La inteligencia de fuentes abiertas OSINT, por sus siglas en inglés; es la práctica de recopilar información de fuentes publicadas o disponibles públicamente. Explicamos cómo encontrar los datos públicos sensibles antes de que lo hagan los ciberdelincuentes.
Para buscar entre el enorme pajar de datos visibles y encontrar las agujas que necesitan para lograr sus objetivos, las operaciones de OSINT emplean técnicas de vanguardia, ya sea que las lleven a cabo agentes de inteligencia autorizados por el estado, piratas informáticos maliciosos o expertos en seguridad de la información.
En muchos sentidos, la seguridad operativa (OPSEC), que es el procedimiento de seguridad mediante el cual las organizaciones protegen la información disponible públicamente sobre sí mismas, que, si se analiza adecuadamente, podría revelar verdades dañinas, es la antítesis de la inteligencia operativa (OSINT). Para mejorar la seguridad operativa, los equipos de seguridad internos realizan operaciones OSINT dentro de sus propias organizaciones. Buscan información privada que la empresa tal vez no sepa que existe. Esto les permite salvaguardar los datos expuestos o anticipar el conocimiento que un atacante podría tener sobre la empresa. Al determinar el riesgo, establecer prioridades para los recursos de seguridad y mejorar las prácticas y políticas de seguridad, esa información es esencial.
Aunque muchas herramientas OSINT son de código abierto, el término «código abierto» aquí no se refiere al movimiento del software de código abierto. Por el contrario, describe cómo los datos que se examinan son públicos.
▶ La adopción de cascos de realidad virtual podría generar problemas de privacidad
Del espionaje a la informática, la historia de OSINT
En la década de 1980, los servicios militares y de inteligencia comenzaron a reorientar algunos de sus esfuerzos de recopilación de información lejos de métodos encubiertos como intentar leer el correo de un enemigo o intervenir sus teléfonos para obtener información secreta. En cambio, dedicaron tiempo y esfuerzo a recopilar información que estaba disponible públicamente o incluso publicada de forma privada.
El mundo estaba cambiando en ese momento y, aunque las redes sociales aún no habían tomado el control, todavía había muchas fuentes, como periódicos y bases de datos de acceso público, que contenían información intrigante y en ocasiones útil, especialmente si uno sabía cómo conectar muchos. El término OSINT se utilizó por primera vez para describir este tipo de espionaje.
La ciberseguridad ahora puede utilizar los mismos métodos. La mayoría de las empresas tienen infraestructuras públicas considerables que cubren una amplia gama de redes, tecnologías, servicios de alojamiento y espacios de nombres. La información puede guardarse en los escritorios de la empresa, en servidores antiguos, en dispositivos propiedad de la empresa, en la nube, integrada en hardware como cámaras web o incluso oculta en el código fuente del software. activos.
El personal de seguridad y TI de una gran empresa casi nunca tiene un conocimiento completo de todos sus activos, ya sean accesibles al público o no. Es probable que exista mucha información que podría resultar perjudicial en las manos equivocadas. Esto se hace aún más probable por el hecho de que muchas organizaciones también poseen o controlan indirectamente varios activos, como sus cuentas de redes sociales.
¿Por qué es crucial OSINT?
Para gestionar ese enjambre de información, OSINT es esencial. En OSINT, TI tiene tres tareas clave que completar y se ha creado una variedad de herramientas para ayudar a satisfacer esas necesidades. La mayoría de las herramientas realizan las tres tareas, aunque muchas son particularmente buenas en una.
Encuentre activos de cara al público
Su función principal es ayudar a los equipos de TI a encontrar activos con una cara pública y mapear los datos que cada uno tiene que podrían aumentar una posible superficie de ataque. Su responsabilidad principal no es buscar vulnerabilidades de programas o ejecutar pruebas de penetración; más bien, se trata de realizar un seguimiento de qué información sobre los activos de la empresa se puede descubrir públicamente sin recurrir a la piratería.
