Er du en fan av treningsfokuserte sosiale nettverksapper som Strava? Du er ikke alene. Selv militært personell liker å spore og dele løpene sine. Det høres bra ut, bortsett fra at all aktivitet og GPS-data som Strava-appen samler inn og publiserer, avslører alltid den nøyaktige plasseringen av militærbaser.
Du kan bli overrasket over å se hva slags informasjon som er offentlig tilgjengelig på Internett i dag. Men det burde ikke være en overraskelse, gitt hvordan vi lever i dagene med overdeling. Vi kunngjør på Twitter og e-poster autosvar om ferieplanene våre, og inviterer egentlig røvere. Sikkerhetsfagfolk kaller det OSINT (åpen kildekodeintelligens), og angripere bruker det hele tiden for å identifisere og utnytte sårbarheter i prosesser, teknologier og mennesker. OSINT-data er vanligvis enkle å samle inn, og prosessen er usynlig for målet. (Derfor bruker militær etterretning det sammen med andre OSINT-verktøy som HUMIT, ELINT og SATINT.)
De gode nyhetene? Du kan trykke på OSINT for å beskytte brukerne dine. Men først må du forstå hvordan angripere utnytter OSINT for å evaluere omfanget av angrepsoverflaten tilstrekkelig og styrke forsvaret ditt deretter.
OSINT er et eldgammelt konsept. Tradisjonelt ble etterretning med åpen kildekode samlet gjennom TV, radio og aviser. I dag finnes slik informasjon over hele Internett, inkludert:
· Sosiale og profesjonelle nettverk som Facebook, Instagram og LinkedIn
· Offentlige profiler på datingapper
· Interaktive kart
· Helse- og treningssporere
· OSINT-verktøy som Censys og Shodan
All denne offentlig tilgjengelige informasjonen hjelper folk å dele eventyr med venner, finne obskure steder, holde styr på medisiner og finne drømmejobber og til og med sjelevenner. Men det er en annen side ved det også. Ukjent med potensielle mål, er denne informasjonen like lett tilgjengelig for svindlere og nettkriminelle.
For eksempel kan den samme ADS-B Exchange-appen som du bruker til å holde styr på flyreisene til din kjære i sanntid utnyttes av ondsinnede aktører til å lokalisere målene deres og lage uhyggelige planer.
Forstå de forskjellige applikasjonene til OSINT
Informasjon om åpen kildekode er ikke bare tilgjengelig for de den er ment for. Alle kan få tilgang til og bruke den, inkludert myndigheter og rettshåndhevelsesbyråer. Til tross for at de er billige og lett tilgjengelige, bruker nasjonalstater og deres etterretningsbyråer OSINT fordi det gir god etterretning når det gjøres riktig. Og siden alt er fritt tilgjengelig informasjon, er det veldig vanskelig å tilskrive tilgang og bruk til en enkelt enhet.
Ekstremistiske organisasjoner og terrorister kan bevæpne den samme åpen kildekodeinformasjonen for å samle inn så mye data om målene deres som mulig. Nettkriminelle bruker også OSINT til å lage svært målrettede sosial manipulering og phishing-angrep.
Bedrifter bruker åpen kildekode-informasjon for å analysere konkurranse, forutsi markedstrender og identifisere nye muligheter. Men selv enkeltpersoner utfører OSINT på et tidspunkt og av en rekke årsaker. Enten det er å google en gammel venn eller en favorittkjendis, alt er OSINT.
Hvordan bruke flere OSINT-teknikker
Skiftet til å jobbe hjemmefra var uunngåelig, men hele prosessen måtte fremskyndes da COVID-19 rammet. Å finne sårbarheter og data mot folk som jobber hjemmefra, utenfor den tradisjonelle sikkerhetsperimeteren til organisasjoner, er noen ganger bare et raskt søk unna.
Nettsamfunn: Cyberkriminelle kan samle inn data som personlige interesser, tidligere prestasjoner, familiedetaljer og nåværende og til og med fremtidige plasseringer av ansatte, VP-er og ledere i målorganisasjonene deres. De kan senere bruke dette til å lage spear-phishing-meldinger, anrop og e-poster.
Google: Ondsinnede brukere kan Google informasjon som standard passord for spesifikke merker og modeller av IT-utstyr og IoT-enheter som rutere, sikkerhetskameraer og hjemmetermostater.
GitHub: Noen få naive søk på GitHub kan avsløre legitimasjon, hovednøkler, krypteringsnøkler og autentiseringstokener for apper, tjenester og skyressurser i delt åpen kildekode. Det beryktede Capital One-bruddet er et godt eksempel på et slikt angrep.
Google hacking: Denne OSINT-teknikken, også kjent som Google-dorking, lar nettkriminelle bruke avanserte Google-søketeknikker for å finne sikkerhetssårbarheter i apper, spesifikk informasjon om enkeltpersoner, filer som inneholder brukerlegitimasjon og mer.
Shodan og Censys: Shodan og Censys er søkeplattformer for Internett-tilkoblede enheter og industrielle kontrollsystemer og plattformer. Søkespørringer kan avgrenses for å finne spesifikke enheter med kjente sårbarheter, tilgjengelige elastiske søkedatabaser og mer.
Applikasjoner av OSINT for forsvarspraksis
Bedrifter som allerede bruker OSINT for å identifisere muligheter og studere konkurrenter, må utvide sin anvendelse av OSINT til cybersikkerhet.
OSINT Framework, en samling OSINT-verktøy, er et godt utgangspunkt for bedrifter for å utnytte kraften til OSINT. Det hjelper penetrasjonstestere og sikkerhetsforskere med å oppdage og samle inn fritt tilgjengelige og potensielt utnyttbare data.
Verktøy som Censys og Shodan er også først og fremst designet for penn-testing. De lar bedrifter identifisere og sikre sine Internett-tilkoblede eiendeler.
Overdeling av personopplysninger er problematisk for enkeltpersoner og organisasjonene de jobber for. Bedrifter bør utdanne ansatte om sikker og ansvarlig bruk av sosiale medier.
Opplæring av ansattes cybersikkerhetsbevissthet bør i det minste være et halvårlig foretak. Uanmeldte nettangrep og phishing-simuleringer må være en del av disse treningsverkstedene.
