האם אתה מעריץ של אפליקציות רשתות חברתיות ממוקדות כושר כמו Strava? אתה לא לבד. אפילו אנשי צבא נהנים לעקוב ולחלוק את הריצות שלהם. זה נשמע נהדר, אלא שכל נתוני הפעילות ונתוני ה-GPS שהאפליקציה Strava אוספת ומפרסמת חושפים תמיד את המיקום המדויק של בסיסים צבאיים.
אולי תופתעו לראות את סוג המידע שזמין היום לציבור באינטרנט. אבל זה לא צריך להיות הפתעה, בהתחשב איך אנחנו חיים בימי שיתוף יתר. אנו מכריזים בטוויטר ובמייל תגובות אוטומטיות על תוכניות החופשה שלנו, בעצם מזמינים שודדים. אנשי אבטחה קוראים לזה OSINT (בינת קוד פתוח)ותוקפים משתמשים בו כל הזמן כדי לזהות ולנצל פגיעויות בתהליכים, טכנולוגיות ואנשים. בדרך כלל קל לאסוף נתוני OSINT, והתהליך אינו נראה למטרה. (מכאן מדוע המודיעין הצבאי משתמש בו יחד עם כלי OSINT אחרים כמו HUMIT, ELINT ו-SATINT.)
החדשות הטובות? אתה יכול להקיש על OSINT כדי להגן על המשתמשים שלך. אבל תחילה תצטרך להבין כיצד תוקפים מנצלים את OSINT כדי להעריך מספיק את היקף משטח ההתקפה שלך ולחזק את ההגנות שלך בהתאם.
OSINT הוא מושג עתיק יומין. באופן מסורתי, מודיעין קוד פתוח נאסף באמצעות טלוויזיה, רדיו ועיתונים. כיום, מידע כזה קיים בכל רחבי האינטרנט, כולל:
· רשתות חברתיות ומקצועיות כמו פייסבוק, אינסטגרם ולינקדאין
· פרופילים ציבוריים באפליקציות היכרויות
· מפות אינטראקטיביות
· עוקבי בריאות וכושר
· כלי OSINT כמו Censys ו-Shodan
כל המידע הזמין לציבור הזה עוזר לאנשים לחלוק הרפתקאות עם חברים, למצוא מיקומים לא ברורים, לעקוב אחר תרופות ולמצוא משרות חלומות ואפילו חברי נפש. אבל יש לזה גם צד אחר. ללא ידיעת מטרות פוטנציאליות, מידע זה זמין באותה נוחות לרמאים ופושעי רשת.
לדוגמה, אותה אפליקציית ADS-B Exchange שבה אתה משתמש כדי לעקוב אחר הטיסות של יקירך בזמן אמת יכולה להיות מנוצלת על ידי שחקנים זדוניים כדי לאתר את המטרות שלהם ולתכנן תוכניות מרושעות.
הבנת היישומים השונים של OSINT
מידע בקוד פתוח אינו זמין רק למי שהוא מיועד. כל אחד יכול לגשת אליו ולהשתמש בו, כולל רשויות ממשלתיות ורשויות אכיפת החוק. למרות היותם זולים ונגישים בקלות, מדינות לאום וסוכנויות הביון שלהן משתמשות ב-OSINT מכיוון שהיא מספקת מודיעין טוב כאשר עושים זאת נכון. ומכיוון שהכל מידע זמין באופן חופשי, קשה מאוד לייחס גישה וניצול לישות אחת.
ארגונים קיצוניים ומחבלים יכולים להשתמש בנשק אותו מידע קוד פתוח כדי לאסוף כמה שיותר נתונים על המטרות שלהם. פושעי סייבר משתמשים גם ב-OSINT כדי ליצור הנדסה חברתית ממוקדת ביותר והתקפות דיוג בחנית.
עסקים משתמשים במידע בקוד פתוח כדי לנתח תחרות, לחזות מגמות בשוק ולזהות הזדמנויות חדשות. אבל אפילו אנשים מבצעים OSINT בשלב מסוים וממגוון סיבות. בין אם מדובר בגוגל על חבר ותיק או על ידוען מועדף, הכל OSINT.
כיצד להשתמש בטכניקות OSINT מרובות
המעבר לעבודה מהבית היה בלתי נמנע, אך היה צורך לזרז את התהליך כולו כאשר COVID-19 פגע. מציאת נקודות תורפה ונתונים נגד אנשים העובדים מהבית, מחוץ לתחום האבטחה המסורתי של ארגונים, היא לפעמים רק חיפוש מקוון מהיר.
אתרי רשתות חברתיות: פושעי סייבר יכולים לאסוף נתונים כמו תחומי עניין אישיים, הישגי עבר, פרטי משפחה, ואפילו מיקומים נוכחיים ואפילו עתידיים של עובדים, סמנכ"לים ומנהלים של ארגוני היעד שלהם. מאוחר יותר הם יכולים להשתמש בזה כדי ליצור הודעות דיוג בחנית, שיחות ומיילים.
גוגל (Google): משתמשים זדוניים יכולים לגוגל מידע כגון סיסמאות ברירת המחדל עבור מותגים ודגמים ספציפיים של ציוד IT והתקני IoT כמו נתבים, מצלמות אבטחה ותרמוסטטים ביתיים.
גיטהוב: כמה חיפושים תמימים ב-GitHub יכולים לחשוף אישורים, מפתחות ראשיים, מפתחות הצפנה ואסימוני אימות עבור אפליקציות, שירותים ומשאבי ענן בקוד מקור פתוח משותף. הפרת Capital One הידועה לשמצה היא דוגמה מצוינת למתקפה כזו.
פריצת גוגל: טכניקת OSINT זו, הידועה גם בשם Google dorking, מאפשרת לפושעי סייבר להשתמש בטכניקות חיפוש מתקדמות של Google כדי למצוא פרצות אבטחה באפליקציות, מידע ספציפי על אנשים, קבצים המכילים אישורי משתמש ועוד.
שודן וסנסיס: Shodan ו-Censys הן פלטפורמות חיפוש עבור מכשירים המחוברים לאינטרנט ומערכות ופלטפורמות בקרה תעשייתיות. ניתן לחדד שאילתות חיפוש כדי למצוא מכשירים ספציפיים עם נקודות תורפה ידועות, מסדי נתונים חיפוש אלסטיים נגישים ועוד.
יישומים של OSINT לשיטות הגנה
עסקים שכבר משתמשים ב-OSINT כדי לזהות הזדמנויות ולחקור מתחרים צריכים להרחיב את היישום שלהם של OSINT לאבטחת סייבר.
מסגרת OSINT, אוסף של כלי OSINT, הוא נקודת התחלה טובה עבור ארגונים לרתום את הכוח של OSINT. זה עוזר לבודקי חדירה וחוקרי אבטחה לגלות ולאסוף נתונים זמינים ואפשריים לניצול באופן חופשי.
כלים כמו Censys ו-Shodan מיועדים בעיקר גם לבדיקת עט. הם מאפשרים לארגונים לזהות ולאבטח את הנכסים המחוברים לאינטרנט שלהם.
שיתוף יתר של נתונים אישיים הוא בעייתי עבור אנשים וארגונים שהם עובדים עבורם. ארגונים צריכים לחנך את העובדים לגבי שימוש בטוח ואחראי במדיה חברתית.
הכשרה למודעות לאבטחת סייבר של עובדים צריכה להיות, לכל הפחות, משימה חצי שנתית. התקפות סייבר בלתי מוצהרות וסימולציות דיוג חייבות להיות חלק מסדנאות ההדרכה הללו.