Identificar información relevante fuera de la organización
La búsqueda de información relevante fuera de una organización, como en publicaciones de redes sociales o en dominios y ubicaciones que podrían estar fuera de una red estrictamente definida, es una función secundaria de algunas herramientas OSINT. Esta característica puede resultar extremadamente útil para las empresas que con frecuencia adquieren empresas y se llevan consigo sus activos de TI. Encontrar información confidencial fuera de los límites de una empresa probablemente sea útil para casi cualquier grupo, dado el enorme crecimiento y popularidad de las redes sociales.
Recopilar datos que puedan usarse para tomar decisiones
Por último, pero no menos importante, algunas herramientas OSINT ayudan a compilar y organizar todos los datos aprendidos en inteligencia que se puede utilizar y tomar medidas. Cuando se escanean activos internos y externos como parte de un escaneo OSINT para una gran empresa, los resultados pueden ascender a cientos de miles. Puede resultar muy beneficioso combinar toda esa información y poder abordar los problemas más graves primero.
Las mejores herramientas OSINT
Al ayudar a descubrir información sobre su empresa, personal, recursos informáticos y otros datos sensibles o confidenciales que un atacante podría usar en su contra, el uso de la herramienta OSINT adecuada para su organización puede mejorar la ciberseguridad. Los ataques de phishing y de denegación de servicio (DoS) pueden reducirse encontrando primero esa información, ocultándola y luego borrándola. Dependiendo de su entorno y sus necesidades, los profesionales que realizan operaciones OSINT con regularidad emplean con frecuencia un conjunto de herramientas. preferencias.
Las principales herramientas OSINT se enumeran a continuación (sin ningún orden en particular), junto con información sobre sus especialidades, qué las distingue entre sí y qué beneficios específicos podrían tener para los esfuerzos de ciberseguridad de una empresa.
Maltego
Maltego se especializa en identificar conexiones entre entidades como personas, empresas, dominios y datos disponibles públicamente en Internet. También es conocido por organizar la, a veces, enorme cantidad de información que se encuentra en tablas y gráficos fáciles de leer. Se permiten 10.000 puntos de datos para cada gráfico.
Al automatizar el proceso de búsqueda en varias fuentes de datos abiertos, el programa Maltego permite a los usuarios hacer clic en un solo botón para ejecutar múltiples consultas. En el programa se hace referencia a un plan de búsqueda como una «acción de transformación», y Maltego viene con varios de ellos de forma predeterminada, incluidas fuentes de datos públicos populares como registros DNS, registros whois, motores de búsqueda y redes sociales. Dado que el programa realiza sus búsquedas utilizando interfaces públicas, es compatible con casi cualquier fuente de datos que tenga una interfaz pública, lo que simplifica agregar búsquedas adicionales a una acción de transformación o desarrollar una nueva.
Una vez que se han recopilado los datos, Maltego crea conexiones que pueden revelar conexiones ocultas entre nombres, direcciones de correo electrónico, alias, empresas, sitios web, propietarios de documentos, afiliaciones y otra información que puede ser útil en una investigación o en la búsqueda de posibles problemas futuros. Todas las plataformas Linux, Mac y Windows pueden ejecutar el programa porque está basado en Java.
Mitaka
Disponible como extensión de Chrome y complemento de Firefox, Mitaka permite buscar en más de seis docenas de motores de búsqueda direcciones IP, dominios, URL, hashes, ASN, direcciones de monederos Bitcoin y diversos indicadores de compromiso (IOC) desde el navegador web.sharma osint 1Ax Sharma.
Al servir como acceso directo a numerosas bases de datos en línea a las que se puede acceder con un solo clic, la extensión ayuda a ahorrar tiempo. Sputnik es una extensión alternativa para quienes prefieren una selección más pequeña.
Spiderfoot
Disponible en GitHub, Spiderfoot es una herramienta gratuita de reconocimiento OSINT que se integra con numerosas fuentes de datos para recopilar y analizar direcciones IP, rangos CIDR, dominios y subdominios, ASN, direcciones de correo electrónico, números de teléfono, nombres y nombres de usuario, direcciones BTC, etc.
Más de 200 módulos componen la aplicación en sí, lo que la hace perfecta para las operaciones de reconocimiento del equipo rojo, aprender más sobre su objetivo o descubrir qué usted o su empresa podrían estar divulgando en línea sin querer.
