Хакеры используют данные из открытых источников для взлома систем. Вы можете использовать инструменты OSINT, чтобы узнать, какая ваша информация раскрыта.

Инструменты разведки с открытым исходным кодом находят свободно доступную информацию. Хакеры-преступники могут использовать инструменты в своих целях, если только вы не опередите их.

В 1980-е годы произошла смена парадигмы в сфере военных и разведывательных служб. Классические действия, такие как перехват писем и прослушивание телефонных разговоров, были заменены новой тенденцией к шпионажу за секретами: агенты сосредоточились на использовании свободно доступной или официально опубликованной информации в своих целях.

Это был другой мир, которому приходилось обходиться без социальных сетей. Вместо этого газеты и общедоступные базы данных были основными источниками интересной и/или полезной информации.

Обзор понятия OSINT

Звучит просто, но на практике требовался высокий уровень комбинаторных навыков, чтобы надежно связать нужную информацию и создать на ее основе картину ситуации. Этот вид шпионажа назывался Open Source Intelligence (OSINT).

Тактику OSINT теперь можно применять и в сфере информационной безопасности. Большинство компаний и организаций имеют обширную, в основном общедоступную инфраструктуру, включающую различные сети, технологии, услуги хостинга и пространства имен.

Информация или данные могут располагаться на различных устройствах — компьютерах сотрудников, локальных серверах, частных устройствах сотрудников (в смысле «принеси свое собственное устройство»), облачных экземплярах или даже исходном коде активных приложений.

Фактически, на практике ИТ-отдел крупных компаний почти никогда не знает обо всех активах компании — независимо от того, находятся они в открытом доступе или нет. К этому следует добавить тот факт, что большинство компаний также косвенно управляют различными дополнительными активами, например, своими учетными записями в социальных сетях. В этой области, в частности, часто хранится информация, которая может стать опасной, если попадет в чужие руки.

В этот момент в игру вступает нынешнее поколение аналитических инструментов с открытым исходным кодом. Инструменты OSINT по существу выполняют три функции:

1. Обнаружение общедоступных активов.

Наиболее распространенная функция инструментов OSINT — помочь ИТ-командам обнаруживать общедоступные активы и информацию, которую они содержат. В частности, речь идет о данных, которые потенциально могут быть использованы для разработки векторов атак. Любой инструмент OSINT мог бы внести свой вклад.

Однако это не означает выявление брешей в безопасности или тестирование на проникновение – речь идет только об информации, доступной без использования методов взлома.

2. Обнаружение соответствующей информации за пределами организации.

Еще одна функция аналитических инструментов с открытым исходным кодом — поиск информации, находящейся за пределами вашей организации, например, на платформах или доменах социальных сетей.

Эта функция должна быть особенно интересна крупным компаниям, которые приобретают новые компании. Учитывая стремительный рост платформ социальных сетей, проверка конфиденциальной информации за пределами корпоративных границ имеет смысл для каждой организации.

3. Обработка собранной информации удобным для использования способом.

Некоторые инструменты OSINT способны обобщать собранную информацию и данные в удобной для использования форме. В случае крупной компании OSINT-сканирование может дать сотни тысяч результатов, особенно если включены как внутренние, так и внешние источники. Структурирование данных и решение наиболее насущных проблем в первую очередь полезно не только в этих случаях.

Предоставляя инструментам OSINT информацию о вашей компании, о сотрудниках, о ваших ИТ-активах или другие конфиденциальные данные, которые могут быть использованы злоумышленниками, соответствующие инструменты разведки с открытым исходным кодом могут помочь повысить уровень вашей ИТ-безопасности от фишинга до атак типа «отказ в обслуживании».

Часто OSINT-инструменты предназначены для выявления связей между людьми, компаниями, доменами и общедоступной информацией во Всемирной паутине. OSINT-инструменты визуализируют результаты в виде привлекательных графиков и диаграмм, которые могут включать большое количество точек данных.

Инструменты OSINT автоматически выполняют поиск в различных общедоступных источниках данных одним нажатием кнопки. К ним относятся DNS-запросы, поисковые системы и социальные сети. Инструменты совместимы практически с любым источником данных, имеющим общедоступный интерфейс.

После завершения сбора информации инструмент OSINT связывает данные и предоставляет информацию о скрытых связях между именами, адресами электронной почты, компаниями, веб-сайтами и другой информацией.

