O que é OSINT? Descubra agora!

O que são dados de código aberto?

Dados de código aberto são quaisquer informações que estejam prontamente disponíveis ao público ou que possam ser disponibilizadas mediante solicitação. As fontes OSINT podem incluir:

  • Artigos de jornais e revistas, bem como relatórios da mídia
  • Trabalhos acadêmicos e pesquisas publicadas
  • Livros e outros materiais de referência
  • Atividades de mídia social
  • Dados do censo
  • Listas telefônicas
  • Registros de tribunais
  • Registros de prisões
  • Dados de comércio público
  • Pesquisas públicas
  • Dados de contexto de localização
  • Informações de divulgação de violação ou comprometimento
  • Indicadores de ataques cibernéticos compartilhados publicamente, como endereços IP, hashes de domínio ou de arquivo
  • Dados de registro de certificado ou domínio
  • Dados de vulnerabilidade de aplicativos ou sistemas

Embora a maioria dos dados de código aberto seja acessada por meio da Internet aberta e possa ser indexada com a ajuda de um mecanismo de busca como o Google, ela também pode ser acessada por meio de fóruns mais fechados que não são indexados pelos mecanismos de busca. Embora a maior parte do conteúdo da deep web seja inacessível para os usuários em geral, pois fica atrás de um acesso pago ou requer um login para ser acessado, ele ainda é considerado parte do domínio público.

Também é importante observar que muitas vezes há uma enorme quantidade de dados secundários que podem ser aproveitados de cada fonte aberta de informações. Por exemplo, as contas de mídia social podem ser exploradas para obter informações pessoais, como nome do usuário, data de nascimento, membros da família e local de residência. No entanto, os metadados de arquivos de postagens específicas também podem revelar informações adicionais, como onde a postagem foi feita, o dispositivo usado para criar o arquivo e o autor do arquivo.

Como os dados de código aberto são usados?

No contexto da OSINT, a inteligência refere-se à extração e à análise de dados públicos para obter insights, que são usados para melhorar a tomada de decisões e informar as atividades. Tradicionalmente, a OSINT era uma técnica usada pelas comunidades de segurança nacional e de aplicação da lei. No entanto, nos últimos anos, ela também se tornou um recurso fundamental para a segurança cibernética.

OSINT e segurança cibernética

No âmbito da segurança cibernética, os pesquisadores e analistas de inteligência utilizam dados de código aberto para entender melhor o cenário de ameaças e ajudar a defender organizações e indivíduos de riscos conhecidos em seu ambiente de TI.

Casos de uso de OSINT em segurança cibernética

Na segurança cibernética, há dois casos de uso comuns para OSINT:

  1. Medir o risco para sua própria organização
  2. Compreender o ator, as táticas e os alvos

Medindo seu próprio risco

O teste de penetração (também conhecido como teste de caneta, validação de segurança, avaliação da superfície de ameaça ou hacking ético) é a simulação de um ataque cibernético no mundo real para testar os recursos de segurança cibernética de uma organização e expor vulnerabilidades. O objetivo do teste de penetração é identificar pontos fracos e vulnerabilidades no ambiente de TI e corrigi-los antes que sejam descobertos e explorados por um agente de ameaças.
Embora existam muitos tipos diferentes de testes de penetração, os dois mais comuns no contexto da OSINT são:

Teste de penetração externa: Avalia seus sistemas voltados para a Internet para determinar se há vulnerabilidades exploráveis que exponham dados ou acesso não autorizado ao mundo externo. O teste inclui identificação, enumeração, descoberta e exploração de vulnerabilidades do sistema.

Avaliação da superfície de ameaça: Também conhecida como análise da superfície de ataque, trata-se de mapear quais partes de um sistema precisam ser revisadas e testadas quanto a vulnerabilidades de segurança. O objetivo da análise da superfície de ataque é entender as áreas de risco em um aplicativo, conscientizar os desenvolvedores e especialistas em segurança sobre quais partes do aplicativo estão abertas a ataques, encontrar maneiras de minimizar isso e perceber quando e como a superfície de ataque muda e o que isso significa do ponto de vista do risco.