Spyse
Según Spyse, se trata del «registro de activos de Internet más completo» dirigido a expertos en ciberseguridad. Spyse recopila información sobre sitios web, sus propietarios, servidores relacionados y dispositivos IoT de fuentes disponibles públicamente y cuenta con la confianza de iniciativas como OWASP, IntelligenceX y el mencionado Spiderfoot. Para identificar cualquier riesgo de seguridad en estas diversas entidades y las conexiones entre ellas, el motor Spyse analiza estos datos a continuación.
Aunque existe un plan gratuito, es posible que los desarrolladores de aplicaciones que planeen utilizar la API de Sypse deban comprar suscripciones.
BuiltWith
Como su nombre indica, BuiltWith te permite encontrar con qué están construidos los sitios web más populares. Diferentes pilas de tecnología y plataformas alimentan diferentes sitios. BuiltWith puede, por ejemplo, detectar si un sitio web utiliza WordPress, Joomla o Drupal como CMS y proporcionar más detalles.
BuiltWith también genera una lista de bibliotecas JavaScript/CSS conocidas (por ejemplo, jQuery o Bootstrap) que utiliza un sitio web. Además, el servicio proporciona una lista de plugins instalados en los sitios web, frameworks, información del servidor, información de análisis y seguimiento, etc. BuiltWith puede utilizarse con fines de reconocimiento.
¿Y qué más? Combine BuiltWith con escáneres de seguridad de sitios web como WPScan que, por ejemplo, se integran con la API de la base de datos de vulnerabilidades de WordPress para detectar vulnerabilidades de seguridad comunes que afectan a un sitio web.
Para aquellos que buscan identificar principalmente la composición de la pila tecnológica de un sitio, Wappalyzer puede ser más adecuado, ya que proporciona un resultado más centrado y conciso. Pruebe tanto BuiltWith como Wappalyzer y vea cuál se adapta mejor a sus necesidades.
Inteligencia X
Intelligence X, el primer motor de búsqueda y archivo de su tipo, preserva no solo iteraciones anteriores de páginas web sino también colecciones completas de información filtrada que normalmente se eliminaría de Internet debido a su naturaleza objetable. o por una variedad de razones legales. Cuando se trata de los tipos de contenido en los que el servicio se centra en preservar, Intelligence X tiene algunas diferencias significativas con respecto a lo que hace Wayback Machine de Internet Archive, a pesar de que puede parecer similar. Intelligence X no toma partido cuando se trata de mantener conjuntos de datos, por muy polémicos que sean.
Intelligence X conservó previamente la lista de Fortinet de más de 49.000 VPN que se descubrió que eran vulnerables a una falla de Path Traversal. Más adelante en la semana, las contraseñas en texto plano para estas VPN también se hicieron públicas en foros de hackers; Nuevamente, Intelligence X retuvo estas contraseñas a pesar de haber sido eliminadas de estos foros.
Los datos anteriores indexados por el servicio procedían de cuentas de correo electrónico de políticos conocidos como Hillary Clinton y Donald Trump. El vídeo de los disturbios en el Capitolio de 2021 y la filtración de 533 millones de datos de perfiles de Facebook son dos ejemplos más recientes de medios que Intelligence X ha indexado. Estos datos pueden ser muy útiles para una variedad de personas, incluidos recolectores de información, analistas políticos, reporteros de noticias e investigadores de seguridad.
DarkSearch.io
Mientras que los visitantes frecuentes de la web oscura pueden estar ya familiarizados con dónde buscar qué, para aquellos que pueden ser nuevos, DarkSearch.io puede ser una buena plataforma para comenzar con sus actividades de investigación. Al igual que otro motor de búsqueda de la web oscura, Ahmia, DarkSearch es gratuito pero viene con una API gratuita para ejecutar búsquedas automatizadas.
Aunque tanto Ahmia como DarkSearch tienen sitios .onion, no es necesario ir necesariamente a las versiones .onion o utilizar Tor para acceder a cualquiera de estos motores de búsqueda. Simplemente accediendo a darksearch.io desde un navegador web normal te permitirá buscar en la web oscura.
