Inteligência de código aberto (OSINT)

Inteligência de código aberto (OSINT) é o ato de coletar e analisar dados disponíveis publicamente para fins de inteligência.

O que são dados de código aberto?

Dados de código aberto são quaisquer informações que estão prontamente disponíveis ao público ou podem ser disponibilizadas mediante solicitação. As fontes de OSINT podem incluir:

• Artigos de jornais e revistas, bem como reportagens da mídia
• Artigos acadêmicos e pesquisas publicadas
• Livros e outros materiais de referência
• Atividade nas redes sociais
• Dados do censo
• Listas telefônicas
• Processos judiciais
• Registros de prisão
• Dados de negociação pública
• Pesquisas públicas
• Dados de contexto de localização
• Informações de divulgação de ataque ou comprometimento
• Indicadores de ciber ataque compartilhados publicamente, como endereços IP, domínio ou hash de arquivo
• Dados de registro de certificado ou domínio
• Dados de vulnerabilidade de aplicações ou sistemas

Embora a maioria dos dados de código abertos seja acessada pela Internet aberta e possa ser indexada com a ajuda de um mecanismo de pesquisa como o Google, eles também podem ser acessados por meio de fóruns mais fechados que não são indexados por mecanismos de pesquisa.s Apesar de a maior parte do conteúdo da deep web ser inacessível aos usuários gerais porque está atrás de um paywall ou exigir um login para acesso, ele ainda é considerado parte do domínio público.

Também é importante observar que, muitas vezes, há uma quantidade enorme de dados secundários que podem ser aproveitados de cada código aberto de informação. Por exemplo, contas de mídia social podem ser mineradas em busca de informações pessoais, como nome do usuário, data de nascimento, membros da família e local de residência. No entanto, os metadados de arquivos de publicações específicas também podem revelar informações adicionais, como onde a publicação foi feita, o dispositivo usado para criar o arquivo e o autor.

Como os dados de código aberto são usados?

No contexto da OSINT, inteligência se refere à extração e análise de dados públicos para obter insights, que são então usados para melhorar a tomada de decisões e informar atividades. Tradicionalmente, a OSINT era uma técnica usada pelas comunidades de segurança nacional e de aplicação da lei. No entanto, nos últimos anos, tornou-se também uma capacidade fundamental dentro da cibersegurança.

OSINT e cibersegurança

No âmbito da cibersegurança, pesquisadores e analistas de inteligência aproveitam dados de código aberto para entender melhor o cenário de ameaças e ajudar a defender organizações e indivíduos de riscos conhecidos em seu ambiente de TI.

Casos de uso de OSINT em cibersegurança

Dentro da cibersegurança, há dois casos de uso comuns para OSINT:

1. Medir o risco para sua própria organização
2. Compreende o ator, as táticas e os alvos

Medindo seu próprio risco

O teste de intrusão (também conhecido como teste de penetração, validação de segurança, avaliação de superfície de ameaça ou hacking ético) é a simulação de um ciber ataque do mundo real, a fim de testar as capacidades de cibersegurança de uma organização e expor as vulnerabilidades. O objetivo dos testes de intrusão é identificar fragilidades e vulnerabilidades no ambiente de TI e corrigi-las antes que sejam descobertas e exploradas por um ator de ameaças.

Embora existam muitos tipos de testes de intrusão, os dois mais comuns no contexto de OSINT são:

• Teste de intrusão externo: avalia seus sistemas voltados para a Internet para determinar se há vulnerabilidades exploráveis que exponham dados ou acesso não autorizado ao mundo externo. O teste inclui a identificação, enumeração, descoberta e exploração de vulnerabilidades do sistema.
• Avaliação da superfície de ameaça: também conhecida como análise de superfície de ataque, consiste em mapear quais partes de um sistema precisam ser revisadas e testadas quanto à vulnerabilidade de segurança. O objetivo da análise de superfície de ataque é entender as áreas de risco em uma aplicação, conscientizar os desenvolvedores e especialistas em segurança sobre quais partes da aplicação estão abertas a ataques, encontrar maneiras de minimizar isso e observar quando e como a superfície de ataque muda e o que isso significa de uma perspectiva de risco.
• Teste de intrusão de aplicação da Web: avalia sua aplicação da Web usando um processo de três fases: reconhecimento, na qual a equipe de segurança descobre informações como o sistema operacional, serviços e recursos em uso; descoberta, na qual os analistas de segurança tentam identificar vulnerabilidades, como credenciais fracas, porta aberta ou software não corrigido; e exploração, na qual a equipe aproveita a vulnerabilidade descoberta para obter acesso não autorizado a dados confidenciais.