Teste de penetração em aplicativos da Web: Avalia o seu aplicativo Web usando um processo de três fases: reconhecimento, em que a equipe de segurança descobre informações como o sistema operacional, os serviços e os recursos em uso; descoberta, em que os analistas de segurança tentam identificar vulnerabilidades, como credenciais fracas, portas abertas ou software sem patch; e exploração, em que a equipe aproveita as vulnerabilidades descobertas para obter acesso não autorizado a dados confidenciais.

Entendendo o ator, as táticas e os alvos

Os dados de código aberto são um dos muitos tipos de dados aproveitados pelas equipes de segurança cibernética como parte de um recurso abrangente de inteligência contra ameaças para entender o agente por trás do ataque

A inteligência contra ameaças é o processo pelo qual os dados coletados são analisados para entender os motivos, os alvos e os comportamentos de ataque de um agente de ameaças. A inteligência contra ameaças inclui o uso de dados de código aberto e os combina com fontes de dados fechadas, como telemetria interna, dados coletados na dark web e outras fontes externas para obter um quadro mais completo do cenário de ameaças.

Em geral, os dados de código aberto não têm o contexto necessário para torná-los significativos para as equipes de segurança. Por exemplo, uma publicação em um quadro de mensagens público, por si só, pode não fornecer nenhuma informação útil para as equipes de segurança cibernética. No entanto, ao visualizar essa atividade dentro do contexto de uma estrutura mais ampla de coleta e inteligência contra ameaças, é possível atribuir a atividade a um grupo adversário conhecido, acrescentando assim mais profundidade e cor ao seu perfil, que pode ser usado para defender a organização desse agente de ameaça específico.

OSINT: uma via de mão dupla

As informações de código aberto estão disponíveis para todos. Isso significa que elas também podem ser usadas para fins nefastos por agentes de ameaças e grupos adversários com a mesma facilidade com que são acessadas por profissionais de segurança cibernética ou pela comunidade de inteligência.

Um dos motivos mais comuns pelos quais os criminosos cibernéticos utilizam a OSINT é para fins de engenharia social. Eles geralmente coletam informações pessoais de vítimas em potencial por meio de perfis de mídia social ou outras atividades on-line para criar um perfil do indivíduo que pode ser usado para personalizar ataques de phishing. A OSINT também pode ser aproveitada para evasão de detecção, por exemplo, ao analisar a inteligência divulgada publicamente, os agentes de ameaças sabem onde as organizações podem colocar linhas de defesa e procurar métodos alternativos de ataques.

Outra técnica comum usada pelos hackers é o Google hacking, que também é conhecido como Google dorking. O hacking do Google envolve o uso do mecanismo de pesquisa e dos aplicativos do Google para executar pesquisas de comando altamente específicas que identificarão vulnerabilidades do sistema ou informações confidenciais.
Por exemplo, um criminoso cibernético pode executar uma pesquisa de arquivos para documentos que contenham a frase “informações confidenciais, mas não classificadas”. Ele pode utilizar ferramentas para procurar por configurações incorretas ou falhas de segurança no código de um site. Essas vulnerabilidades podem então ser exploradas como um ponto de entrada para futuros ataques de ransomware ou malware.

Os invasores também são conhecidos por influenciar as pesquisas no Google, configurando uma rede de sites falsos que contêm dados de código aberto essencialmente não confiáveis. Os adversários divulgam essas informações errôneas para enganar os rastreadores e leitores da Web ou induzi-los a distribuir malware.

Técnicas de OSINT

Talvez o maior desafio associado à OSINT seja gerenciar a quantidade realmente impressionante de dados públicos, que cresce diariamente. Como os seres humanos não conseguem gerenciar tantas informações, as organizações precisam automatizar a coleta e a análise de dados e aproveitar as ferramentas de mapeamento para ajudar a visualizar e conectar os pontos de dados com mais clareza.

Com a ajuda do aprendizado de máquina e da inteligência artificial, uma ferramenta de OSINT pode ajudar os profissionais de OSINT a coletar e armazenar grandes quantidades de dados. Essas ferramentas também podem encontrar links e padrões significativos entre diferentes partes da informação.

Além disso, as organizações devem desenvolver uma estratégia subjacente clara para definir quais fontes de dados desejam coletar. Isso ajudará a evitar sobrecarregar o sistema com informações de valor limitado ou de confiabilidade questionável. Para isso, as organizações devem definir claramente suas metas e objetivos no que diz respeito à inteligência de código aberto.

