Дослідження на основі відкритих джерел або OSINT є важливим, але часто недооціненим елементом кібербезпеки. Оскільки інформація, яку можна дізнатись про певну організацію в Інтернеті, доступна і для кіберзлочинців.
Що таке OSINT?
OSINT (Open Source Intelligence) або розвідка з відкритих джерел — це процес збору та аналізу інформації з публічно доступних джерел. Цей метод використовується в різних сферах, включаючи безпеку, розслідування, дослідження ринку та журналістику. OSINT дозволяє виявити цінну інформацію без потреби доступу до конфіденційних чи закритих джерел.
Вперше термін OSINT був використаний військовими та розвідувальними службами для позначення збору стратегічно важливої, але загальнодоступної інформації у питаннях національної безпеки. З появою Інтернету, соціальних медіа та цифрових сервісів з’явились широкі можливості для збору інформації про ІТ-інфраструктуру організації, а також її співробітників.
Оскільки OSINT передбачає пошук загальнодоступної інформації, що є цілком законною діяльністю, принаймні, у більшості країн. У випадку захисту даних паролем або будь-яким іншим способом, отримання доступу до них може бути порушенням.
Основна ціль ІТ-спеціаліста у сфері кібербезпеки – знайти будь-яку інформацію, яка може становити ризик для організації та зменшити наслідки до того, як зловмисники скористаються цими даними у своїх цілях. Для цього необхідно робити регулярне тестування, щоб знайти слабкі місця.
Читайте також: Хто і як в Україні може використовувати ваші персональні дані?
Основні етапи OSINT
1. Визначення цілей:
- Зрозуміти, яку інформацію ви шукаєте та з якою метою.
- Визначити ключові слова, фрази та параметри пошуку.
2. Збір інформації:
- Використовувати різноманітні джерела для збору інформації.
- Застосовувати спеціальні інструменти та техніки для ефективного збору даних.
3. Аналіз даних:
- Перевіряти достовірність зібраної інформації.
- Вивчати зібрані дані, щоб виявити закономірності, тенденції та важливі деталі.
4. Документування та звітування:
- Створювати звіти на основі аналізу даних.
- Документувати процес збору та аналізу інформації для подальшого використання.
Основні джерела OSINT
Соціальні мережі:
- Facebook, Twitter, LinkedIn, Instagram, TikTok.
- Використання пошукових запитів, хештегів та спеціалізованих інструментів для моніторингу соціальних мереж.
Пошукові системи:
- Google, Bing, DuckDuckGo, Brave.
- Використання операторів пошуку для точнішого пошуку інформації.
Публічні бази даних та реєстри:
- Реєстри компаній, патенти, доменні імена, судові рішення.
- Спеціалізовані сайти та інструменти для доступу до цих даних.
Новини та медіа:
- Новинні сайти, блоги, онлайн-журнали.
- Використання агрегаторів новин для моніторингу актуальних подій.
Форуми та дошки оголошень:
- Reddit, Quora, спеціалізовані форуми.
- Аналіз обговорень та коментарів для отримання інформації.
Геолокаційні дані:
- Google Maps, OpenStreetMap, геотеги в соціальних мережах.
- Використання інструментів для аналізу геолокаційної інформації.
Приклади використання OSINT
Кібербезпека:
- Виявлення уразливостей в системах, аналіз загроз.
- Моніторинг активності кіберзлочинців.
Розслідування:
- Пошук інформації про підозрюваних, встановлення зв’язків між людьми та подіями.
- Аналіз соціальних мереж для отримання додаткових даних.
Журналістика:
- Збір інформації для статей та розслідувань.
- Моніторинг актуальних подій та тенденцій.
Бізнес-аналітика:
- Дослідження ринку, аналіз конкурентів.
- Виявлення нових можливостей та ризиків.
