L’Open Source Intelligence (l’intelligence delle fonti aperte) si basa su dati ed informazioni che sono disponibili ad un pubblico generalizzato. Non sono quindi limitate a quello che potrebbe essere trovato utilizzando semplicemente Google, sebbene il cosiddetto web di superficie sia una componente importante.
Per quanto preziosa possa essere l’intelligence delle fonti aperte, il sovraccarico di informazioni costituisce un vero problema, da tenere in considerazione. La maggior parte degli strumenti e delle tecniche utilizzate per le indagini di carattere OSINT, sono state progettate per aiutare gli esperti di sicurezza (oppure per degli agenti malevoli) a focalizzare i loro sforzi su specifiche aree di interesse.
C’è quindi un lato oscuro dell’Open Source Intelligence: ogni cosa che può essere rintracciata dagli esperti di sicurezza, può anche essere trovata, ed utilizzata, da possibili malintenzionati
Che cos’è l’Open source Intelligence?
Prima di cominciare a dare uno sguardo alle più comuni forme di fonti ed applicazioni di intelligence open source, è importante capire cosa sia, realmente.
Secondo la legge pubblica degli Stati Uniti, l’Open source Intelligence:
1. Viene prodotta da informazioni pubblicamente disponibili
2. Viene raccolta, analizzata, e disseminata in modo tempestivo ad un pubblico appropriato
3. Risponde ad un requisito di intelligence specifico
La frase su cui occorre concentrare qui l’attenzione è “disponibili pubblicamente”.
Il termine “fonti aperte” fa riferimento specificamente ad informazioni che sono disponibili per la consultazione pubblica. Se sono richiesti abilità, strumenti o tecniche specifiche, per accedere a parte delle informazioni ricercate, esse non possono essere considerate fonti aperte.
Sfortunatamente, le fonti aperte non sono limitate a ciò che puoi trovare utilizzando i maggiori motori di ricerca. Le pagine web e le altre risorse che possono essere trovate utilizzando Google sicuramente costituiscono una massiccia risorsa di informazioni derivanti da fonti aperte, ma esse sono ben lontane dall’essere le sole risorse.
Per i principianti, una vasta porzione di internet (oltre il 99%, secondo un precedente amministratore delegato di Google – Eric Schmidt) non può essere trovata utilizzando i maggiori motori di ricerca.
E’ il cosiddetto “deep web”, o web sommerso, costituito da una massa di siti, banche dati, file, ed altro ancora che, per varie ragioni (ad esempio, per la presenza di pagine di richiesta di autenticazione, richiesta di pagamento per poter accedere etc.) non può essere affatto indicizzato da Google, Bing, Yahoo, o qualsiasi altro motore di ricerca a cui tu possa pensare.
Tuttavia, gran parte del contenuto del web sommerso può essere considerato una fonte aperta, in quanto è pronto e disponibile per il pubblico.
Inoltre, esiste un’abbondanza di informazioni liberamente accessibili online che possono essere scovate utilizzando degli strumenti online, differenti dai tradizionali motori di ricerca.
Con strumenti simili è possibile rintracciare indirizzi IP, reti, porte aperte, webcam, stampanti, e quasi ogni cosa che sia connessa ad internet.
Le informazioni possono essere considerate come provenienti da fonti aperte se:
1. Pubblicate o trasmesse ad un’audience pubblica
2. Disponibili ad ogni richiesta pubblica
3. Disponibili tramite la sottoscrizione di una richiesta, o per l’acquisto
4. Possono essere viste o udite da un osservatore casuale
5. Prodotte durante un incontro aperto al pubblico
6. Ottenute visitando un posto, o partecipando ad un evento aperto al pubblico
A questo punto, starai pensando “Si tratta davvero di una gran quantità di informazioni!”
Ed hai perfettamente ragione. Stiamo parlando di una mole davvero inimmaginabile di informazioni che sta crescendo ad una velocità ben più alta di quanto ci si possa aspettare, sperando di riuscire a tenere il passo con essa.
Anche se restringiamo il campo ad una singola sorgente di informazioni – Twitter, ad esempio – saremmo costretti ad affrontare centinaia di milioni di nuovi dati, ogni giorno.
Questo, come avrai intuito, è il compromesso intrinseco delle Open Source Intelligence.
