Hlavní navigace

OSINT aneb co je možné zjistit o organizaci z otevřených zdrojů

13. 7. 2022

Sdílet

 Autor: Axians
Tento článek se věnuje analýze informací z otevřených zdrojů, především pak využití tohoto přístupu v penetračním testování. Vysvětluje, jaké druhy informací lze nalézt na internetu a jak tyto informace mohou útočníkovi usnadnit jeho práci.

Zkratka OSINT (Open Source Intelligence neboli zpravodajství z otevřených zdrojů) označuje sběr, zpracování a analýzu dat z volně dostupných zdrojů. K těmto mohou patřit různé tištěné či elektronické sdělovací prostředky, nicméně dominantní je internet. OSINT nevyužívají jen zpravodajské agentury, ale také novináři a firmy při analýze obchodních partnerů či konkurentů nebo i útočníci v počáteční fázi kybernetického útoku. Analýza otevřených zdrojů má své místo i v rámci penetračního testování, a to buď jako samostatná aktivita, nebo v menší či větší míře jako součást externích penetračních testů.

Externí penetrační testy simulují neautentizovaného útočníka přistupujícího prostřednictvím internetu, který v počáteční fázi disponuje velmi omezenými informacemi o svém cíli. Pomocí různých otevřených zdrojů však může být schopný zjistit další informace o cílové společnosti, jejích informačních technologiích či zaměstnancích, což často umožní či usnadní další navazující útoky.

O jaké typy informací nejčastěji jde a jaké zdroje jsou při tom využívány?

Vyhledávače

Základním zdrojem je Google nebo podobné webové vyhledavače. Abychom dostali co nejvíce relevantní výsledky, je často potřeba používat vyhledávací operátory jako:

  • site: hledá pouze v rámci specifikované domény
  • inurl: hledá slovo v rámci URL
  • intitle: hledá v názvu stránky
  • filetype: hledá v souborech specifikovaného typu
  • minus, vyloučí zadaný termín z výsledků

Jednoduchým příkladem je vyhledávací výraz site:axians.cz -site:www.axians.cz, který by měl hledat subdomény kromě www. Velké množství potenciálně zajímavých vyhledávacích výrazů je dostupných v databázi Google Hacking Database.

Dále existuje velké množství vyhledávačů a databází specializovaných na různé typy informací, zmínit můžeme např.:

  • Shodan.io – vyhledavač zařízení připojených do internetu, prohledává výsledky ze skenování
  • portů v rozsahu celého internetu
  • Have I Been Pwned – služba prohledávání uniklých databází přihlašovacích údajů, umožňuje
  • např. ověřit, zda se v některé nevyskytuje Vaše e-mailová adresa
  • Wayback Machine – archiv obsahující webové stránky v různých okamžicích v minulosti

Deep web a dark web

Kromě webových stránek, které lze najít prostřednictvím vyhledávačů, existují stránky, které vyhledávače nemají indexované, tzv. deep web. Odhaduje se, že tento obsah může tvořit kolem 90 % internetu. Patří sem např. webová fóra vyžadující registraci či jiné služby dostupné po přihlášení.

Kromě toho existuje hlubší vrstva, která je přístupná pouze prostřednictvím specifických protokolů, tzv. dark web. Nejvýznamnější je zde síť s názvem Tor, která je díky své anonymitě často používána k nelegálním činnostem či službám, a může tak sloužit například jako zdroj informací o kybernetických hrozbách.

Subdomény a IP adresy

Pokud chce útočník prostřednictvím internetu získat přístup do systémů konkrétní společnosti, musí nejdříve zjistit adresy, pod kterými jsou dostupné servery a jiná zařízení přístupná z internetu. Osvědčený způsob je prostřednictvím zjišťování subdomén, např. pokud je na adrese www.axians.cz webová prezentace společnosti, může e-mailový server mít adresu např. mail.axians.cz. Subdomény lze hledat zkoušením častých slov, která se v nich vyskytují, nebo prostřednictvím vystavených TLS certifikátů. V rámci standardu Certificate Transparency jsou totiž logy veřejně dostupné a je možné prohledávat domény, pro které byl certifikát vydán. Ze subdomén lze následně zjistit IP adresy, prověřit okolní adresy a odvodit, jaký adresní rozsah společnost používá.

Uvedeným způsobem je možné najít např. různé testovací servery nebo zapomenuté aplikace, jež mohou obsahovat známé zranitelnosti nebo které jsou méně zabezpečené.

E-mailové adresy a uživatelská jména

Pro realizaci phishingových útoků potřebuje útočník větší množství e-mailových adres zaměstnanců cílové společnosti. Obdobně pokud chce zkoušet hádat hesla pro přihlášení do některé aplikace, potřebuje znát e-maily nebo uživatelská jména. Zdrojem těchto dat mohou být webové stránky společnosti, webové vyhledávače i různé komerční služby poskytující kontaktní informace. Využít lze také informace ze sociálních sítí, především sítě LinkedIn.

Uniklé databáze s přihlašovacími údaji

Na specializovaných webových fórech nebo na síti Tor je možné najít různé kolekce uniklých přihlašovacích údajů. Často jde o seznamy uživatelských jmen nebo e-mailových adres a hesel (případně hashů hesel), jež byly použity pro přihlášení do některé webové aplikace, odkud tato databáze následně unikla. Rizikové je, když uživatelé používají stejné heslo pro přístup k více webovým aplikacím. Pokud přihlašovací údaje uniknou z jedné aplikace, mohou být kompromitovány i ostatní systémy.

Útočník v uvedených kolekcích vyhledá e-mailové adresy patřící cílové společnosti a zkouší se s nalezenými hesly přihlásit do dostupných systémů společnosti (tato technika se nazývá credential stuffing).

Služby třetích stran

Lze také zjišťovat další služby (typicky hostované u třetích stran – SaaS), jež cílová společnost využívá. Pokud je služba provozovaná na vlastní subdoméně, lze využít podobných postupů jako při hledání subdomén.

Patrně nejzajímavější je GitHub nebo obdobná úložiště zdrojových kódů. Občas se stane, že veřejné repozitáře společnosti nebo některého jejího zaměstnance obsahují citlivé informace jako hesla nebo API klíče.

Metadata souborů

Ze souborů uložených na webových stránkách, ať už jde o obrázky, Word dokumenty nebo PDF soubory, je možné mnohdy získat zajímavé informace jako GPS souřadnice, jména uživatelů, kteří dokument vytvořili, název počítače nebo software použitý pro tvorbu dokumentu. 

Používané technologie

Z webových stránek společnosti, typicky pak z pracovních inzerátů nebo sociálních sítí, lze často zjistit, jaké konkrétní technologie jsou ve společnosti používány. Např. informace o používaném antivirovém řešení může útočníkovi pomoci předem otestovat jím používané nástroje, tak aby se snížila pravděpodobnost, že bude detekován.

Pokud chcete prověřit, jaké informace by o Vaší společnosti mohl případný útočník zjistit, resp. jestli by byl schopný získat přístup do některých Vašich systémů, doporučujeme provedení specializovaného penetračního testu našimi experty.

business@axians.cz

www.axians.cz

Autor článku