Compreendendo o ator, as táticas e os alvos

Dados de código aberto são um dos muitos tipos de dados aproveitados pelas equipes de cibersegurança como parte de uma capacidade abrangente de inteligência de ameaças para entender o ator por trás do ataque

Inteligência de ameaças é o processo pelo qual os dados coletados são analisados para entender os motivos, os alvos e o comportamento de ataque de um ator de ameaças. A inteligência de ameaças inclui o uso de dados de código aberto e os combina com dados de fontes fechadas, como telemetria interna, dados coletados da dark web e outras fontes externas para reunir uma imagem mais completa do cenário de ameaças.

Em geral, os dados de código aberto não têm o contexto necessário para torná-los significativos para as equipes de segurança. Por exemplo, uma publicação em um quadro de mensagens público por si só pode não fornecer nenhuma informação útil para as equipes de cibersegurança. No entanto, ao visualizar essa atividade dentro do contexto de um framework mais amplo de coleta e inteligência de ameaças, é possível atribuir a atividade a um grupo adversário conhecido, adicionando mais profundidade ao seu perfil. Isso, portanto, pode ser usado para defender a organização desse ator de ameaças específico.

OSINT: uma via de mão dupla

As informações sobre código aberto estão disponíveis para todos. Isso significa que elas também podem ser usadas de forma mal-intencionada por atores de ameaças e grupos de adversários com a mesma facilidade com que é acessada por profissionais de cibersegurança ou pela comunidade de inteligência.

Um dos motivos mais comuns pelos quais os ciber criminosos utilizam OSINT é para fins de engenharia social. Eles geralmente coletam informações pessoais de possíveis vítimas por meio de perfis de mídia social ou outras atividades on-line para criar um perfil do indivíduo que pode ser usado para personalizar ataques de phishing. Também é possível usar a OSINT para evasão de detecção, por exemplo, ao revisar informações divulgadas publicamente, descobrir onde uma organização pode estabelecer linhas de defesa e buscar métodos alternativos de ataque.

Outra técnica comum usada por hackers é o Google hacking, também conhecido como Google dorking. O Google hacking envolve o uso do mecanismo e aplicações de pesquisa do Google para executar pesquisas de comando altamente específicas que identificarão as vulnerabilidades do sistema ou informações confidenciais. Por exemplo, um ciber criminoso pode fazer uma pesquisa de arquivos para encontrar documentos que contenham a frase “informações confidenciais, mas não classificadas”. Essa pessoa pode usar ferramentas de varredura para qualquer erro de configuração ou lacunas de segurança no código de um site. Essas vulnerabilidades podem ser exploradas como um ponto de entrada para futuros ataques de ransomware ou malware.

Invasores também são conhecidos por influenciar pesquisas do Google ao criar uma rede de sites falsos que contêm dados de código abertos essencialmente não confiáveis. Adversários divulgam essas informações incorretas in the wild para enganar os rastreadores e leitores da Web ou induzi-los a distribuir malware.

Técnicas de OSINT

Talvez o maior desafio associado à OSINT seja gerenciar a grande quantidade de dados públicos, que cresce diariamente. Como os humanos não conseguem gerenciar tanta informação, as organizações precisam automatizar a coleta e a análise de dados e usar ferramentas de mapeamento para visualizar e conectar os pontos de dados com mais clareza.

Com a ajuda do machine learning e da inteligência artificial, uma ferramenta de OSINT pode ajudar os profissionais de OSINT a coletar e armazenar grandes volume de dados. Essas ferramentas também podem encontrar links e padrões significativos entre diferentes partes informações.

