OSINT: Sekrety białego wywiadu

Uwaga: Przykłady technik OSINT zaprezentowane w niniejszym artykule mają charakter informacyjny i edukacyjny, i mają na celu wyłącznie uświadomienie istniejących cyberzagrożeń wobec firm oraz osób prywatnych. GFT Polska sp. z o.o nie ponosi odpowiedzialności za używanie przedstawionych technik w sposób niezgodny z prawem.

OSINT: Sekrety białego wywiadu

30 listopada obchodzimy międzynarodowy dzień bezpieczeństwa komputerowego, który ma na celu uświadomienie użytkownikom zagrożeń związanych z cyberprzestępczością i sposobów ochrony swoich systemów i danych. W tym artykule chcemy przybliżyć Wam pojęcie OSINT, czyli białego wywiadu, które jest jednym z narzędzi wykorzystywanych zarówno przez crackerów, jak i etycznych hakerów od cyberbezpieczeństwa.

OSINT to skrót od ang. Open Source Intelligence, co oznacza wywiad oparty na otwartych źródłach. Otwarte źródła to takie, które są publicznie dostępne i nie wymagają specjalnych uprawnień lub naruszenia prawa do ich uzyskania. Przykładami otwartych źródeł są: strony internetowe, media społecznościowe, rejestry publiczne, mapy, zdjęcia, filmy, dokumenty, archiwa, fora, blogi, serwisy informacyjne, raporty, bazy danych, itp.

OSINT polega na zbieraniu i wykorzystywaniu informacji z otwartych źródeł w celu uzyskania wiedzy o osobie, firmie czy systemie komputerowym. Może być stosowany w przeróżnych domenach, takich jak: wojsko, policja, służby specjalne, biznes, dziennikarstwo, prawo, medycyna, itp. Biały wywiad jest też powszechnie używany przeciwko pojedynczym osobom, na przykład, gdy przestępcy przygotowują spear phishing przeciwko prezesom firm, dyrektorom finansowym czy tzw. PEP (Politically Exposed Persons). Głoszenie sloganów takich jak na przykład „nie publikujcie szczegółów swojego życia w mediach społecznościowych”, jest po prostu niewystarczające, ponieważ firmy i osoby są często celowo eksponowane na szerokie grono odbiorców. Prywatne osoby z kolei, mogą stać się ofiarami stalkingu czy cyberbullyingu, poprzez nadmierną aktywność w Internecie, taką jak emocjonalne komentowanie wydarzeń politycznych, czy dzielenie się informacjami o swoich zakupach, miejscu pobytu, itp. – mówi Przemysław Kulesza, Head of Global Security Practice, GFT Polska.

OSINT jest mieczem obosiecznym, ponieważ może także posłużyć etycznym hakerom oraz zespołom cyberbezpieczeństwa do rozpoznania wroga, czy słabości naszych własnych systemów IT. To z kolei pozwala zawczasu przygotować się na ewentualne scenariusze kierowanych na nasze firmy ataków.

W codziennym życiu z kolei, biały wywiad przyda się każdemu do wykrywania fake newsów, które od paru lat z impetem zalewają social media. Powstaje coraz więcej organizacji i projektów fack-chekingowych w Europie i na świecie, jak chociażby: International Fact-Checking Network (IFCN), Social Observatory for Disinformation and Social Media Analysis (SOMA), FactCheckEU, First Draft. W Polsce szeroko rozpoznawalna jest organizacja Demagog.pl, zrzeszona w IFCN, działająca już od prawie 10 lat i rozprawiająca się z półprawdami i przekłamaniami głoszonymi w naszych krajowych mediach.

Istnieją setki jeśli nie tysiące narzędzi OSINT i otwartych źródeł danych. W tym artykule przedstawiamy 3 przykłady powszechnych narzędzi, które mogą być używane do białego wywiadu, oraz pokazujemy, jak z nich korzystać i jak się przed nimi chronić.

Shodan (https://www.shodan.io)

Shodan to wyszukiwarka urządzeń podłączonych do Internetu, takich jak: kamery, rutery, drukarki, serwery, itp. Shodan pozwala na wyszukiwanie urządzeń według różnych kryteriów, takich jak: lokalizacja, system operacyjny, porty, usługi, protokoły. Może być używany do znalezienia podatnych lub słabo zabezpieczonych urządzeń, które mogą być wykorzystane do ataków DDoS czy zdobycia informacji o infrastrukturze sieciowej firmy.

Przykłady użycia Shodan:

  • Prosty przykład – aby znaleźć kamery internetowe w Polsce, można wpisać w wyszukiwarkę Shodan następujące zapytanie: country:PL webcam
  • Zaawansowany przykład – aby znaleźć niechroniony przez MFA portal Kibana, przez który zarządza się rozwiązaniem Elasticsearch, hostowany na chmurze AWS, można wpisać zapytanie: favicon.hash:-335242539 “200 OK” org:”Amazon.com” -title:”404″

Dla wyjaśnienie, hash o wartości -335242539 odpowiada webowej faviconie Kibany.

