Les organisations ont une empreinte numérique et tout leur personnel en a aussi. Ces empreintes peuvent contenir une multitude d’informations sensibles ou utilisables par arme. OSINT vous permet de voir ce que les pirates peuvent voir.
Table des matières
Intelligence Open Source
Malgré son nom, l’intelligence open-source (OSINT) n’est pas liée aux logiciels open-source, bien qu’il existe de nombreux outils logiciels open-source qui peuvent vous aider à collecter des informations open-source. OSINT est un renseignement recueilli à partir de sources accessibles au public. Aucune cybercriminalité n’est requise pour obtenir ces informations, elles sont facilement accessibles si vous savez où chercher et comment effectuer des recherches.
OSINT peut être collecté à partir de sources telles qu’Internet, les médias de masse, les médias sociaux, les revues de recherche et les outils de recherche des États ou des gouvernements nationaux tels que Recherche commerciale du secrétaire d’État de Californie et le Royaume-Uni Recherche de sociétés dans la maison des entreprises.
OSINT est ouvert à tous. Vous ne visualisez que les informations accessibles au public, vous ne visualisez pas illégalement du matériel privé ou n’utilisez pas les informations de connexion d’une personne sans son autorisation. C’est la différence entre examiner leurs publications publiques et accéder à leur compte pour lire des messages privés privés.
Pour la plupart, OSINT est gratuit. Certains outils de recherche spécialisés utilisent un freemium modèle, mais en général, OSINT est à faible risque, gratuit et très efficace. Sans surprise, les acteurs de la menace utilisent OSINT dans la phase de reconnaissance de la planification d’une cyber-attaque telle que Hameçonnage attaques et ingénierie sociale attaques ou autres actions dommageables telles que le chantage d’entreprise ou personnel.
Pour vous protéger, vous devez savoir ce qui existe à propos de votre organisation et de votre personnel.
Pourquoi les acteurs de la menace adorent OSINT
OSINT aide les équipes de sécurité à localiser et à comprendre les informations, indices et autres fil d’Ariane que vos employés laissent dans leur empreinte numérique publique qui compromet votre sécurité.
Par exemple, vous pouvez avoir un développeur Web qui a créé un profil sur LinkedIn. Les profils des développeurs incluent généralement une description des technologies avec lesquelles ils maîtrisent et des technologies sur lesquelles ils travaillent. Cela indique également au monde les technologies sur lesquelles votre site Web est construit, ce qui, à son tour, donne des conseils sur le type de vulnérabilités auxquelles il peut être sensible.
Il est également probable que cette personne dispose d’un compte administratif sur votre site Web. D’autres informations qu’ils publient, telles que les noms d’animaux de compagnie, d’enfants ou de leurs proches, sont souvent utilisées comme base des mots de passe, et ces informations seront également récoltées par les acteurs de la menace.
Le Dark Web contient des bases de données de toutes les violations de données qui se produisent. LinkedIn a eu une violation de données en mai 2016 qui a laissé 164 millions adresses e-mail et mots de passe exposés. Si les détails de votre développeur ont été pris dans cette brèche et qu’il a réutilisé ce mot de passe sur votre site Web, les acteurs de la menace disposent désormais d’un moyen facile de contourner la sécurité de votre site Web.
En relation: Comment vérifier si les e-mails du personnel sont en violation de données
Vous pouvez également utiliser OSINT
De nombreuses organisations utilisent des tests de pénétration pour détecter les vulnérabilités des actifs et des services réseau connectés à Internet. OSINT peut être utilisé de la même manière pour détecter les vulnérabilités créées par la publication d’informations.
Avez-vous quelqu’un qui donne sans le savoir trop d’informations? D’ailleurs, quelle quantité d’informations existe-t-il déjà qui pourraient être bénéfiques pour un acteur menaçant? En fait, la plupart des tests de pénétration et équipe rouge Les équipes de sécurité effectuent des recherches OSINT dans le cadre de la première phase de collecte et de reconnaissance des données.
Dans quelle mesure les autres peuvent-ils découvrir votre organisation et votre personnel grâce à leur empreinte numérique? Le moyen le plus évident de le savoir est de faire effectuer des recherches OSINT sur votre propre organisation.
Techniques OSINT simples
Quel que soit l’outil ou la technique que vous utilisez, il est préférable de commencer par une recherche plus large et de l’affiner progressivement vers une focalisation plus étroite, guidée par les résultats des recherches précédentes. Si vous commencez avec une focalisation trop étroite, vous risquez de manquer des informations qui n’apparaissent qu’avec un ensemble de termes de recherche plus souples.
N’oubliez pas que ce ne sont pas seulement vos employés qui ont une empreinte numérique. Votre organisation elle-même a une empreinte numérique, provenant de référentiels non techniques tels que les enregistrements d’enregistrement des entreprises, les dépôts financiers, pour apparaître dans les résultats des sites de recherche de matériel tels que Shodan et ZoomEye. Les sites de recherche de matériel comme ceux-ci vous permettent de rechercher des périphériques d’un certain type, marque et modèle ou catégorie générique telle que «webcams ip». Vous pouvez rechercher des protocoles, des ports ouverts ou des caractéristiques telles que «mot de passe par défaut». Les recherches peuvent être filtrées et affinées par région géographique.
