OSINT (Open Source Intelligence) – сбор и анализ информации из публично доступных источников. В нынешних реалиях речь идет в основном про интернет-источники. От русскоязычных экспертов можно услышать термин «интернет-разведка», что по смыслу приравнивается к OSINT.
В рамках кибербезопасности OSINT используется для пентеста, форензики, реверсивной и социальной инженерии. Обучение информационной безопасности часто включает в себя раздел с изучением техник и инструментов OSINT.
Пентестеры используют OSINT для оптимизации первого этапа работы: разведки и сбора информации об определенном онлайн-объекте или субъекте. В этом случае OSINT необходим, чтобы наметить цели, которые нужно атаковывать, или понять, что ломать ничего не нужно – оно и так для всех доступно.
OSINT удобен тем, что :
подразумевает гораздо меньше рисков: вы не нарушаете чью-то приватность и законы; дешевле – не нужно какое-то дополнительное оборудование и дорогой софт; к такой информации легко получить доступ (зайти в интернет), и чаще всего она всегда свежая. Есть два основных метода сбора информации :
1. Пассивный . В этом случае вы никак не выдаете себя и то, что вы ищите. Поиск ограничивается контентом на сайте объекта исследования, архивной или кешированной информацией, незащищенными файлами.
2. Активный . Этот метод используется для интернет-разведки гораздо реже. Для получения информации вы исследуете IT-инфраструктуру компании, активно взаимодействуете с компьютерами и машинами. Используются продвинутые техники для получение доступа к открытым портам, сканирование уязвимостей и серверных веб-приложений. В этом случае ваша разведка может быть легко распознана. Социальная инженерия тоже сюда относится.
Выбор метода зависит от того, на каких условиях вы собираете информацию, а также от того, какие данные вам нужны. Вы анализируете безопасность компании, подписали NDA и вам можно лезть куда хочешь? Или вас попросили добыть информацию о конкурентах?
Важно понимать, что не всегда то, к чему вы можете с легкостью получить доступ, – легально.
Например, через Shodan (поисковик по интернету вещей) нетрудно получить доступ к управлению какой-то из систем как личных, так и корпоративных. Сделать это можно в несколько кликов. Однако если вы начнете как-то с ней взаимодействовать, пробовать вводить разные пароли – это уже может быть засчитано как попытка взлома и переходит в активный сбор информации, где нужно разрешение владельца системы.
Почитать подробнее о правовых рамках и законодательстве России и зарубежных стран можно здесь.
Основные источники OSINT, которые используются в информационной безопасности Любая информация в публичном доступе может оказаться опасной. Социальные сети, фотографии, данные из профилей и сайтов третьих сторон, публичная документация и т.д. Ведь в совокупности с другими данными она может рассказать хакерам то, что они ищут.
Остановимся на основных направлениях, которые специалисты по информационной безопасности исследуют на регулярной основе.
1. Метаданные файлов .
В них можно найти дату создания документа, имена пользователей, модели принтеров, ПО установленное на компьютерах, иногда геолокацию. Информация про установленные программы и их версии, например, даст возможность выбрать наиболее уязвимые и подобрать эксплойты. Имена пользователей, в свою очередь, станут потенциальными логинами в личные или корпоративные системы.
2. Конфиденциальная документация .
Даже в самых продвинутых компаниях и серьезных государственных структурах какой-то засекреченный документ может случайно оказаться в открытом доступе. Примеры, как искать такие документы, можно посмотреть в лекциях Андрея Масаловича. Конфиденциальная информация может включать в себя политику создания паролей, а также используемое ПО и сервисы.
3. Данные о домене.
Существует очень много инструментов, которые помогают собрать все данные с сайта (в том числе, которые не видны обычным пользователям). Например:
е-мейлы, телефоны, факсы, технологии, на которых построен сайт, криптографические сертификаты, которые используются на конкретном домене. После исследования основного домена стоит поизучать, как компания организует свои Интернет-ресурсы. Среди субдоменов обычно есть плохо защищенные сайты для тестирования новых технологий. Такие субдомены могут содержать какие-то важные документы, оставленные на сервере.
4. Серверные веб-приложения, интернет вещей . Индексироваться могут сервера, роутеры, камеры видеонаблюдения, вебкамеры, онлайн накопители и т.д. Кроме того, что к некоторым можно получить доступ просто пройдя по ссылке, эти девайсы содержат в себе техническую информацию. Геолокацию, открытые порты, запущенные сервисы, доменное имя, связанное с устройством, интернет провайдера, веб-технологии.
Обучение OSINT для использования в информационной безопасности Чтобы на базовом уровне изучить OSINT и начать проводить небольшие исследования, вам хватит пары дней.