Google Dorking (https://www.google.com/)

“Google dorking”, znane również jako “Google hacking”, to technika takiego używania oficjalnej wyszukiwarki Google, aby znaleźć informacje o osobie, systemie IT lub firmie, umieszczone na publicznych stronach internetowych. Google Dork może także służyć do wykrywania niezaktualizowanego oprogramowania oraz luk bezpieczeństwa aplikacji dostępnych w Internecie. Pamiętaj, że nie zawsze masz prawo pobierać rezultaty wyszukiwania na swój komputer (np. pliki), nawet jeśli zostały w Internecie umieszczone przez pomyłkę lub nieostrożność.

Przykłady użycia Google Dork:

  • Aby wyszukać pliki logów składowanych w usłudze pamięci masowej S3 w chmurze AWS należy odpytać Google o: s3 site:amazonaws.com filetype:log
  • Aby wyszukać w Google dokumenty zawierające informacje o budżecie w EUR lub PLN, które zostały umieszczone w Internecie bez kontroli dostępu, należy wprowadzić do wyszukiwarki zapytanie: inurl:budget (ext:doc | ext:pdf | ext:xls | ext:txt | ext:rtf | ext:odt | ext:ppt | ext:pps | ext:xml) (intext:EUR | intext:PLN | intext:”budget”)

WPScan

WPScan jest skanerem podatności dedykowanym dla WordPressa, a więc potrafi wykryć błędy konfiguracji, niezaktualizowane oprogramowanie (np. pluginy) oraz niezabezpieczone zasoby tego popularnego systemu zarządzani treścią. Choć części czytelników takie skanowanie może przypominać pentesty, należy zwrócić uwagę, że przy pasywnej detekcji skaner nie wykonuje żądań, które systemy bezpieczeństwa firmy mogłyby uznać za agresywne tj. będące częścią realnego ataku. Dlatego takie działanie może być również domeną białego wywiadu.

Przykład użycia WPScan dla blogu GFT:

  • Aby wykryć istnienie przestarzałego i potencjalnie „dziurawego” interfejsu publikowania postów używającego XML-RPC, należy przeskanować żądany URL, najlepiej symulując losową przeglądarkę (w celu próby ominięcia zabezpieczeń WAF). Następnie należy przejść do sekcji XML-RPC:

Jak widać, WPScan wskazuje na 30% pewności, iż na stronach bloga GFT istnieje uruchomiony mechanizm XML-RPC. Jaka jest rzeczywista konfiguracja? To pozostawimy oczywiście dla siebie, ponieważ nie chcemy dzielić się informacjami pomocnymi w ewentualnym cyberataku 😉 Jednakże taki wynik dowodzi, że świat OSINT może być także niejednoznaczny i nie wszystkie odpowiedzi mogą być proste w interpretacji!

Jak się chronić przed OSINT?

Aby chronić się przed ujawnieniem poufnych informacji, cyberatakami i wykrywaniem podatności z użyciem technik OSINT, należy:

  • Zmieniać domyślne hasła i loginy na urządzeniach podłączonych do Internetu,
  • Stosować uwierzytelnianie wieloskładnikowe (MFA) oraz limitować dostęp do systemów do wąskiego zakresu IP z Internetu,
  • Bezzwłocznie i regularnie aktualizować oprogramowanie i łatać podatności,
  • Stosować zapory sieciowe i filtrować ruch dla urządzeń podłączonych do Internetu,
  • Wyłączać lub ograniczać dostęp do niepotrzebnych usług i portów,
  • Szyfrować „end-to-end” komunikację z urządzeniami podłączonymi do Internetu,
  • Używać w firmie narzędzi do monitorowania wycieków danych oraz tzw. threat intelligence,
  • Regularnie przeprowadzać pentesty rozwiązań, które dostępne są z Internetu,
  • Cyklicznie skanować własną infrastrukturę firmową, w celu detekcji podatności i możliwych wycieków danych, zanim zostaną one znalezione przez cyberprzestępców,
  • Przeprowadzać regularne i obowiązkowe szkolenia całego personelu w zakresie „security awareness”, w tym ochrony danych o różnej klasyfikacji,
  • Stosować restrykcyjną kontrolę dostępu do systemów i danych w publicznym Internecie, zgodnie z zasadami „need to know” i „least privileges”,
  • Zbierać i automatycznie analizować logi zdarzeń bezpieczeństwa, np. z użyciem systemów klasy SIEM/SOAR,
  • Bezwzględnie unikać publikowania informacji sensytywnych online, takich jak adres zamieszkania, prywatny numer telefonu, czy dane służącego do logowania lub dokonywania płatności w Internecie.

Niech cyberbezpieczeństwo będzie z Wami, nie tylko w światowy dzień bezpieczeństwa komputerowego ale w każdym momencie, kiedy decydujecie się zaryzykować i … stać się widocznymi w Internecie!