Využívanie informácií z otvorených zdrojov (OSINT) je v rámci oddelení IT bezpečnosti čoraz dôležitejšie. Celý proces zahŕňa získavanie, zhromažďovanie, analýzu a usporiadanie informácií, ktoré sú prístupné z verejne dostupných zdrojov, napríklad z internetu.
Tímy zamerané na IT bezpečnosť tak dokážu vystopovať interné údaje, ktoré by nemali byť verejné, vrátane otvorených portov a sieťových zariadení. Množstvo informácií, ktoré nemali byť zverejnené, možno nájsť aj na sociálnych sieťach či webových stránkach. Napriek tomu sú otvorené zdroje skvelým prameňom informácií nielen pre IT správcov a iných odborníkov dohliadajúcich na bezpečnosť spoločnosti, ale aj kybernetických zločincov, pre ktorých verejné údaje pri útokoch na firmy predstavujú užitočnú databázu.
V tomto článku sa budeme zaoberať:
- Dostupnými nástrojmi na získavanie informácií z otvorených zdrojov a ich účelom,
- Zákonnosťou OSINT zdrojov,
- Spôsobmi, akými útočníci využívajú OSINT zdroje,
- Spôsobmi, akými bezpečnostné tímy používajú OSINT zdroje na zvýšenie zabezpečenia svojej spoločnosti,
- A otázkami, ktoré treba zvážiť v prípade, ak chcete používať OSINT zdroje ako súčasť riadenia kybernetických rizík.
Hackerské skupiny nikdy nepracovali sofistikovanejšie, a to aj vďaka obrovským finančným a ľudským zdrojom, ktoré dnes majú k dispozícii. Samotnému útoku však predchádza snaha o sledovanie obetí a zhromaždenie čo najväčšieho množstva informácií, aby dokázali identifikovať ich slabé miesta. Najjednoduchší spôsob, ako to dosiahnuť? Prelustrovať najväčší zdroj informácií na svete, celosvetovú sieť (World Wide Web).
Od masmédií a sociálnych sietí až po verejné údaje, ako sú vládne správy, komerčné údaje alebo informácie, ktoré sa dajú ľahko nájsť cez vyhľadávače – útočníci dokážu mnohými spôsobmi získať cenný pohľad na skoro akúkoľvek tému. Internet je takmer nekonečný zdroj, ktorý môžu kybernetickí zločinci ľahko zneužiť. IT správcovia však takisto môžu využiť verejne dostupné zdroje na zistenie informácií o svojej spoločnosti, jej stave zabezpečenia a ďalších údajov, ktoré sú zbytočne odhaľované.
Hoci sa účel, právny rámec a zámer použitia líšia, zdá sa, že vďaka OSINT zdrojom odborníci na IT bezpečnosť aj kybernetickí zločinci často využívajú rovnaké informačné pramene. Ak sa na celú problematiku pozrieme z metaforického hľadiska, otvorené zdroje sú ako sklad zbraní, z ktorého si výzbroj zaobstarávajú policajti aj gangsteri zároveň.
Aké nástroje na vyhľadávanie informácií z verejných zdrojov ponúka trh a na čo ich možno použiť?
Pomocou vyhľadávača Shodan je napríklad možné hľadať IoT zariadenia, operačné technológie a otvorené porty.
- Maltego je nástroj, ktorý pomáha identifikovať skryté vzťahy medzi osobami, doménami, spoločnosťami, vlastníkmi dokumentov a inými subjektmi. Zistené informácie sa následne vizualizujú prostredníctvom intuitívneho používateľského rozhrania.
- Metagoofil je nástroj na získavanie metadát z verejne dostupných zdrojov, ktorý sprostredkúva dôležité informácie o IT systémoch (používateľské mená, verzie softvéru, MAC adresy atď.).
- TheHarvester, jeden z najpreferovanejších nástrojov OSINT s veľmi jednoduchým používaním, ponúka prehľad o všetkom, k čomu má o vašej organizácii útočník prístup, a to vrátane subdomén, hostiteľov, e-mailov a otvorených portov. TheHarvester analyzuje nielen Google a Bing, ale aj menej známe vyhľadávače, ako sú DNSDumpster alebo vyhľadávač metadát Exalead.
Najdôležitejšie pre bezpečnostných pracovníkov je, aby bez ohľadu na nástroj použitý na testovanie a zhromažďovanie informácií o ochranných mechanizmoch vždy dodržiavali politiku penetračného testovania príslušnej spoločnosti, ako aj tých firiem, ktorých služby používajú.