Grep.app
¿Cómo buscar en medio millón de repos de git en Internet? Podría probar las barras de búsqueda individuales ofrecidas por GitHub, GitLab o BitBucket, pero Grep.app hace el trabajo de forma muy eficiente. De hecho, Grep.app fue utilizado recientemente por usuarios de Twitter y periodistas en múltiples ocasiones para hacerse una idea aproximada de cuántos repositorios estaban utilizando el Codecov Bash Uploader:
Grep.app también puede ser útil a la hora de buscar cadenas asociadas a IOCs, código vulnerable o malware (como Octopus Scanner, Gitpaste-12, o GitHub Action cryptomining PRs maliciosos) al acecho en repos de OSS.
Recon-ng
Recon-ng, un programa escrito en Python, es una potente herramienta disponible para los programadores que utilizan ese lenguaje. Debido a lo similar que es su interfaz al conocido Metasploit Framework, aquellos que ya están familiarizados con él deberían encontrarlo más fácil de entender. Los desarrolladores deberían poder utilizarlo rápidamente porque también tiene una función de ayuda interactiva, que muchos módulos de Python no tienen.
Recon-ng automatiza las tareas OSINT que consumen mucho tiempo, como copiar y pegar. Aunque Recon-ng no afirma que su herramienta pueda realizar toda la recopilación OSINT, se puede utilizar para automatizar muchos de los tipos de recopilación más comunes, liberando más tiempo para tareas que aún requieren mano de obra.
Tiene un marco muy modular con muchas funciones integradas y fue creado para que incluso el desarrollador de Python más inexperto pueda crear búsquedas de datos disponibles públicamente y obtener buenos resultados. La interfaz incluye funciones para realizar tareas rutinarias como administrar claves API, realizar solicitudes web, normalizar resultados y trabajar con bases de datos. Los desarrolladores pueden crear rápidamente un módulo automatizado seleccionando las funciones que desean que realice Recon-ng en lugar de programarlo para realizar búsquedas.
El software gratuito y de código abierto se está reconociendo. La wiki de la herramienta está disponible y contiene toda la información que necesita para comenzar a usarla, así como sugerencias sobre cómo usarla de manera efectiva.
theHarvester
TheHarvester está diseñado para recopilar datos abiertos que existen fuera de la red propiedad de una organización, lo que la convierte en una de las herramientas más sencillas de usar de la lista. Aunque ocasionalmente puedes encontrar cosas en redes internas, la mayoría de las herramientas que utilizas son externas. Antes de realizar pruebas de penetración u otros entrenamiento similar, sería útil como paso de reconocimiento.
Las fuentes de TheHarvester incluyen motores de búsqueda conocidos como Bing y Google, así como otros menos conocidos como dogpile, DNSdumpster y el motor de metadatos Exalead. Además, utiliza AlienVault Open Threat Exchange y Netcraft Data Mining. El motor de búsqueda Shodan puede incluso utilizarse para encontrar puertos abiertos en hosts descubiertos. TheHarvester generalmente recopila correos electrónicos, nombres, subdominios, IP y URL.
TheHarvester no requiere ninguna configuración especial para acceder a la mayoría de las fuentes abiertas. Algunas de las fuentes, sin embargo, exigen una clave API. La versión de Python en su entorno debe ser 3.6 o superior. En GitHub, cualquiera puede descargar theHarvester. Se recomienda clonar un virtualenv y usarlo para crear un entorno Python aislado.
Shodan
Shodan es un motor de búsqueda especializado que se utiliza para recopilar información sobre dispositivos como los miles de millones que componen el Internet de las cosas (IoT), que a menudo pasan desapercibidos pero que actualmente están presentes en todas partes. En los sistemas de destino, también se puede utilizar para descubrir cosas como puertos abiertos y vulnerabilidades. Aunque es necesaria una cuenta paga para interactuar en profundidad con Shodan, algunas otras herramientas OSINT, como theHarvester, la utilizan como fuente de datos.
Como parte de un esfuerzo de OSINT, Shodan puede monitorear y buscar en una cantidad notable de ubicaciones. Es uno de los pocos motores capaces de examinar tecnología operativa (OT) como la que se encuentra en los sistemas de control industrial que se encuentran en lugares como fábricas y plantas de energía. Cualquier esfuerzo por recopilar información OSINT en sectores que utilizan tanto TI como OT sería en gran medida ignorado sin una herramienta como Shodan.
