O que significa Inteligência de Código Aberto (OSINT)?
Inteligência de código aberto (Open Source Intelligence), é uma das fontes de inteligência, é conhecimento produzido através de dados (Internet ou mesmo de artefatos físicos, como livros, jornais ou revistas) informações disponíveis acessíveis a qualquer pessoa pública. São técnicas muito utilizadas por jornalistas investigativos, agências governamentais ou agências de aplicação da lei entre outros. Podemos dizer que nossa vida é baseada em OSINT pois temos várias informações expostas publicamente acessíveis em rede sociais ou indexada na internet. Bem-vindo ao mundo OSINT (Hello world!)
Foi criado no final da década de 1930 pela Foreign Broadcast information Service (FBIS) durante a segunda guerra mundial, sua função era realizar a análise dos noticiários internacionais captados por rádio e monitoramento de publicações oficiais voltado para coletar, analisar e processar informações de fontes abertas. São bem utilizadas ainda hoje em dia.
OSINT em Segurança Cibernética (cyber security)
No geral o primeiro passo de um ataque direcionado ou um teste de penetração ou atividades de grupo especifico – é coletar informações (information gathering) – sobre o alvo realizando todo mapeamento. Embora existam maneiras e meios para fazer isso secretamente, a coleta de informações geralmente começa com a coleta de informações de fontes públicas, coletivamente conhecidas como inteligência de código aberto ou OSINT. Existe uma riqueza de OSINT legalmente colecionável disponível de graça nas mídias sociais, estudos divulgados ou em fóruns de pesquisas.
OSINT é um modelo de inteligência com foco em encontrar, selecionar e coletar informações de fontes públicas e analisar para que junto com outras fontes possam produzir um conhecimento de forma inteligente. Na comunidade de inteligência, o termo “aberto” refere-se a fontes disponíveis publicamente.
A Inteligência de Código Aberto (OSINT) adota três formas; Passivo, Semi-passivo e Ativo.
- Coleta de Informações Passivas: A Coleta de Informações Passivas geralmente só é útil se houver uma exigência muito clara de que as atividades de coleta de informações nunca sejam detectadas pelo alvo. Esse tipo de perfil é tecnicamente difícil de executar, pois nunca estamos enviando tráfego para a organização-alvo, nem de um de nossos hosts ou hosts ou serviços “anônimos” na Internet. Isso significa que só podemos usar e coletar informações arquivadas ou armazenadas. Como tal, essas informações podem estar desatualizadas ou incorretas, pois estamos limitados aos resultados coletados de terceiros.
- Coleta de Informações semi-passivas: O objetivo da coleta de informações semi-passivas é traçar o perfil do alvo com métodos que apareçam como tráfego e comportamento normais da Internet. Apenas os servidores de nomes publicados para obter informações, não realiza pesquisas inversas aprofundadas ou solicitações de DNS de força bruta, não procura por servidores ou diretórios “não publicados”. Não executa portscans ou crawlers de nível de rede, apenas olha para metadados em documentos e arquivos publicados; não busca ativamente conteúdo oculto. A intenção aqui é não chamar a atenção para as atividades. O alvo pode ser capaz de voltar e descobrir as atividades de reconhecimento, mas eles não devem ser capazes de atribuir as atividades de volta a ninguém.
- Coleta de Informações Ativas: A coleta de informações ativas deve ser detectada pelo alvo e comportamento suspeito ou malicioso. Durante esta etapa estamos mapeando ativamente a infraestrutura de rede (ferramenta nmap de varreduras de portas completas), enumerando ativamente e/ou vulnerabilidade escaneada, ativamente procurando diretórios, arquivos e servidores inéditos. A maior parte dessa atividade se enquadra em suas atividades tipicamente de “reconhecimento” ou “digitalização” atividades de pentest padrão.
Estrutura OSINT focadas nas coletas de informações: OSINT Framework
“A estrutura OSINT é uma estrutura de segurança cibernética que consiste em uma coleção de tecnologias de fontes aberta que podem ser usadas para encontrar informações sobre um alvo de maneira mais rápida e fácil.”
Algumas ferramentas de OSINT:
-maltego;
-shodan;
-theHarvester;
-Recon-Ng;
-spiderfoot;
– censys;
-checkusernames;
-Metagoofil;
-Recorded Future;
-have i been pwned
-Google Dorks (GHDB);
-hunter.io;
-who.is;
-securitytrails;
-centralops;
-dehashed.;
-whoisxmlapi;
-urlscan;
-dnsdumpster;
-exiftool;
-entre outros.
Alguns tipos de coleta de inteligência:
*OSINT (Open source intelligence) – A inteligência de código aberto (OSINT) é coletada de fontes abertas.
*HUMINT (Human intelligence) – A inteligência humana (HUMINT) é coletada obtidas por meio de seres humanos, como os espiões tradicionais (como em serviço de inteligência ou serviço de informações).
*GEOINT (Geospatial intelligence) – A inteligência geoespacial (GEOINT) é coletada a partir de fotografias aéreas e de satélite, ou dados de mapeamento/terreno (avaliar e representar visualmente características físicas e atividades geograficamente referenciadas na Terra).
*IMINT (Imagery intelligence) – A Inteligência de imagens (IMINT) – coletada a partir de fotografias aéreas e de satélite (obtida através da obtenção de imagens, como por meio de satélites e aeronaves).
*MASINT (Measurement and Signature intelligence) – A inteligência de medição e assinatura (MASINT) é coletada a partir de uma matriz de assinaturas (características distintas) de fontes de destino fixas ou dinâmicas (obtida através da obtenção de medidas e assinaturas de eventos, como explosões atômicas).
*SIGINT (Signals intelligence) – A inteligência de sinais (SIGINT) é obtida a partir da interceptação de sinais de comunicação entre pessoas ou máquinas (Como as informações confidenciais são frequentemente criptografadas, a inteligência de sinais, por sua vez, envolve o uso de criptoanálise para decifrar as mensagens).
*TECHINT (Technical intelligence) – A inteligência técnica (TECHINT) é obtida a partir da análise de armas e equipamentos utilizados pelas forças armadas de nações estrangeiras, ou condições ambientais (muitas vezes referidas como material estrangeiro).
*MEDINT (Medical intelligence) – A Inteligência médica (MEDINT) coletadas a partir da análise de registros médicos (exames fisiológicos reais para determinar a saúde e/ou doenças específicas e condições alérgicas para consideração).
*CYBINT/DNINT Cyber-intelligence and Digital Network Intelligence) – A inteligência de rede cibernética ou digital (CYBINT ou DNINT) são coletadas do ciberespaço. (CYBINT pode ser considerado como um subconjunto de OSINT).
*FININT (Financial intelligence) – As inteligências financeiras (FININT) são coletadas a partir da análise de transações monetárias (A coleta é normalmente feita por uma agência governamental, conhecida como uma organização de inteligência financeira ou Unidade de Inteligência Financeira).
Conclusão
Concluiu-se que com o uso técnicas de coleta de inteligência não só ajuda você a impor o ponto de vista da segurança cibernética de uma organização, mas também pode ajudar a protegê-las, desde identificar vazamentos de dados, portas ou dispositivos inseguros conectados à internet, códigos disponíveis das páginas web e até combater tipos ataque de engenharia social, phishing entre outros.
Com esses tipos de ferramentas de código aberto (open source) é possível identificar e analisar possíveis ameaças eminente, mapeando as informações de forma correta com inteligência de código aberto. Saber quais informações estão disponíveis em fontes públicas é de extrema importância pois podem prevenir você ou sua organização de sofrerem um ataque cibernético.