Är du ett fan av fitnessfokuserade sociala nätverksappar som Strava? Du är inte ensam. Även militär personal tycker om att spåra och dela sina löpningar. Det låter bra, förutom att all aktivitet och GPS-data som Strava-appen samlar in och publicerar alltid avslöjar den exakta platsen för militärbaser.
Du kanske blir förvånad över att se vilken typ av information som är allmänt tillgänglig på Internet idag. Men det borde inte vara en överraskning, med tanke på hur vi lever i dagarna av överdelning. Vi tillkännager på Twitter och e-postar autosvar om våra semesterplaner, och bjuder i huvudsak in rånare. Säkerhetsproffs kallar det OSINT (open source intelligens), och angripare använder det hela tiden för att identifiera och utnyttja sårbarheter i processer, teknologier och människor. OSINT-data är vanligtvis lätt att samla in, och processen är osynlig för målet. (Därav varför militär underrättelsetjänst använder det tillsammans med andra OSINT-verktyg som HUMIT, ELINT och SATINT.)
De goda nyheterna? Du kan trycka på OSINT för att skydda dina användare. Men först måste du förstå hur angripare utnyttjar OSINT för att tillräckligt utvärdera omfattningen av din attackyta och stärka ditt försvar därefter.
OSINT är ett urgammalt koncept. Traditionellt har öppen källkodsintelligens samlats in via TV, radio och tidningar. Idag finns sådan information över hela Internet, inklusive:
· Sociala och professionella nätverk som Facebook, Instagram och LinkedIn
· Offentliga profiler på dejtingappar
· Interaktiva kartor
· Hälso- och träningsspårare
· OSINT-verktyg som Censys och Shodan
All denna allmänt tillgängliga information hjälper människor att dela äventyr med vänner, hitta oklara platser, hålla reda på mediciner och hitta drömjobb och till och med själsfränder. Men det finns en annan sida av det också. Utan att veta om potentiella mål är denna information lika bekvämt tillgänglig för bedragare och cyberbrottslingar.
Till exempel kan samma ADS-B Exchange-app som du använder för att hålla reda på din älskades flygningar i realtid utnyttjas av illvilliga aktörer för att lokalisera sina mål och skapa ondskefulla planer.
Förstå de olika tillämpningarna av OSINT
Information med öppen källkod är inte bara tillgänglig för dem den är avsedd för. Vem som helst kan komma åt och använda den, inklusive myndigheter och brottsbekämpande myndigheter. Trots att de är billiga och lättillgängliga använder nationalstater och deras underrättelsetjänster OSINT eftersom det ger bra underrättelser när det görs rätt. Och eftersom allt är fritt tillgänglig information är det väldigt svårt att tillskriva åtkomst och användning till en enskild enhet.
Extremistorganisationer och terrorister kan beväpna samma öppen källinformation för att samla in så mycket data om sina mål som möjligt. Cyberkriminella använder också OSINT för att skapa mycket riktade social ingenjörskonst och nätfiskeattacker.
Företag använder information med öppen källkod för att analysera konkurrens, förutsäga marknadstrender och identifiera nya möjligheter. Men även individer utför OSINT någon gång och av en mängd olika anledningar. Oavsett om det är att googla en gammal vän eller en favoritkändis, är allt OSINT.
Hur man använder flera OSINT-tekniker
Övergången till att arbeta hemifrån var oundviklig, men hela processen måste påskyndas när covid-19 drabbade. Att hitta sårbarheter och data mot personer som arbetar hemifrån, utanför den traditionella säkerhetsgränsen för organisationer, är ibland bara en snabb onlinesökning bort.
Sociala nätverkssajter: Cyberkriminella kan samla in data som personliga intressen, tidigare prestationer, familjedetaljer och nuvarande och till och med framtida platser för anställda, VP:er och chefer för deras målorganisationer. De kan senare använda detta för att skapa spear-phishing-meddelanden, samtal och e-postmeddelanden.
Google: Skadliga användare kan Google information som standardlösenord för specifika märken och modeller av IT-utrustning och IoT-enheter som routrar, säkerhetskameror och hemtermostater.
GitHub: Några naiva sökningar på GitHub kan avslöja autentiseringsuppgifter, huvudnycklar, krypteringsnycklar och autentiseringstokens för appar, tjänster och molnresurser i delad, öppen källkod. Den ökända Capital One-överträdelsen är ett utmärkt exempel på en sådan attack.
Google-hackning: Även känd som Google dorking, låter denna OSINT-teknik cyberbrottslingar använda avancerade Google-söktekniker för att hitta säkerhetsbrister i appar, specifik information om individer, filer som innehåller användaruppgifter och mer.
Shodan och Censys: Shodan och Censys är sökplattformar för internetanslutna enheter och industriella styrsystem och plattformar. Sökfrågor kan förfinas för att hitta specifika enheter med kända sårbarheter, tillgängliga elastiska sökdatabaser och mer.
Tillämpningar av OSINT för försvarspraxis
Företag som redan använder OSINT för att identifiera möjligheter och studera konkurrenter måste bredda sin tillämpning av OSINT till cybersäkerhet.
OSINT-ramverk, en samling OSINT-verktyg, är en bra utgångspunkt för företag att utnyttja kraften i OSINT. Det hjälper penetrationstestare och säkerhetsforskare att upptäcka och samla in fritt tillgänglig och potentiellt exploateringsbar data.
Verktyg som Censys och Shodan är också främst designade för penntestning. De tillåter företag att identifiera och säkra sina internetanslutna tillgångar.
Överdelning av personuppgifter är problematiskt för individer och de organisationer de arbetar för. Företag bör utbilda anställda om säker och ansvarsfull användning av sociala medier.
Utbildning om medvetenhet om cybersäkerhet för anställda bör åtminstone vara ett halvårsvis. Oanmälda cyberattacker och nätfiske-simuleringar måste vara en del av dessa utbildningsverkstäder.