Além disso, a organização deve desenvolver uma estratégia subjacente clara para definir quais fontes de dados deseja coletar. Isso ajudará a evitar a sobrecarga do sistema com informações de valor limitado ou confiabilidade questionável. Para isso, a organização deve definir claramente suas metas e objetivos no que diz respeito à inteligência de código aberto.

Técnicas de coleta de OSINT

Em termos gerais, a coleta de inteligência de código aberto se divide em duas categorias: coleta passiva e coleta ativa.

1. A coleta passiva combina todos os dados disponíveis em um local de fácil acesso. Com a ajuda do machine learning (ML) e da inteligência artificial (IA), as plataformas de inteligência de ameaças podem auxiliar no gerenciamento e na priorização desses dados, bem como descartar alguns pontos de dados com base em regras definidas pela organização.
2. A coleta de ativos usa uma variedade de técnicas investigativas para identificar informações específicas. A coleta de dados pode ser usada ad-hoc para complementar perfis de ciberameaça identificados pelas ferramentas de dados passivos ou para dar suporte a uma investigação específica. As ferramentas de coleta de OSINT mais conhecidas incluem pesquisas de registro de domínio ou certificado para identificar o proprietário de determinados domínios. O sandbox de malware público para executar varredura de aplicações é outro exemplo de coleta de OSINT.

Framework de OSINT

Mesmo com uma enorme quantidade de informações disponíveis publicamente que podem ser usadas por profissionais de cibersegurança, o grande volume de dados de OSINT —– que estão dispersos em muitas fontes diferentes — pode dificultar que as equipes de segurança extraiam pontos de dados importantes. Além disso, é importante que as informações relevantes e de alto valor coletadas pela atividade de OSINT sejam integradas a ferramentas e sistemas de cibersegurança.

O framework de OSINT é uma metodologia que integra dados, processos, métodos, ferramentas e técnicas para ajudar a equipe de segurança a identificar informações sobre um adversário ou suas ações de forma rápida e precisa.

Um framework de OSINT pode ser usado para:

• Estabelecer a pegada digital de uma ameaça conhecida
• Reunir todas as informações de disponibilidade sobre a atividade, interesses, técnicas, motivação e hábitos de um adversário
• Categorizar os dados por fonte, ferramenta, método ou objetivo
• Identificar oportunidades para melhorar a postura de segurança existente por meio de recomendações do sistema

Problemas com a inteligência de código aberto

A OSINT é frequentemente utilizada por comunidades de inteligência, bem como por equipes de segurança nacional e autoridades policiais para proteger organizações e a sociedade de ameaças de todos os tipos.

No entanto, como observado acima, a OSINT também pode ser facilmente aproveitada para fins nefastos por ciber criminosos e outros atores de ameaças. Além disso, a OSINT tem levantado debates nos últimos anos sobre como as informações de domínio público podem ser usadas com segurança e responsabilidade. Alguns dos problemas mais prevalentes incluem:

Legalidade

Informações disponíveis publicamente podem ser acessadas, analisadas e distribuídas de forma legal. Lembre-se apenas de que elas podem ser usadas por invasores para dar suporte ou promover atividades ilegais ao disseminar dados enganosos ou maliciosos em determinadas comunidades. Os hacktivistas são especialmente conhecidos por distribuir dados publicamente para influenciar a opinião pública.

Ética

Embora haja uma grande quantidade de informações disponíveis on-line, as pessoas e as empresas devem usá-las de forma ética. Os profissionais devem usar a OSINT apenas para fins legítimos e precisam garantir que as informações não sejam usadas para exploit, assediar, condenar ao ostracismo ou prejudicar outras pessoas.

Privacidade

Uma quantidade significativa de informações sobre indivíduos privados está disponível no domínio público. Ao reunir informações de perfis de mídia social, atividades on-line, registros públicos e outras fontes, é possível desenvolver um perfil detalhado dos hábitos, interesses e comportamento de uma pessoa. Embora muitos dos dados disponíveis tenham sido compartilhados pelos próprios consumidores individuais, eles geralmente o fizeram sem entender completamente as implicações de tal atividade. O debate continua sobre quais informações as marcas e empresas devem ser capazes de coletar e armazenar quando os consumidores usam seus serviços, visitam suas lojas ou interagem on-line — e como elas podem usar essas informações no futuro.