Sú OSINT zdroje legálne?
Ako už bolo vysvetlené, vďaka OSINT zdrojom je možné identifikovať verejné a voľne dostupné informácie. Z tohto hľadiska sú vo väčšine západných krajín úplne legálne. Pokiaľ však ide o požiadavky na ochranu údajov, opatrnosť je na mieste.
Zhromažďovanie údajov chránených heslom alebo akýchkoľvek iných neverejných údajov je nezákonné. Využívanie informácií zo sociálnych sietí porušuje podmienky používania väčšiny platforiem.
Ako presne kybernetickí zločinci využívajú OSINT zdroje pri útokoch?
Zločinci sa snažia identifikovať relevantné zdroje údajov s cieľom vyvinúť príslušné metódy útoku, v ideálnom prípade bez zanechania akýchkoľvek stôp. Nezriedka využívajú moderné informačné a komunikačné technológie, ktoré tieto úlohy automatizujú.
Príklad č. 1: Spearphishing
Internetové vyhľadávače, ako napríklad Google, sú skvelým prostriedkom na hľadanie osobných a profesijných informácií o ľuďoch. Na tento účel sa často používajú pracovne orientované sociálne siete, ako sú LinkedIn a XING. Na iných sociálnych platformách sa takisto nachádzajú užitočné údaje (napríklad mená domácich miláčikov a príbuzných), ktoré sa dajú použiť na prelomenie hesiel. Takto získané dáta sa dajú zneužiť aj na identifikáciu cenných cieľov (väčšinou ľudí s rozsiahlymi právami k vlastným používateľským účtom alebo prístupom k dôverným informáciám).
Príklad č. 2: Bezpečnostné zraniteľnosti
Pomocou OSINT zdrojov útočníci hľadajú medzery v bezpečnosti, ako sú nezaplátané zariadenia, otvorené porty, zle nakonfigurované cloudové úložiská alebo dokonca náhodne zverejnené informácie, aby identifikovali potenciálne ciele.
Ako môžu OSINT zdroje využívať IT špecialisti na zabezpečenie spoločnosti?
Pri používaní OSINT zdrojov sa bezpečnostné tímy primárne snažia zistiť, aké informácie sú verejne dostupné o IT systémoch ich firmy s cieľom odstrániť akékoľvek bezpečnostné zraniteľnosti. Patria sem napríklad:
- Otvorené porty a nezabezpečené sieťové zariadenia
- Nezaplátaný softvér
- Informácie o softvéri a zariadeniach, ktoré používajú, ako sú verzie softvéru, názvy zariadení, siete a IP adresy
OSINT zdroje sú tiež užitočné pre IT manažérov, pretože im pomáhajú identifikovať verejne dostupné informácie mimo spoločnosti, ako je obsah na webových stránkach a sociálnych sieťach. Okrem toho môžu získavať informácie z neindexovaných webových stránok a súborov, ktoré sa označujú aj ako deep web. Aj keď sa nezobrazujú vo výsledkoch vyhľadávania, sú v podstate verejné, a teda dostupné prostredníctvom nástrojov OSINT.
V prípade, ak chcete používať OSINT zdroje ako súčasť riadenia kybernetických rizík, musíte si vopred stanoviť presnú stratégiu a odpovedať na nasledujúce otázky:
- Chcete identifikovať sieťové a softvérové zraniteľnosti?
- Chcete identifikovať verejne dostupné prostriedky, ktoré môžu hackeri využiť na výber vhodných vektorov útoku?
- Chcete zistiť, či existujú nejaké riziká spojené s príspevkami, ktoré zamestnanci zdieľajú na sociálnych sieťach?
Je tiež dôležité si uvedomiť, že počas analýzy sa generuje veľké množstvo údajov. Celý proces preto musí byť do značnej miery automatizovaný. Ukázalo sa, že užitočné sú aj pravidelné penetračné testy, ktoré zohľadňujú OSINT zdroje.
Okrem dôležitých opatrení na ochranu koncových zariadení, ako je používanie antivírusu, firewallu alebo cloudového sandboxingu spolu s pravidelnými školeniami všetkých zamestnancov vo firme, by ste do svojich princípov ohľadom informačnej bezpečnosti mali integrovať aj stratégie týkajúce sa OSINT zdrojov.