Як спеціалісти з безпеки можуть використовувати OSINT
Для спеціалістів з безпеки метод використання OSINT допомагає знайти загальнодоступну інформацію про внутрішню діяльність компанії, а також дані за її межами. Іноді конфіденційна інформація міститься в метаданих, які організація випадково опублікувала.
Серед таких даних:
- відкриті порти та незахищені підключені пристрої;
- неоновлене програмне забезпечення;
- версії програмного забезпечення, назви пристроїв, мережі та IP-адреси;
- витік таких даних, як власний код на GitHub.
Крім цього, веб-сайти та соціальні мережі можуть бути джерелом інформації, особливо про співробітників. Постачальники та партнери можуть також надавати доступ до певних деталей вашого ІТ-середовища, які краще було б тримати в обмеженому доступі. Крім цього, існує велика кількість неіндексованих веб-сайтів та файлів, відомих під назвою “глибинна мережа”, які залишаються технічно загальнодоступними.
Як зловмисники використовують OSINT
Звичайно, існує і зворотний бік. Оскільки інформація є загальнодоступною, то кожен може отримати до неї доступ, включно з кіберзлочинцями. Серед найпоширеніших прикладів:
Пошук у соціальних мережах особистої інформації співробітників та даних щодо їх роботи, які можуть використовуватись для вибору цілей фішингових атак. LinkedIn добре підходить для дослідження на основі відкритих джерел. Хоча інші соціальні мережі також містять дати народження, імена дітей та домашніх тварин, які часто використовуються у паролях користувачів.
Сканування невиправленого програмного забезпечення, відкритих портів та неправильно налаштованих хмарних сховищ стало порівняно дешевим та простим завдяки потужності хмарних обчислень. Зловмисники можуть також використовувати такі веб-сайти, як GitHub, для отримання облікових даних та іншої інформації, яка могла стати доступною у випадку витоку. Іноді паролі та ключі шифрування вбудовуються в код, саме так було скомпрометовано мережу компанії Uber через витік на GitHub.
Популярні інструменти для OSINT
Для спеціалістів з безпеки, які прагнуть використовувати OSINT як частину управління кіберризиками, важливо почати з чіткої стратегії. Спочатку необхідно з’ясувати, який результат Ви хочете отримати – виявляти слабкі місця в мережі та уразливості програмного забезпечення чи дізнаватись, яку інформацію поширюють співробітники у соцмережах.
Потім потрібно скласти список інструментів та технік, які Ви хочете використовувати для збору даних та управління ними. Обсяги задіяних даних вимагатимуть високого ступеня автоматизації.
Серед поширених інструментів:
- Shodan: для сканування пристроїв Інтернету речей, OT-систем, відкритих портів та помилок.
- Maltego: для викриття прихованих зав’язків між користувачами, доменами, компаніями, власниками документів та іншими організаціями, а також візуалізації за допомогою простого інтерфейсу.
- Metagoofil: для збору метаданих із загальнодоступних документів, щоб надати користувачам інформацію про ІТ-системи (дерева каталогів, імена серверів тощо).
- Google Dorking: для пошуку певної інформації, зокрема шляхом створення конкретних запитів користувачі можуть отримати доступ до серверів, веб-сторінок та конфіденційних даних.
- Recon-ng: Фреймворк для збору інформації з відкритих джерел.
- theHarvester: Інструмент для збору електронних адрес, піддоменів, IP-адрес та імен хостів.
- Spiderfoot: Автоматизований інструмент OSINT для збору та аналізу даних.
Крім цього, варто виділити два великих сховища – OSINT Framework та OSINT.Link, які можна використовувати для збору інформації із загальнодоступних джерел.
Висновок
OSINT — це потужний інструмент, який дозволяє знаходити цінну інформацію з відкритих джерел. Використання OSINT потребує навичок роботи з інструментами та розуміння методик збору та аналізу даних. Важливо також враховувати етичні та правові аспекти при зборі інформації.
У будь-якому випадку OSINT стає все важливішою частиною кібербезпеки, а розробка правильної стратегії може покращити управління ризиками компанії.