Votre propre site Web peut contenir toutes sortes d’informations utiles pour l’acteur de la menace. La page «Meet the Team» donne les rôles et les noms, et éventuellement les adresses e-mail. Si vous pouvez voir comment les adresses e-mail sont formées – «prénom.nom @», ou «initial.nom @», «nominitial @» sans point, etc., vous pouvez déterminer l’adresse e-mail de quiconque dans le entreprise tant que vous avez son nom. Une liste de clients peut être obtenue à partir de votre page de témoignages.
C’est tout ce dont l’acteur de la menace a besoin pour effectuer un hameçonnage attaque. Ils peuvent envoyer un e-mail à une personne de rang intermédiaire du service financier qui semble provenir d’un membre senior du personnel. L’email aura un ton d’urgence. Il demandera qu’un paiement urgent à un client désigné soit effectué dans les plus brefs délais. Bien entendu, les coordonnées bancaires sont les coordonnées bancaires de l’acteur menaçant.
Les photographies sur les réseaux sociaux et les blogs doivent être soigneusement vérifiées pour les informations capturées en arrière-plan ou sur les bureaux. Les terminaux informatiques, les tableaux blancs, les documents sur les bureaux, les laissez-passer de sécurité et les badges d’identité peuvent tous révéler des informations utiles pour un acteur menaçant.
Des plans d’étage de bâtiments sensibles ont été découverts en ligne sur des portails d’applications de planification accessibles au public. Les référentiels Git non protégés peuvent révéler des vulnérabilités dans les applications Web ou permettre aux acteurs de la menace d’injecter leur propre porte dérobée dans le code source.
Profils de médias sociaux sur des sites tels que LinkedIn, Facebook, et Twitter peut souvent en révéler énormément sur les individus. Même un compte Twitter sur le lieu de travail qui publie un tweet joyeux sur l’anniversaire d’un membre du personnel peut fournir des informations qui peuvent être utiles et exploitables. Supposons qu’un Tweet soit fait à propos d’une personne appelée Shirley qui a 21 ans et se fait présenter un gâteau au travail. Quiconque peut voir le tweet a désormais son nom et son année de naissance. Leur mot de passe est-il peut-être «Shirley1999» ou «Shirley99».
Les informations trouvées sur les réseaux sociaux sont particulièrement adaptées ingénierie sociale. L’ingénierie sociale est la manipulation sournoise mais habile des membres du personnel afin d’obtenir un accès non autorisé aux informations de votre bâtiment, de votre réseau et de votre entreprise.
Est-ce vraiment légal?
L’utilisation des méthodes OSINT aux États-Unis et au Royaume-Uni est légale. Dans d’autres juridictions, vous devez vérifier votre législation locale. En règle générale, si les données ne sont pas protégées par mot de passe et ne nécessitent aucune tromperie ou infiltration pour les acquérir, il est alors légal d’y accéder. Les acteurs de la menace ne se soucient pas de ces points, bien sûr.
Le Protocole de Berkeley définit un cadre d’orientation pour la conduite des enquêtes OSINT sur les crimes de guerre et les violations des droits de l’homme. Ceci ou quelque chose de similaire est une bonne référence à utiliser pour obtenir des conseils sur la légalité et l’éthique des recherches OSINT.
Voici quelques-uns des outils OSINT les plus connus et les plus utilisés. Kali Linux contient beaucoup de ces éléments, d’autres sont disponibles sous forme d’images de conteneurs téléchargeables, ou à partir de GitHub, ou en tant qu’installations autonomes. Notez que la plupart d’entre eux sont uniquement Linux. Les sites Web peuvent être utilisés de n’importe où, bien sûr.
- Ghunt: Recherche autant d’informations sur un individu dans son profil Google que possible en recherchant tout ce qui est lié à son adresse e-mail Gmail.
- ReNgine: Combine et affiche une vue agrégée des résultats de diverses analyses d’outils OSINT. ReNgine effectue les analyses à l’aide des autres outils et crée une vue mixte des informations renvoyées.
- Shodan: Un moteur de recherche de périphérique, de protocole et de matériel. Il est couramment utilisé pour détecter les appareils non sécurisés, en particulier les appareils Internet des objets.
- ZoomEye: Une alternative à Shodan.
- Mappeur social: Social Mapper utilise la reconnaissance faciale et les noms pour suivre les cibles sur plusieurs plates-formes de médias sociaux. C’est gratuit, mais vous devez vous inscrire.
- Pied d’araignée: Un outil d’automatisation OSINT, disponible en version open source et commerciale. La version open source a certaines des fonctionnalités haut de gamme désactivées.
- Sublist3r: Énumérateur de sous-domaine basé sur Python
- theHarvester: Aide à «déterminer le paysage des menaces externes d’une entreprise sur Internet» en rassemblant «e-mails, noms, sous-domaines, adresses IP et URL»
- Maltgo: Maltego est un outil de recherche qui collecte des données à partir de nombreuses sources OSINT et affiche un ensemble graphique de liens entre les données et les individus.
- Google Dorking: Google dorking ou Google hacking utilise des techniques de recherche avancées pour trouver des éléments qui ont été indexés par Google mais qui n’apparaissent pas dans les recherches normales, telles que les fichiers de configuration et les listes de mots de passe. Des sites comme Exploiter la base de données sont dédiés au partage des termes de recherche Google Dorking.
C’est (principalement) gratuit, alors utilisez-le
Si votre équipe de sécurité n’utilise pas déjà OSINT, il leur manque vraiment une astuce. Être en mesure de localiser, modifier ou supprimer des informations sensibles du domaine public est un excellent moyen de minimiser les vulnérabilités basées sur l’information contre l’accès par les acteurs de la menace.