Shodan se puede utilizar para escanear bases de datos para ver si hay información a la que el público puede acceder a través de rutas distintas a la interfaz principal, además de dispositivos de IoT como cámaras, sensores de edificios y dispositivos de seguridad. Incluso se puede utilizar para encontrar videojuegos como Counter-Strike: Global Offensive o Minecraft que están presentes de forma inadecuada en las redes corporativas y las vulnerabilidades que provocan.
Con una licencia Freelancer, cualquiera puede usar Shodan para escanear hasta 5120 direcciones IP cada mes y recibir hasta un millón de resultados. Eso tiene un costo mensual de $59. Los usuarios serios pueden comprar una licencia corporativa, que ofrece resultados ilimitados y hasta 300.000 IP de escaneo por mes. La versión corporativa de $899 por mes viene con soporte premium y un filtro de escaneo de vulnerabilidades.
Metagoofil
Otra herramienta disponible gratuitamente en GitHub, Metagoofil está optimizada para extraer metadatos de documentos públicos. Metagoofil puede investigar casi cualquier tipo de documento que pueda alcanzar a través de canales públicos, incluyendo .pfd, .doc, .ppt, .xls y muchos otros.
La cantidad de datos interesantes que Metagoofil puede reunir es impresionante. Las búsquedas devuelven cosas como los nombres de usuario asociados a los documentos descubiertos, así como los nombres reales si están disponibles. También mapea las rutas de acceso a esos documentos, lo que a su vez proporcionaría datos como nombres de servidores, recursos compartidos e información sobre el árbol de directorios de la organización anfitriona.
Todo lo que Metagoofil encuentra sería muy útil para un hacker, que podría utilizarlo para lanzar ataques de fuerza bruta contra contraseñas o incluso correos electrónicos de phishing. Las organizaciones que quieran protegerse podrían, en cambio, tomar la misma información recopilada por OSINT y protegerla u ocultarla antes de que un actor malicioso pueda tomar la iniciativa.
Babel X
La información relevante no siempre está en inglés. Solo alrededor de una cuarta parte de los usuarios de Internet hablan inglés como idioma principal según Statista, aunque varias fuentes dicen que hasta el 55% del contenido de Internet está en inglés. La información que necesita puede estar en chino, español o tamil.
Babel X de Babel Street es una herramienta de búsqueda multilingüe para la Internet pública, que incluye blogs, redes sociales, tableros de mensajes y sitios de noticias. También busca en la web oscura, incluidos los sitios de Onion, y algunos contenidos de la web profunda a los que Babel X puede acceder a través de acuerdos o licencias de los propietarios del contenido. El producto puede ubicar geográficamente la fuente de información que encuentra y puede realizar análisis de texto para identificar resultados relevantes. Babel X actualmente es capaz de buscar en más de 200 idiomas.
Los casos de uso en los que una búsqueda multilingüe es útil incluyen la búsqueda de noticias globales para conocer la situación, por ejemplo, conocer las tendencias en la orientación de los ataques de ransomware. También se puede utilizar para detectar la propiedad intelectual de una empresa a la venta en un sitio web extranjero, o información que muestra que un socio clave se ha visto comprometido. Los clientes también han utilizado Babel X para encontrar identificadores de usuarios de presuntos atacantes en foros de mensajes que no están en inglés.
El producto principal de Babel X está basado en la nube y permite a los clientes personalizarlo agregando sus propias fuentes de datos para buscar. Babel Box es una versión local, pero carece de algunas funciones de Babel X, como el acceso a fuentes de datos de la web profunda. Babel Channels, la opción de menor coste, es una colección seleccionada de fuentes de datos. Una aplicación móvil está disponible para todas las opciones.
Searchcode
Searchcode es un motor de búsqueda altamente especializado que busca inteligencia valiosa dentro del código fuente para aquellos que realmente necesitan profundizar en la intrincada matriz de recopilación de OSINT. Sorprendentemente, un desarrollador es el responsable de crear este potente motor.