Часто инструменты OSINT имеют модульную структуру с многочисленными интегрированными функциями. К ним относятся, например, общие задачи, такие как стандартизация вывода, взаимодействие с базами данных, запуск веб-запросов или управление ключами API. Вместо кропотливого программирования разработчики просто выбирают нужные им функции и собирают автоматизированный модуль всего за несколько минут.

Порой инструмент OSINT — это специальная поисковая система, предоставляющая информацию об устройствах, например об устройствах Интернета вещей, которые уже используются миллионы раз. Инструмент OSINT также можно использовать для поиска открытых портов или уязвимостей в конкретных системах. Некоторые другие инструменты разведки с открытым исходным кодом используют инструменты OSINT в качестве источника данных.

Некоторые инструменты OSINT также включают в свой анализ операционные технологии (ОТ), например, те, которые используются в промышленных системах управления на электростанциях или заводах.

Также инструмент OSINT — это узкоспециализированная поисковая система, которая просматривает исходный код в поисках интересных данных. Это позволяет разработчикам программного обеспечения выявлять и устранять проблемы до того, как соответствующее программное обеспечение будет развернуто.

Конечно, каждый инструмент, работающий с исходным кодом, требует немного большего ноу-хау, чем простой поиск в Google — но создатель поискового кода сделал все возможное, чтобы сделать интерфейс своего OSINT-инструмента максимально простым.

Пользователь вводит свой поисковый запрос, и поисковый код предоставляет результаты в виде соответствующих тегов в исходном коде. Например, могут быть идентифицированы имена пользователей, уязвимости безопасности, нежелательные активные функции (например, повторная компиляция) или специальные символы, которые могут использоваться для атак путем внедрения кода.

Инструмент OSINT может быть типом фреймворка Metasploit в области разведки с открытым исходным кодом: вы устанавливаете для инструмента IP-адрес, домен, адрес электронной почты, имя пользователя, подсеть или ASN и указываете используемые модули, выполняете запуск и получаете богатство информации.

Соответствующая информация не обязательно должна быть на английском или немецком языке – необходимая вам информация также может быть на китайском или испанском языке.

Именно здесь в игру вступает многоязычный инструмент OSINT, который осуществляет поиск в общедоступной сети, включая блоги, платформы социальных сетей и доски объявлений, а также в темной и глубокой сети. Инструмент также может определить источник найденной информации и выполнить анализ текста для получения соответствующих результатов. В настоящее время инструменты могут поддерживать около 200 различных языков.

Сценарии применения многоязычного инструмента OSINT многочисленны: если, например, происходят глобальные атаки программ-вымогателей, можно быстро определить тенденции обнаружения целей. Инструмент также может выявить, выставляется ли интеллектуальная собственность компании на продажу на сторонних веб-сайтах.

Часто платформа OSINT по сути является облачной, а также позволяет пользователям добавлять свои собственные источники данных. Как правило, инструмент также имеет локальную версию, хотя в ней отсутствуют некоторые функции (например, глубокий веб-поиск).

Некоторые инструменты OSINT доступны в виде расширения Chrome или надстройки Firefox. Они предоставляют вам возможность поиска в браузере IP-адресов, доменов, URL-адресов, хешей, ASN, адресов биткойн-кошельков и множества других индикаторов компрометации. Могут быть включены шесть различных поисковых систем.

Удобно, что инструмент также может служить ярлыком для многочисленных онлайн баз данных, поиск в которых можно выполнить одним щелчком мыши.

Инструменты OSINT позволяют также узнать, на основе чего были созданы популярные веб-сайты (WordPress, Joomla, Drupal и т. д.), и раскрыть дополнительную информацию. Сюда входит, например, список библиотек JavaScript/CSS, которые использует веб-сайт. Кроме того, также можно получить плагины, платформы, серверную, аналитическую и отслеживающую информацию.

Таким образом, вы можете достаточно просто просмотреть информацию о технологическом стеке веб-сайта.

Закройте пробелы с помощью OSINT!

Не каждая хакерская атака должна представлять собой сложную постоянную угрозу или использовать особенно сложные методы. Хакеры-преступники также предпочитают идти по пути наименьшего сопротивления. Ведь было бы бессмысленно тратить месяцы на компрометацию систем, когда вся необходимая информация доступна в общедоступных каналах.

Инструменты OSINT могут помочь компаниям узнать, какая информация об их сетях, данных и пользователях является общедоступной. Самое главное — найти эти данные как можно быстрее, прежде чем их можно будет использовать.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, DevOps и SRE, SEO и реклама в интернете с 2004 года.