Las instituciones disponen una huella digital y todo su personal además. Estas huellas pueden contener una gran cantidad de información sensible o armable. OSINT le posibilita ver lo que pueden ver los piratas informáticos.
Inteligencia open source
A pesar del nombre, la inteligencia open source (OSINT) no está relacionada con el software open source, aún cuando existen muchas herramientas de software open source que pueden ayudarlo a compilar inteligencia open source. OSINT es inteligencia recopilada de fuentes disponibles públicamente. No se necesita ningún delito cibernético para obtener esta información, está habilitada si sabe dónde buscar y cómo buscar.
OSINT se puede obtener de fuentes como Internet, medios de comunicación, redes sociales, revistas de investigación y herramientas de búsqueda del gobierno estatal o nacional, como Búsqueda de empresas de la Secretaría de Estado de California y el Reino Unido Casa de empresas Búsqueda de empresas.
OSINT está abierto a todos. Solo está viendo información disponible públicamente, no viendo material privado ilegalmente o usando las credenciales de inicio de sesión de una persona sin su permiso. Es la diferencia entre revisar sus publicaciones públicas e irrumpir en su cuenta para leer mensajes directos privados.
En su mayor parte, OSINT es sin costes. Hay algunas herramientas de búsqueda especializadas que usan freemium modelo, pero en general, OSINT es de bajo riesgo, sin costes y altamente efectivo. No es sorprendente que los actores de amenazas usen OSINT en la etapa de acreditación de la planificación de un ciberataque como suplantación de identidad ataques y Ingeniería social ataques u otras acciones dañinas como el chantaje corporativo o personal.
Para protegerse, necesita saber qué hay sobre su organización y su personal.
Por qué los actores de amenazas aman OSINT
OSINT ayuda a los equipos de seguridad a localizar y comprender la información, las pistas y otras rutas de exploración inadvertidas que sus trabajadores dejan en su huella digital pública que compromete su seguridad.
A modo de ejemplo, puede tener un desarrollador web que haya creado un perfil en LinkedIn. Los perfiles de los desarrolladores suelen incluir una descripción de las tecnologías con las que son competentes y en las que están trabajando. Esto además le dice al mundo en qué tecnologías se basa su portal web, lo que, a su vez, brinda orientación sobre el tipo de vulnerabilidades a las que puede ser susceptible.
Además es probable que esta persona tenga una cuenta administrativa en su portal web. Otra información que hacen público, como los nombres de mascotas, niños o su pareja, a menudo se utiliza como base de las contraseñas, y esta información además será recopilada por los actores de la amenaza.
La Dark Web contiene bases de datos de todas las violaciones de datos que ocurren. LinkedIn tuvo una violación de datos en mayo de 2016 que dejó 164 millones direcciones de email y contraseñas expuestas. Si los detalles de su desarrollador quedaron atrapados en esa infracción y él ha reutilizado esa contraseña en su portal web, los actores de amenazas ahora disponen una manera fácil de eludir la seguridad en su portal web.
Relacionado: Cómo verificar si los correos electrónicos del personal están en brechas de datos
Además puedes utilizar OSINT
Muchas instituciones usan las pruebas de penetración para detectar vulnerabilidades en los activos y servicios de la red de acceso a Internet. OSINT se puede usar de manera semejante para detectar vulnerabilidades que se están creando por la liberación de información.
¿Tiene alguien que, sin saberlo, está dando demasiada información? En realidad, ¿cuánta información ya existe que podría ser beneficiosa para un actor de amenazas? En realidad, la mayoría de las pruebas de penetración y equipo rojo Los equipos de seguridad realizan búsquedas OSINT como la primera etapa de la recopilación y el acreditación de datos.
¿Cuánto pueden averiguar otros sobre su organización y su personal a partir de sus huellas digitales? La forma obvia de averiguarlo es realizar búsquedas de OSINT en su propia organización.
Técnicas sencillas de OSINT
Cualquiera que sea la herramienta o técnica que utilice, es mejor comenzar con una búsqueda más extensa y refinarla progresivamente hasta un enfoque más estrecho, guiado por los resultados de las búsquedas anteriores. Comenzar con un enfoque demasiado estrecho puede hacer que pierda información que solo aparece con un conjunto más relajado de términos de búsqueda.
Recuerde, no son solo sus trabajadores los que disponen una huella digital. Su propia organización dispone de una huella digital, desde repositorios no técnicos como registros de registro comercial, presentaciones financieras, hasta aparecer en los resultados de sitios de búsqueda de hardware como Shodan y ZoomEye. Los sitios de búsqueda de hardware como estos le posibilitan buscar dispositivos de cierto tipo, marca y modelo o categoría genérica como «cámaras web ip». Puede buscar protocolos, puertos abiertos o características como «contraseña predeterminada». Las búsquedas se pueden filtrar y refinar por región geográfica.
Su propio portal web puede contener todo tipo de información útil para el actor de la amenaza. La página «Conozca al equipo» proporciona roles y nombres, y posiblemente direcciones de email. Si puede ver cómo están formadas las direcciones de email («nombre.apelli @», o «inicial.nombre @», «apellido inicial @» sin punto, etc.), puede averiguar cuál es la dirección de email para cualquier persona en el compañía siempre que tenga su nombre. Puede obtener una lista de clientes en su página de testimonios.