Для погружения в тему и изучения отдельных аспектов стоит почитать следующие книги:
Бизнес-разведка, Александр Доронин; Open Source Intelligence Techniques, Michael Bazzell; Развитие в OSINT делится примерно не следующие этапы:
1. Освоение базовых техник, вроде Google dorks (продвинутый поиск в Гугл). Для этого – читайте блоги специалистов или специализирующихся компаний. Например:
Hrazvedka – в разделе «Разведнет» можно найти подборки разных инструментов. Кроме этого в блоге собираются видео, статьи, книги, фильмы по теме на русском; Sector035 – еженедельные подборки с новыми техниками и инструментами; OSINT Curious – кроме блога у них есть вебкаст, куда приглашают гостей и обсуждают новости; Aware Online; значительная тусовка собрана в Твиттере: i-intelligence, Dutch OSINT Guy, Henk van Ess. В этой подборке можно найти и других деятелей, на которых будет интересно подписаться. 2. Начинайте применять знания в деле . Ищите интересные подходы использования инструментов и техник и пробуйте писать об этом небольшие отчеты с визуализацией результатов. Своими инсайтами делитесь в Твиттере, добавляя соответствующие хэштеги или в комьюнити на Reddit.
Необходимые для разведки инструменты есть в подборках:
Бот в Телеграме: @HowToFind_RU_bot; OSINT Framework; OSINT Essentials; Toddington; Technisette. 3. Станьте максимально анонимным . При изучении OSINT значительное время уделяется обеспечению своей безопасности при поиске. Это нужно, чтобы компания или человек не смогли распознать, что вы собираете какую-то информацию. Вот несколько практик:
создание фейковых профилей; использование андроид-эмуляторов (вы заходите в мобильные приложения через специальную программу на компьютере); VPN; браузер Tor; правила, вроде того, что не стоит осуществлять разведку в одно и то же время дня. Это может выдать даже самых искусных хакеров. В какой мере обеспечивать себя анонимностью зависит от того, что за цель перед вами стоит. Не нужно заводить множество аккаунтов в соцсетях, если вам не понадобиться проводить там исследования. Или устанавливать защитное ПО просто для того, чтобы поискать географические данные на карте.
Много материалов по этому поводу можно найти в выше описанных блогах и книгах. Вот один из них.
4. Изучайте более продвинутые инструменты , для которых необходимо знание:
Kali Linux. Есть много инструментов OSINT, которые работают только на этой операционной системе. Python – работа с некоторыми инструментами требует знания синтаксиса языка. 5. Пробуйте самостоятельно писать на Python автоматизирующие инструменты по сбору и анализу информации.
Инструменты OSINT в информационной безопасности 1. Shodan – поисковик по устройствам, подключенным к сети (в т.ч. интернет вещей и веб-приложения). Раздел «Explore» поможет начать поиски, так как туда собираются запросы пользователей. Чтобы получить доступ к расширенному поиску, надо зарегистрироваться. В платных версиях у вас будет доступ к большему количеству устройств, а также неограниченное количество поисковых запросов в сутки. Руководство по Shodan на русском (ссылка для скачивания).
2. MaltegoMaltego – ПО, которое собирает все данные вместе, помогает увидеть взаимосвязи и сделать выводы. Результат визуализируется в виде дерева, собирающего в единую систему IP-адреса, е-мейлы, телефоны, домены и т.д. Есть три версии клиента, но большинству специалистов будет достаточно бесплатной. Туториалы по Мальтего: на русском и английском (они разные).
3. Google Dorks – это запросы в Гугл с использованием специальных операторов. Вы наверняка слышали, что для поиска точного словосочетания нужно поставить слова в кавычки, а чтобы исключить какое-то слово из выдачи, необходимо поставить перед ним «-». Это как раз про Гугл доркинг. Здесь вы найдете базовые операторы, а здесь – огромное количество дорков для поиска уязвимостей.
4. Foca – программа, которая помогает с выгрузкой, классификацией и анализом файлов на удаленном веб-сервере. Для этого она сканирует определенный домен с помощью поисковиков Google, Bing, DuckDuckGo. ПО бесплатное и быстро устанавливается. В этом материале можно найти небольшую инструкцию, как пользоваться программой.
5. Spyse – поисковик по технической информации веб-сайтов. С его помощью вы найдете разнообразные данные, вроде уязвимостей, IP-адресов, субдоменов и SSL/TLS.
Заключение OSINT поможет вам сократить время и деньги при поиске информации, а изученные инструменты и техники будут полезны и за пределами профессиональной деятельности.
***
Чтобы начать использовать базовый OSINT, достаточно на пару дней погрузиться в книги и туториалы по теме. Если же вы планируете выйти на более продвинутый уровень, скорее всего понадобятся курсы по информационной безопасности и помощь наставников. Например, на Факультете информационной безопасности образовательного портала GeekBrains вы сможете подробно изучить работу с Linux и Python. Также портал дает возможность полностью освоить профессию на практический кейсах.
Интересно, хочу попробовать