Olá caro leitor seja muito bem vindo.
Bem, se você leu nossa coluna sobre advanced persistent threats (APT), no mês de agosto, você deve se lembrar que a primeira fase no planejamento de um ataque por APT é o levantamento de informações sobre o alvo. Entre as técnicas utilizadas para este levantamento está a open source intelligence. Então, é sobre esta técnica que nós vamos tratar agora.
Fonte: https://www.csnp.org/post/a-beginners-guide-to-osint
Em geral quando falamos em segurança cibernética nós pensamos sempre em ativos de rede como firewalls, sistemas de detecção de intrusão, correlacionadores de eventos e outras soluções voltadas à segurança cibernética. Quase sempre demonstramos preocupação com recursos tecnológicos como os appliances, que trazem embarcados todas estas soluções, quase sempre queremos investimentos na melhoria do hardware e na implementação de novas features.
Mas será que não devemos olhar mais além?
Costumo dizer que tudo começa e termina no recurso humano empregado. São as pessoas que
implementam soluções de segurança, são elas que operam a infraestrutura e a própria segurança. Por outro lado também são elas que cometem erros e apontam os caminhos a serem explorados em um ataque.
Você deve estar se perguntando, o que isso tem a ver com open source intelligence?
Então, vamos explicar isso.
Todo ataque cibernético direcionado é precedido de uma fase de levantamento de informações, afinal para um ataque bem sucedido é necessário saber qual será o vetor de ataque, qual o tipo de sistema operacional usado no alvo, qual o comportamento de seus colaboradores e como isso pode ser encaixado no ataque. Enfim, conhecer o alvo é fundamental para o atacante.
Nesse contexto, você pode então observar, que aquele que planeja um ataque precisa reunir o máximo de informação possível sobre o alvo, conhecer sobre seu negócio, sua infraestrutura, seus colaboradores e parceiros, enfim quanto mais informação o atacante tiver maior será sua chance de sucesso no ataque. É justamente aqui que entra o nosso tema central de hoje, open source intelligence, também conhecida como OSINT.
Open Source Intelligence na mais é do que a produção de inteligência baseada em fontes abertas, ou seja, a partir da reunião de informações disponíveis publicamente se produz inteligência sobre o alvo.
Embora a Inteligência de Fontes Abertas possa utilizar toda fonte pública disponível, como jornal impresso, livros, revistas e até lixo, técnica conhecida como Dumpster diving, não é difícil perceber que no mundo contemporâneo a maior fonte de informação é a internet, uma fonte aberta com muita informação disponível publicamente, bastando aplicar alguma metodologia na sua coleta.
Mas quais informações seriam valiosas para o planejamento de um ataque e por que?
Bem, considere a quantidade de dados que compartilhamos diariamente. Nossos celulares possuem um número que está conectado ao nosso nome completo, endereços físico e documentos pessoais. Esses mesmos celulares possuem endereço Internet Protocol – IP que navega na internet deixando rastro por onde passa. Nossos endereços de e-mail são fornecidos gratuitamente na busca por abrir um conta em um site qualquer. O trajeto por onde andamos ou corremos, em nossas atividades físicas, é registrado e também vai parar na rede. Enfim, tudo que fazemos na internet é registrado. E seguindo estes rastros uma pessoa pode saber muito mais do que precisa sobre nós.
Fonte: http://www.senado.gov.br/noticias/especiais/seminario-midias-sociais/index.html
Agora, considere uma organização e todos os seus colaboradores individualmente. Grande parte destes costumam ter uma conta no LinkedIn, nesta rede social “profissional” estes colaboradores costumam informar suas funções e responsabilidades, tecnologias nas quais eles obtiveram certificações ou habilidades que desenvolveram. Não raramente costumam postar aquela foto da confraternização ou do aniversário do colega, quase sempre sem a menor preocupação com aquilo que não está no foco da foto, como telas de computadores, manuais sobre mesas, canecas que ganham como suvenir e tantos outros itens.
Essas informações isoladas talvez não forneça ao atacante o nível de profundidade desejado, mas ao ir conectando uma informação com a outra, inteligência começa a ser produzida e informação útil começa a surgir. Imagine um cenário em que um colaborador publica em uma rede social que conseguiu êxito na certificação de um firewall X, em outro post, um outro colaborador da organização posta um foto da comemoração de um aniversário de um colega e, por ironia do destino, nesta foto aparece uma tela de computador com a imagem da logo do firewall X.
Bem, o atacante ao conectar o post do primeiro colaborador com a foto que o segundo colaborador postou irá deduzir que a organização possui em sua infraestrutura de segurança o firewall X e, com mais alguma atividade de OSINT, ele vai descobrir a versão do firmeware do firewall X, vai saber se há uma vulnerabilidade publicada para aquela ferramenta, também vai descobrir se o gerente da ferramenta possui alguma deficiência na operação daquele firewall, vai conseguir tanta informação quanto for necessária para o planejamento do seu ataque.
Também cabe destacar que embora tenhamos discutido até aqui a OSINT mais voltada para pessoas, é importante notar que, por vezes, a própria infraestrutura da organização pode estar sendo exposta. Não são raras as vezes que busca com o WHOIS apresenta mais informação do que devia. Também não é raro o próprio site da organização, quando submetido a um GET mais elaborado, apresentar mais informação do que precisa em sua resposta.
Como a organização pode mitigar estes problemas?
A primeira coisa a fazer é ter uma Política de Segurança da Informação – PSI que contemple o tema, afinal a organização não pode patrulhar as redes sociais de seus colaboradores de qualquer forma. É preciso deixar claro aos seus colaboradores o que pode ou não quando for possível envolver o nome da organização.
Depois é importante ter um programa de conscientização em segurança da informação eficiente. Além disso ter equipes treinadas para aplicar metodologias de OSINT em prol a organização. Em geral as equipes de red team têm essas atribuições no escopo do seu trabalho e costumam produzir bons resultados.
Bem, apesar de ter no mercado ferramentas que ajudam a identificar exposição de informações que possam comprometer as organizações, elas por si só não apresentam a eficácia desejada. Neste aspecto é importante investir no processo de educação para segurança, conscientizar seus colaboradores dos riscos associados à exposição ainda pode ser o melhor caminho para se evitar problemas com a segurança cibernética.
Bem pessoal por hoje é isso… até a próxima.
Você pode ler a revista online aqui no site ou realizar o download. Para isto basta acessar o menu superior Edição Atual e Anteriores, escolher o ano, rolar a página para encontrar a edição desejada. Clicar no botão Ler Online ou Download.
Ew Sistemas TI.