Foi criado no final da década de 1930 pela Foreign Broadcast information Service (FBIS) durante a Segunda Guerra Mundial, a sua função era realizar análise dos noticiários internacionais captados por rádio e monitoramento de publicações oficiais voltado para coletar, analisar e processar informações de fontes abertas. São bem utilizadas ainda hoje em dia.
No geral o primeiro passo de um ataque direcionado ou um teste de penetração, ou atividades de grupo específico – é coletar informações (information gathering) – sobre o alvo e realizar todo o mapeamento. Embora existam maneiras e meios para fazer isso secretamente, a coleta de informações geralmente começa com a coleta de informações de fontes públicas, coletivamente conhecidas como inteligência de código aberto ou OSINT. Existe uma riqueza de OSINT legalmente colecionável disponível de graça nas médias sociais, estudos divulgados ou em fóruns de pesquisas.
“A estrutura OSINT é uma estrutura de segurança cibernética que consiste em uma coleção de tecnologias de fontes aberta que podem ser usadas para encontrar informações sobre um alvo de maneira mais rápida e fácil.”
OSINT é um modelo de inteligência com foco em encontrar, selecionar e coletar informações de fontes públicas e analisar para que junto com outras fontes possam produzir um conhecimento de forma inteligente. Na comunidade de inteligência, o termo “aberto” refere-se a fontes disponíveis publicamente.
A Inteligência de Código Aberto (OSINT) adota três formas; Passivo, Semipassivo e Ativo.
• Coleta de Informações Passivas: A Coleta de Informações Passivas geralmente só é útil se houver uma exigência muito clara de que as atividades de coleta de informações nunca sejam detetadas pelo alvo. Esse tipo de perfil é tecnicamente difícil de executar, pois, nunca estamos a enviar tráfego para organização-alvo, nem de um dos nossos hosts ou serviços “anônimos” na Internet. Isso significa que só podemos usar e coletar informações arquivadas ou armazenadas. Como tal, essas informações podem estar desatualizadas ou incorretas, pois estamos limitados aos resultados coletados de terceiros.
• Coleta de Informações semipassivas: O objetivo da coleta de informações semipassivas é traçar o perfil do alvo com métodos que apareçam como tráfego e comportamento normais da Internet. Apenas os servidores de nomes publicados para obter informações, não realiza pesquisas inversas aprofundadas ou solicitações de DNS de força bruta, não procura por servidores ou diretórios “não publicados”. Não executa portscans ou crawlers de nível de rede, apenas olha para metadados em documentos e arquivos publicados; não busca ativamente conteúdo oculto. A intenção aqui é não chamar atenção para as atividades. O alvo pode ser capaz de voltar e descobrir as atividades de reconhecimento, mas eles não devem ser capazes de atribuir as atividades de volta a ninguém.
• Coleta de Informações Ativas: A coleta de informações ativas deve ser detetada pelo alvo e comportamento suspeito ou malicioso. Durante esta etapa estamos a mapear activamente a infraestrutura de rede (ferramenta nmap de varreduras de portas completas), enumerar ativamente e/ou vulnerabilidade escaneada, ativamente a procurar diretórios, arquivos e servidores inéditos. A maior parte dessa atividade se enquadra nas suas atividades tipicamente de “reconhecimento” ou “digitalização”, que podem ser atividades de pentest padrão.
Algumas ferramentas de OSINT:
Maltego, Shodan, TheHarvester, Recon-Ng, Spiderfoot, Censys, Checkusernames, Metagoofil, Recorded Future, Have i been pwned, Google Dorks (GHDB), Hunter.io, Who.is, Securitytrails, Centralops, Dehashed, Whoisxmlapi, Urlscan, Dnsdumpster, Exiftool, entre vários outros.
Com o uso de técnicas de coleta de inteligência não só ajuda você a impor o ponto de vista da segurança cibernética de uma organização, mas também pode ajudar a protegê-las, desde identificar vazamentos de dados, portas ou dispositivos inseguros conectados à internet, códigos disponíveis das páginas web e até combater tipos de ataque de engenharia social, phishing entre outros.
Com esses tipos de ferramentas de código aberto (open source) é possível identificar e analisar possíveis ameaças eminente, mapear as informações de forma correta com inteligência de código aberto. Saber quais informações estão disponíveis em fontes públicas é de extrema importância, pois podem prevenir você ou a sua organização de sofrerem um ataque cibernético.