Eso es todo lo que el actor de amenazas necesita para realizar una spear-phishing ataque. Pueden enviar un email a una persona de rango medio en el departamento de finanzas que parece provenir de un miembro superior del personal. El email tendrá un tono de urgencia. Solicitará que se realice un pago urgente a un cliente designado lo antes factible. Desde luego, los datos bancarios son los datos bancarios del actor de la amenaza.
Las fotografías en las redes sociales y los blogs deben examinarse cuidadosamente para obtener información que se captura en el fondo o en los escritorios. Los terminales de computadora, las pizarras, los documentos en los escritorios, los pases de seguridad y las credenciales de identidad pueden revelar información útil para un actor de amenazas.
Se han descubierto en línea planos de edificios de edificios sensibles en portales de aplicaciones de planificación de acceso público. Los repositorios de Git desprotegidos pueden revelar vulnerabilidades en aplicaciones web o permitir que los actores de amenazas inyecten su propia puerta trasera en el código fuente.
Perfiles de redes sociales en sitios como LinkedIn, Facebook, y Gorjeo a menudo puede revelar una gran cantidad de información sobre las personas. Inclusive una cuenta de Twitter en el lugar de trabajo que publique un tweet alegre sobre el cumpleaños de un miembro del personal puede proporcionar información que puede ser útil y explotable. Supongamos que se hace un Tweet sobre alguien llamado Shirley que cumple 21 años y recibe un pastel en el trabajo. Cualquiera que pueda ver el tweet ahora tiene su nombre y año de nacimiento. ¿Es su contraseña posiblemente «Shirley1999» o «Shirley99»?
La información que se encuentra en las redes sociales es especialmente adecuada para Ingeniería social. La ingeniería social es la manipulación tortuosa pero hábil de los miembros del personal para obtener acceso no autorizado a la data de su edificio, red y compañía.
¿Es esto verdaderamente legal?
El uso de métodos OSINT en EE. UU. Y el Reino Unido es lícito. En otras jurisdicciones, debe verificar su legislación local. Por lo general, si los datos no están protegidos con contraseña y no requieren timo o infiltración para adquirirlos, entonces es lícito tener acceso a ellos. Los actores de amenazas no se preocupan por estos puntos, de todos modos.
los Protocolo de Berkeley establece un marco de orientación para realizar investigaciones del OSINT sobre crímenes de guerra y violaciones de derechos humanos. Este o algo semejante es un buen punto de referencia para usar como guía sobre la legalidad y la ética de las búsquedas OSINT.
Estas son algunas de las herramientas OSINT más reconocidas y utilizadas. Kali Linux tiene muchos de estos incluidos en él, otros están disponibles como imágenes de contenedor descargables, o en GitHubo como instalaciones independientes. Tenga en cuenta que la mayoría de estos son solo para Linux. Los sitios web se pueden usar desde cualquier lugar, de todos modos.
- Ghunt: Encuentra tanta información sobre una persona en su perfil de Google como sea factible a través de la búsqueda de cualquier cosa relacionada con su dirección de email de Gmail.
- ReNgine: Combina y muestra una vista agregada de los resultados de varios análisis de herramientas OSINT. ReNgine realiza los escaneos usando las otras herramientas y crea una vista combinada de la información devuelta.
- Shodan: Motor de búsqueda de dispositivos, protocolos y hardware. Se utiliza comúnmente para detectar dispositivos inseguros, concretamente dispositivos de Internet de las cosas.
- ZoomEye: Una alternativa a Shodan.
- Mapeador social: Social Mapper utiliza el acreditación facial y los nombres para rastrear objetivos en múltiples plataformas de redes sociales. Es gratuito, pero debes registrarte.
- Spiderfoot: Una herramienta de automatización OSINT, disponible en versiones comerciales y open source. La versión open source tiene algunas de las funciones de gama alta desactivadas.
- Sublist3r: Enumerador de subdominios basado en Python
- theHarvester: Ayuda a «determinar el panorama de amenazas externas de una compañía en Internet» a través de la recopilación de «correos electrónicos, nombres, subdominios, direcciones IP y URL»
- Maltgo: Maltego es una herramienta de búsqueda que recopila datos de muchas fuentes OSINT y muestra un conjunto gráfico de vínculos entre los datos y las personas.
- Google Dorking: Google dorking o Google hacking utiliza técnicas de búsqueda avanzadas para hallar ítems que han sido indexados por Google pero que no aparecen en búsquedas normales, como archivos de configuración y listas de contraseñas. Sitios como Explotar la base de datos se dedican a compartir términos de búsqueda de Google dorking.
Es (principalmente) gratis, por lo tanto úselo
Si su equipo de seguridad aún no está usando OSINT, verdaderamente está perdiendo un truco. Ser capaz de localizar, editar o borrar información confidencial del dominio público es una magnífica manera de minimizar el acceso de los actores de amenazas a las vulnerabilidades sustentadas en la información.