Da analista, avere una tale quantità di informazioni disponibili per te, è al tempo stesso una benedizione ed una sventura. Da una parte hai accesso a quasi qualsiasi cosa di cui potresti aver bisogno ma, dall’altra, dovrai avere in realtà la capacità di trovarla in un flusso di dati senza fine.
L’utilizzo della Open Source Intelligence
Dopo aver affrontato le nozioni basilari dell’intelligence delle fonti aperte, possiamo passare a mostrare come essa viene utilizzata comunemente per la Cybersecurity. Ci sono 2 casi di utilizzo comuni:
Hacking etico e penetration testing
Gli esperti di sicurezza utilizzando le fonti aperte per identificare potenziali vulnerabilità in reti fidate, in modo da poter permettere di porvi rimedio, prima che esse vengano attaccate da malintenzionati.
Vulnerabilità comunemente ritrovate includono:
1. Perdita accidentale di informazioni sensibili, ad esempio tramite i social media
2. Porte aperte, o dispositivi non sicuri, connessi ad internet
3. Software non aggiornato, come ad esempio siti funzionanti grazie a piattaforme software, di vecchie versioni.
4. Perdita accidentale di propri beni, come codice software proprietario
Identificazione di minacce esterne
Internet è, purtroppo, anche una eccellente fonte di apprendimenti sulle più urgenti minacce alle organizzazioni, pubbliche e private. Dall’indentificare quali nuove vulnerabilità sono state effettivamente sfruttate, fino all’intercettazione di comunicazioni di malintenzionati che discutono riguardo degli attacchi imminenti, l’intelligence delle fonti aperte permette ai professionisti della sicurezza di ottimizzare il tempo a loro disposizione, e le risorse da utilizzare per le minacce più importanti.
Spesso le fonti aperte vengo utilizzate in combinato con altri sottotipi di risorse. L’intelligence da fonti chiuse, quali la telemetria interna, le community del dark web, oppure community esterne che condividono le loro risorse, sono regolarmente utilizzate per filtrare ed eventualmente verificare l’intelligence delle fonti aperte.
La parte oscura dell’Open Source Intelligence
A questo punto, è il momento di rivolgere l’attenzione al secondo maggior problema delle fonti aperte: se qualcosa è disponibile per gli analisti dell’intelligence, lo è anche per dei malintenzionati.
I malintenzionati utilizzano strumenti e tecniche dell’OSINT per poter identificare potenziali bersagli, e sfruttarne poi le vulnerabilità, all’interno delle loro reti. Una volta che una vulnerabilità viene identificata, è spesso un processo estremamente facile e veloce, sfruttarla, per poi raggiungere una molteplicità di obiettivi dannosi.
Questo processo è la ragione principale per cui le piccole e medie imprese divengono oggetto di attacchi informatici, ogni anno. Ciò non avviene infatti per la presenza di gruppi di malintenzionati, specificamente interessati ed esse, ma piuttosto perché vi sono delle vulnerabilità nelle loro reti o nelle architetture dei loro siti, che vengono individuate semplicemente utilizzando delle tecniche di intelligence delle fonti aperte. In parole povere: esse sono dei bersagli facili.
L’intelligence delle fonti aperte, non permette solo attacchi a sistemi e reti informatiche. I malintenzionati cercano anche informazioni riguardo individui, organizzazioni che possono essere utilizzati per pianificare delle sofisticate campagne di ingegneria sociale, facendo ricorso al phishing (truffe via email) vishing (via voce, tramite telefono o messaggi vocali) e SMiShing (sfruttando SMS).
Spesso, informazioni apparentemente innocue, condivise sui social network e su blog, possono essere utilizzate per programmare delle campagne di ingegneria sociale davvero convincenti, a loro volta utilizzate per ingannare degli utenti benintenzionati, al fine di riuscire a compromettere le risorse o le reti della loro organizzazione.
Ecco perché utilizzare gli OSINT per propositi di sicurezza è così importante: fornisce l’opportunità di rintracciare e porre rimedio alle debolezze nella rete della propria organizzazione, e permettendo di rimuovere informazioni sensibili, riservate, prima che malintenzionati possano sfruttarle, utilizzando gli stessi strumenti e tecniche.
Commenti recenti