan berbagi lari mereka. Kedengarannya hebat, kecuali bahwa semua aktivitas dan data GPS yang dikumpulkan dan diterbitkan oleh aplikasi Strava selalu memperlihatkan lokasi yang tepat dari pangkalan militer.
Anda mungkin terkejut melihat jenis informasi yang tersedia untuk umum di Internet saat ini. Tapi itu seharusnya tidak mengejutkan, mengingat bagaimana kita hidup di zaman berbagi yang berlebihan. Kami mengumumkan di Twitter dan email tanggapan otomatis tentang rencana liburan kami, yang pada dasarnya mengundang perampok. Profesional keamanan menyebutnya OSINT (kecerdasan sumber terbuka), dan penyerang menggunakannya sepanjang waktu untuk mengidentifikasi dan mengeksploitasi kerentanan dalam proses, teknologi, dan manusia. Data OSINT biasanya mudah dikumpulkan, dan prosesnya tidak terlihat oleh target. (Oleh karena itu mengapa intelijen militer menggunakannya bersama dengan alat OSINT lainnya seperti HUMIT, ELINT, dan SATINT.)
Berita bagus? Anda dapat mengetuk OSINT untuk melindungi pengguna Anda. Tetapi pertama-tama Anda harus memahami bagaimana penyerang mengeksploitasi OSINT untuk mengevaluasi cakupan permukaan serangan Anda secara memadai dan memperkuat pertahanan Anda.
OSINT adalah konsep kuno. Secara tradisional, intelijen sumber terbuka dikumpulkan melalui TV, radio, dan surat kabar. Saat ini, informasi tersebut ada di seluruh Internet, termasuk:
· Jejaring sosial dan profesional seperti Facebook, Instagram, dan LinkedIn
· Profil publik di aplikasi kencan
· Peta interaktif
· Pelacak kesehatan dan kebugaran
· Alat OSINT seperti Censys dan Shodan
Semua informasi yang tersedia untuk umum ini membantu orang berbagi petualangan dengan teman, menemukan lokasi yang tidak jelas, memantau pengobatan, dan menemukan pekerjaan impian, bahkan belahan jiwa. Tapi ada sisi lain untuk itu juga. Tanpa sepengetahuan target potensial, informasi ini tersedia dengan mudah bagi penipu dan penjahat dunia maya.
Misalnya, aplikasi ADS-B Exchange yang sama yang Anda gunakan untuk melacak penerbangan orang yang Anda cintai secara real-time dapat dimanfaatkan oleh pelaku jahat untuk menemukan target mereka dan membuat rencana jahat.
Memahami Berbagai Aplikasi OSINT
Informasi open source tidak hanya tersedia untuk mereka yang dimaksudkan. Siapa pun dapat mengakses dan memanfaatkannya, termasuk pemerintah dan lembaga penegak hukum. Meskipun murah dan mudah diakses, negara-negara dan badan intelijen mereka menggunakan OSINT karena memberikan intelijen yang baik bila dilakukan dengan benar. Dan karena itu semua informasi yang tersedia secara bebas, sangat sulit untuk mengatributkan akses dan pemanfaatan ke satu entitas.
Organisasi ekstremis dan teroris dapat mempersenjatai informasi sumber terbuka yang sama untuk mengumpulkan sebanyak mungkin data tentang target mereka. Penjahat dunia maya juga menggunakan OSINT untuk membuat rekayasa sosial yang sangat bertarget dan serangan spear phishing.
Bisnis menggunakan informasi sumber terbuka untuk menganalisis persaingan, memprediksi tren pasar, dan mengidentifikasi peluang baru. Tetapi bahkan individu melakukan OSINT di beberapa titik dan karena berbagai alasan. Baik itu Googling teman lama atau selebriti favorit, semuanya OSINT.
Cara Menggunakan Beberapa Teknik OSINT
Pergeseran ke kerja-dari-rumah tidak bisa dihindari, tetapi seluruh proses harus dipercepat saat COVID-19 melanda. Menemukan kerentanan dan data terhadap orang yang bekerja dari rumah, di luar batas keamanan tradisional organisasi, terkadang hanya dengan pencarian online cepat.
Situs jejaring sosial: Penjahat dunia maya dapat mengumpulkan data seperti minat pribadi, pencapaian masa lalu, detail keluarga, dan lokasi karyawan, VP, dan eksekutif saat ini dan bahkan di masa mendatang dari organisasi target mereka. Mereka nantinya dapat menggunakan ini untuk membuat pesan, panggilan, dan email spear-phishing.
Google: Pengguna jahat dapat menggunakan informasi Google seperti sandi default untuk merek dan model peralatan IT tertentu serta perangkat IoT seperti router, kamera keamanan, dan termostat rumah.
GitHub: Beberapa pencarian naif di GitHub dapat mengungkap kredensial, kunci master, kunci enkripsi, dan token autentikasi untuk aplikasi, layanan, dan sumber daya cloud dalam kode sumber terbuka bersama. Pelanggaran Capital One yang terkenal adalah contoh utama dari serangan semacam itu.
Peretasan Google: Juga dikenal sebagai Google dorking, teknik OSINT ini memungkinkan penjahat dunia maya menggunakan teknik pencarian Google lanjutan untuk menemukan kerentanan keamanan di aplikasi, informasi spesifik tentang individu, file yang berisi kredensial pengguna, dan banyak lagi.
Shodan dan Censys: Shodan dan Censys adalah platform pencarian untuk perangkat yang terhubung ke Internet serta sistem dan platform kontrol industri. Permintaan pencarian dapat disempurnakan untuk menemukan perangkat tertentu dengan kerentanan yang diketahui, database pencarian elastis yang dapat diakses, dan banyak lagi.
Aplikasi OSINT untuk Praktek Pertahanan
Bisnis yang sudah menggunakan OSINT untuk mengidentifikasi peluang dan mempelajari pesaing perlu memperluas aplikasi OSINT mereka ke keamanan siber.
Kerangka OSINT, kumpulan alat OSINT, merupakan titik awal yang baik bagi perusahaan untuk memanfaatkan kekuatan OSINT. Ini membantu penguji penetrasi dan peneliti keamanan menemukan dan mengumpulkan data yang tersedia secara bebas dan berpotensi dieksploitasi.
Alat seperti Censys dan Shodan terutama dirancang untuk pengujian pena juga. Mereka mengizinkan perusahaan untuk mengidentifikasi dan mengamankan aset mereka yang terhubung ke Internet.
Pembagian data pribadi yang berlebihan merupakan masalah bagi individu dan organisasi tempat mereka bekerja. Perusahaan harus mendidik karyawan tentang penggunaan media sosial yang aman dan bertanggung jawab.
Pelatihan kesadaran keamanan siber karyawan setidaknya harus dilakukan setengah tahunan. Serangan siber dan simulasi phishing yang tidak diumumkan harus menjadi bagian dari lokakarya pelatihan ini.