Técnicas de coleta de OSINT

Em termos gerais, a coleta de inteligência de código aberto se divide em duas categorias: coleta passiva e coleta ativa.

  1. coleta passiva combina todos os dados disponíveis em um único local de fácil acesso. Com a ajuda do aprendizado de máquina (ML) e da inteligência artificial (IA), as plataformas de inteligência contra ameaças podem ajudar a gerenciar e priorizar esses dados, além de descartar alguns pontos de dados com base em regras definidas pela organização.
  2. coleta ativa usa uma variedade de técnicas investigativas para identificar informações específicas. A coleta ativa de dados pode ser usada ad-hoc para complementar os perfis de ameaças cibernéticas identificados pelas ferramentas de dados passivos ou para apoiar uma investigação específica. As ferramentas de coleta de OSINT comumente conhecidas incluem pesquisas de registro de domínio ou certificado para identificar o proprietário de determinados domínios. O sandboxing público de malware para verificar aplicativos é outro exemplo de coleta de OSINT.

Estrutura OSINT

Embora exista uma enorme quantidade de informações disponíveis publicamente que podem ser aproveitadas pelos profissionais de segurança cibernética, o grande volume de dados OSINT – que está disperso em muitas fontes diferentes – pode dificultar que as equipes de segurança extraiam os principais pontos de dados. Além disso, é importante que as informações relevantes e de alto valor coletadas por meio da atividade de OSINT sejam integradas às ferramentas e aos sistemas de segurança cibernética.

A estrutura OSINT é uma metodologia que integra dados, processos, métodos, ferramentas e técnicas para ajudar a equipe de segurança a identificar informações sobre um adversário ou suas ações com rapidez e precisão.
Uma estrutura OSINT pode ser usada para:

  • Estabelecer o rastro digital de uma ameaça conhecida
  • Reunir toda a inteligência disponível sobre a atividade, os interesses, as técnicas, a motivação e os hábitos de um adversário
  • Categorizar os dados por fonte, ferramenta, método ou objetivo
  • Identificar oportunidades para aprimorar a postura de segurança existente por meio de recomendações de sistema.

Problemas com a inteligência de código aberto

A OSINT é utilizada regularmente pelas comunidades de inteligência, bem como pelas equipes de segurança nacional e de aplicação da lei para proteger as organizações e a sociedade contra ameaças de todos os tipos.
Entretanto, conforme observado acima, a OSINT também pode ser aproveitada com a mesma facilidade por motivos nefastos por criminosos cibernéticos e outros agentes de ameaças. Além disso, nos últimos anos, a OSINT suscitou debates sobre como as informações de domínio público podem ser usadas de forma segura e responsável. Alguns dos problemas mais comuns incluem:

Legalidade

O acesso, a análise e a distribuição de informações disponíveis publicamente são perfeitamente legais. Lembre-se apenas de que elas podem ser usadas por invasores para apoiar ou promover atividades ilegais, disseminando dados enganosos ou mal-intencionados em determinadas comunidades. Os hacktivistas, em especial, são conhecidos por distribuir dados publicamente para influenciar opiniões públicas.

Eticidade

Embora uma grande quantidade de informações esteja disponível on-line, as pessoas e as empresas devem usá-las com ética. Ao usar a OSINT, os profissionais devem garantir que estão fazendo isso para fins legítimos e que as informações não sejam usadas para explorar, assediar, excluir ou prejudicar outras pessoas.

Privacidade

Uma quantidade chocante de informações sobre indivíduos privados está disponível em domínio público. Ao reunir informações de perfis de mídia social, atividades on-line, registros públicos e outras fontes, é possível desenvolver um perfil detalhado dos hábitos, interesses e comportamentos de uma pessoa. Embora grande parte dos dados disponíveis sobre consumidores individuais tenha sido compartilhada pelos próprios consumidores, eles geralmente o fazem sem entender completamente as implicações dessa atividade. O debate continua sobre quais informações as marcas e empresas devem ser capazes de coletar e armazenar quando os consumidores usam seus serviços, visitam suas lojas ou interagem on-line – e como elas podem usar essas informações no futuro.
Saiba mais.

Fonte

OSINT – CrowdStrike

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Facebook Instagram Twitter