Você é fã de aplicativos de redes sociais focados em fitness, como o Strava? Você não está sozinho. Até os militares gostam de rastrear e compartilhar suas corridas. Parece ótimo, exceto que todas as atividades e dados de GPS que o aplicativo Strava coleta e publica invariavelmente expõem a localização precisa das bases militares.
Você pode se surpreender ao ver o tipo de informação que está disponível publicamente na Internet hoje. Mas não deveria ser uma surpresa, considerando como vivemos nos dias de compartilhamento excessivo. Anunciamos no Twitter e enviamos por e-mail respostas automáticas sobre nossos planos de férias, basicamente convidando ladrões. Os profissionais de segurança chamam isso OSINT (inteligência de código aberto), e os invasores o usam o tempo todo para identificar e explorar vulnerabilidades em processos, tecnologias e pessoas. Os dados OSINT geralmente são fáceis de coletar e o processo é invisível para o destino. (Daí por que a inteligência militar o usa junto com outras ferramentas OSINT como HUMIT, ELINT e SATINT.)
As boas notícias? Você pode tocar em OSINT para proteger seus usuários. Mas primeiro você terá que entender como os invasores exploram o OSINT para avaliar suficientemente o escopo de sua superfície de ataque e reforçar suas defesas de acordo.
OSINT é um conceito antigo. Tradicionalmente, a inteligência de código aberto era coletada por meio de TV, rádio e jornais. Hoje, essas informações existem em toda a Internet, incluindo:
· Redes sociais e profissionais como Facebook, Instagram e LinkedIn
· Perfis públicos em aplicativos de namoro
· Mapas interativos
· Rastreadores de saúde e fitness
· Ferramentas OSINT como Censys e Shodan
Todas essas informações disponíveis publicamente ajudam as pessoas a compartilhar aventuras com amigos, encontrar locais obscuros, acompanhar medicamentos e encontrar empregos dos sonhos e até almas gêmeas. Mas há um outro lado disso também. Sem o conhecimento de alvos em potencial, essas informações estão disponíveis de forma conveniente para golpistas e cibercriminosos.
Por exemplo, o mesmo aplicativo ADS-B Exchange que você usa para acompanhar os voos de seu ente querido em tempo real pode ser explorado por agentes mal-intencionados para localizar seus alvos e elaborar planos nefastos.
Entendendo as diferentes aplicações do OSINT
As informações de código aberto não estão disponíveis apenas para aqueles a que se destinam. Qualquer pessoa pode acessá-lo e utilizá-lo, incluindo agências governamentais e policiais. Apesar de ser barato e de fácil acesso, os estados-nação e suas agências de inteligência usam o OSINT porque ele fornece boa inteligência quando bem feito. E como todas as informações estão disponíveis gratuitamente, é muito difícil atribuir acesso e utilização a uma única entidade.
Organizações extremistas e terroristas podem usar as mesmas informações de código aberto para coletar o máximo de dados possível sobre seus alvos. Os cibercriminosos também usam o OSINT para criar ataques altamente direcionados de engenharia social e spear phishing.
As empresas usam informações de código aberto para analisar a concorrência, prever tendências de mercado e identificar novas oportunidades. Mas até mesmo indivíduos executam OSINT em algum momento e por vários motivos. Seja pesquisando um velho amigo ou uma celebridade favorita no Google, é tudo OSINT.
Como usar várias técnicas OSINT
A mudança para o trabalho em casa era inevitável, mas todo o processo teve que ser acelerado quando o COVID-19 chegou. Encontrar vulnerabilidades e dados contra pessoas que trabalham em casa, fora do perímetro de segurança tradicional das organizações, às vezes está apenas a uma rápida pesquisa online.
Sites de redes sociais: Os cibercriminosos podem coletar dados como interesses pessoais, realizações passadas, detalhes da família e localizações atuais e até futuras de funcionários, VPs e executivos de suas organizações-alvo. Mais tarde, eles podem usar isso para criar mensagens, chamadas e e-mails de spear phishing.
Google: Usuários mal-intencionados podem pesquisar no Google informações como senhas padrão para marcas e modelos específicos de equipamentos de TI e dispositivos de IoT, como roteadores, câmeras de segurança e termostatos domésticos.
GitHub: Algumas pesquisas ingênuas no GitHub podem revelar credenciais, chaves mestras, chaves de criptografia e tokens de autenticação para aplicativos, serviços e recursos de nuvem em código-fonte aberto compartilhado. A infame violação da Capital One é um excelente exemplo de tal ataque.
Invasão do Google: Também conhecida como Google dorking, essa técnica OSINT permite que os cibercriminosos usem técnicas avançadas de pesquisa do Google para encontrar vulnerabilidades de segurança em aplicativos, informações específicas sobre indivíduos, arquivos contendo credenciais de usuários e muito mais.
Shodan e Censys: Shodan e Censys são plataformas de busca para dispositivos conectados à Internet e sistemas e plataformas de controle industrial. As consultas de pesquisa podem ser refinadas para encontrar dispositivos específicos com vulnerabilidades conhecidas, bancos de dados de pesquisa elásticos acessíveis e muito mais.
Aplicações de OSINT para Práticas de Defesa
As empresas que já estão usando o OSINT para identificar oportunidades e estudar os concorrentes precisam ampliar sua aplicação do OSINT à segurança cibernética.
Estrutura OSINT, uma coleção de ferramentas OSINT, é um bom ponto de partida para as empresas aproveitarem o poder do OSINT. Ele ajuda testadores de penetração e pesquisadores de segurança a descobrir e coletar dados disponíveis gratuitamente e potencialmente exploráveis.
Ferramentas como Censys e Shodan também são projetadas principalmente para testes de caneta. Eles permitem que as empresas identifiquem e protejam seus ativos conectados à Internet.
O compartilhamento excessivo de dados pessoais é problemático para os indivíduos e as organizações para as quais trabalham. As empresas devem educar os funcionários sobre o uso seguro e responsável das mídias sociais.
O treinamento de conscientização de segurança cibernética dos funcionários deve ser, no mínimo, um empreendimento semestral. Ataques cibernéticos não anunciados e simulações de phishing devem fazer parte desses workshops de treinamento.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