El código de búsqueda se encuentra en algún lugar entre una herramienta OSINT y una herramienta creada para encontrar cosas distintas a la información disponible públicamente porque primero se debe agregar un repositorio de código al programa antes de poder realizar búsquedas. Sin embargo, todavía puede considerarse una herramienta OSINT, ya que los programadores pueden utilizarla para identificar vulnerabilidades que podrían permitir el acceso no autorizado a datos confidenciales en aplicaciones que ya están en uso o en desarrollo. En el último escenario, los problemas podrían resolverse antes de la implementación en un entorno de producción.
Searchcode hace un gran trabajo al hacer que su interfaz sea lo más fácil de usar posible, aunque cualquier cosa que involucre código requerirá más conocimientos que, por ejemplo, una búsqueda en Google. Los usuarios simplemente ingresan texto en sus campos de búsqueda y el código de búsqueda devuelve resultados pertinentes con los términos de búsqueda resaltados en las líneas de código. Los términos de búsqueda incluyen nombres de usuario, fallas de seguridad como llamadas eval $_GET, funciones activas no deseadas como re . compilación y caracteres especiales que se pueden utilizar para lanzar ataques de inyección de código.
Los resultados de una consulta de código de búsqueda suelen explicarse por sí solos. Por otro lado, si necesita más información o tiene problemas de coincidencia, puede hacer clic en esos resultados para encontrarlos.
Marco OSINT
Si bien estas herramientas proporcionan una gran cantidad de datos OSINT, existen muchas otras herramientas y técnicas que se pueden utilizar para comprender completamente la huella pública de su empresa. OSINT Framework, que proporciona una interfaz basada en web que deconstruye varias áreas temáticas de interés para los investigadores de OSINT y lo conecta con herramientas que pueden ayudarlo a encontrar la información que necesita, es un gran recurso para aprender sobre herramientas adicionales.
Aunque algunas de las herramientas de OSINT Framework le indicarán que requieren registro o que tengan versiones pagas con funciones adicionales, todas son gratuitas. Algunas son simplemente herramientas para crear búsquedas sofisticadas en Google, que pueden producir una cantidad inesperada de datos. Con una página de proyecto en GitHub, Justin Nordine se ocupa del marco OSINT.
¿OSINT es un delito?
A pesar de que los piratas informáticos malintencionados utilizan con frecuencia técnicas OSINT para el reconocimiento antes de lanzar un ataque ilegal, las herramientas y técnicas en sí mismas son generalmente perfectamente legales porque están diseñadas para ayudarlo a determinar qué datos se publican y qué no. En la abertura. Incluso se alienta el uso de técnicas OSINT por parte de organizaciones gubernamentales para identificar debilidades en sus propias defensas de ciberseguridad.
Sin embargo, el rastro que dejan estas consultas OSINT puede llevarlo a un territorio legal ambiguo. Respecto a cómo cumplir la ley, Media Sonar tiene unos consejos excelentes. Por ejemplo, acceder a áreas públicas de la web oscura es legal y puede ser necesario si intentas averiguar si los datos de tu empresa han sido comprometidos o robados. Sin embargo, no debe intentar comprar recopilaciones de datos robados como parte de su investigación ni hacerse pasar por un funcionario encargado de hacer cumplir la ley para obtener información de figuras turbias.
En general, es crucial crear un código de conducta con anticipación para guiar la conducta de los miembros de su personal durante estas expediciones. También es fundamental documentar todo lo que hace para demostrar que cumple con estas reglas y que no ha infringido ninguna ley.
Cómo cerrar los vacíos de inteligencia de fuentes abiertas OSINT
Todos los ataques e intrusiones no implican penetraciones profundas sofisticadas ni amenazas avanzadas altamente persistentes. Como todos los demás, los piratas informáticos seleccionarán la ruta que los lleve más rápido a sus objetivos. Si se puede acceder a la información que buscan a través de un canal de acceso público, no hay necesidad de pasar meses intentando violar la estricta seguridad cibernética. La información confidencial puede, como mínimo, utilizarse para obtener credenciales legítimas más rápidamente o para planificar una intrusión de manera más eficiente y con menos riesgo.
La información que está disponible públicamente sobre una organización, sus redes, datos y usuarios se puede gestionar con la ayuda de herramientas OSINT. Es fundamental localizar esa información rápidamente para poder eliminarla antes de que alguien pueda aprovecharla.