Sei un fan delle app di social network incentrate sul fitness come Strava? Non sei solo. Anche il personale militare si diverte a monitorare e condividere le proprie corse. Sembra fantastico, tranne per il fatto che tutte le attività e i dati GPS raccolti e pubblicati dall'app Strava espongono invariabilmente la posizione precisa delle basi militari.
Potresti essere sorpreso di vedere il tipo di informazioni che sono pubblicamente disponibili su Internet oggi. Ma non dovrebbe sorprendere, visto come viviamo i giorni dell'oversharing. Annunciamo su Twitter e via e-mail risposte automatiche sui nostri piani per le vacanze, invitando essenzialmente i rapinatori. Lo chiamano i professionisti della sicurezza OSINT (intelligenza open source)e gli aggressori lo usano continuamente per identificare e sfruttare le vulnerabilità nei processi, nelle tecnologie e nelle persone. I dati OSINT sono generalmente facili da raccogliere e il processo è invisibile al target. (Quindi perché l'intelligence militare lo usa insieme ad altri strumenti OSINT come HUMIT, ELINT e SATINT.)
Le buone notizie? Puoi toccare OSINT per proteggere i tuoi utenti. Ma prima dovrai capire in che modo gli aggressori sfruttano OSINT per valutare sufficientemente la portata della tua superficie di attacco e rafforzare di conseguenza le tue difese.
OSINT è un concetto secolare. Tradizionalmente, l'intelligence open source veniva raccolta attraverso TV, radio e giornali. Oggi, tali informazioni esistono in tutta Internet, tra cui:
· Reti sociali e professionali come Facebook, Instagram e LinkedIn
· Profili pubblici su app di appuntamenti
· Mappe interattive
· Salute e fitness tracker
· Strumenti OSINT come Censys e Shodan
Tutte queste informazioni disponibili pubblicamente aiutano le persone a condividere avventure con gli amici, trovare luoghi oscuri, tenere traccia dei farmaci e trovare lavori da sogno e persino anime gemelle. Ma c'è anche un altro aspetto. All'insaputa dei potenziali bersagli, queste informazioni sono altrettanto convenientemente disponibili per truffatori e criminali informatici.
Ad esempio, la stessa app ADS-B Exchange che utilizzi per tenere traccia dei voli della persona amata in tempo reale può essere sfruttata da attori malintenzionati per individuare i loro obiettivi e creare piani nefasti.
Comprendere le diverse applicazioni di OSINT
Le informazioni open source non sono disponibili solo per coloro a cui sono destinate. Chiunque può accedervi e utilizzarlo, inclusi il governo e le forze dell'ordine. Nonostante siano economici e facilmente accessibili, gli stati-nazione e le loro agenzie di intelligence usano OSINT perché fornisce una buona informazione se fatto bene. E poiché sono tutte informazioni disponibili gratuitamente, è molto difficile attribuire l'accesso e l'utilizzo a una singola entità.
Organizzazioni estremiste e terroristi possono armare le stesse informazioni open source per raccogliere quanti più dati possibili sui loro obiettivi. I criminali informatici utilizzano OSINT anche per creare attacchi di ingegneria sociale e spear phishing altamente mirati.
Le aziende utilizzano le informazioni open source per analizzare la concorrenza, prevedere le tendenze del mercato e identificare nuove opportunità. Ma anche gli individui eseguono OSINT ad un certo punto e per una serie di motivi. Che si tratti di cercare su Google un vecchio amico o una celebrità preferita, è tutto OSINT.
Come utilizzare più tecniche OSINT
Il passaggio al lavoro da casa era inevitabile, ma l'intero processo ha dovuto essere accelerato quando è arrivato il COVID-19. Trovare vulnerabilità e dati relativi a persone che lavorano da casa, al di fuori del tradizionale perimetro di sicurezza delle organizzazioni, a volte è solo una rapida ricerca online.
Siti di social networking: I criminali informatici possono raccogliere dati come interessi personali, risultati passati, dettagli familiari e posizioni attuali e persino future di dipendenti, vicepresidenti e dirigenti delle organizzazioni target. In seguito possono utilizzarlo per creare messaggi, chiamate ed e-mail di spear-phishing.
Google: Gli utenti malintenzionati possono trovare su Google informazioni come le password predefinite per marchi e modelli specifici di apparecchiature IT e dispositivi IoT come router, telecamere di sicurezza e termostati domestici.
GitHub: Alcune ricerche ingenue su GitHub possono rivelare credenziali, chiavi master, chiavi di crittografia e token di autenticazione per app, servizi e risorse cloud nel codice open source condiviso. La famigerata violazione di Capital One è un ottimo esempio di un simile attacco.
Hacking di Google: Conosciuta anche come Google dorking, questa tecnica OSINT consente ai criminali informatici di utilizzare tecniche di ricerca di Google avanzate per trovare vulnerabilità di sicurezza nelle app, informazioni specifiche su individui, file contenenti credenziali utente e altro ancora.
Shodan e Censys: Shodan e Censys sono piattaforme di ricerca per dispositivi connessi a Internet e sistemi e piattaforme di controllo industriale. Le query di ricerca possono essere perfezionate per trovare dispositivi specifici con vulnerabilità note, database di ricerca elastici accessibili e altro ancora.
Applicazioni di OSINT per le pratiche di difesa
Le aziende che stanno già utilizzando OSINT per identificare opportunità e studiare i concorrenti devono ampliare la loro applicazione di OSINT alla sicurezza informatica.
Framework OSINT, una raccolta di strumenti OSINT, è un buon punto di partenza per le aziende per sfruttare la potenza di OSINT. Aiuta i penetration tester e i ricercatori sulla sicurezza a scoprire e raccogliere dati liberamente disponibili e potenzialmente sfruttabili.
Anche strumenti come Censys e Shodan sono progettati principalmente per il test della penna. Consentono alle aziende di identificare e proteggere le proprie risorse connesse a Internet.
La condivisione eccessiva dei dati personali è problematica per gli individui e le organizzazioni per cui lavorano. Le aziende dovrebbero educare i dipendenti sull'uso sicuro e responsabile dei social media.
La formazione sulla consapevolezza della sicurezza informatica dei dipendenti dovrebbe essere almeno un'impresa semestrale. Gli attacchi informatici senza preavviso e le simulazioni di phishing devono far parte di questi seminari di formazione.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
