venerdì 18 febbraio 2022
Open Source Intelligence (OSINT): che cosa è, a chi serve, perchè il cyber crimine ne sta approfittando
CHE COSA
Partiamo dalle basi: con OSINT ci si riferisce, semplicemente, a tutte le informazioni che sono disponibili al pubblico. E una disciplina mirata alla ricerca e acquisizione di informazioni tramite le cosiddette fonti aperte ed è oggi strettamente legata all'attività investigativa. Se se ne volesse indicare una data di nascita, occorrerebbe risalire alla II Guerra Mondiale, quando si affermò come strumento di raccolta e analisi di informazioni da parte delle agenzie di sicurezza e intelligence di molte nazioni coinvolte nel conflitto.
Rimanendo confinati all'uso legale dell'OSINT, le informazioni devono essere pubblicamente disponibili: insomma, in linea teorica, sarebbero utilizzabili soltanto dati provenienti da fonti accessibili senza violare leggi sulla privacy, sul copyright e il codice penale. Oggi ne viene fatto largo uso da parte delle aziende, che possono raccogliere e analizzare informazioni sui concorrenti per elaborare strategie di business.
Sono fonti OSINT comuni:
ovviamente tutti i mass media tradizionali come radio, TV, giornali, libri ecc...
riviste specializzate contenenti pubblicazioni tecniche, accademiche, atti di convegni ecc...
foto e video, con tutto il loro carico di metadati;
informazioni geospaziali e di localizzazione di vario tipo;
tutto ciò che si trova nel web, accessibile via Internet: social network, blog, siti di streaming e condivisione video, indirizzi IP, risultati di motori di ricerca, i Whois dei nomi di dominio ecc...
CHI
Sempre limitandoci all'uso legale che si può fare dell'OSINT, tra i soggetti interessati troviamo indubbiamente i governi: è un dato di fatto che i dipartimenti militari siano i principali sfruttatori di fonti OSINT. Si va dalle necessità correlate alla sicurezza nazionale, fino alla raccolta di informazioni utili per i politici, alla comprensione dell'opinione pubblica, all'antiterrorismo ecc...
La polizia utilizza quotidianamente fonti OSINT per proteggere le persone da furto di identità, violenze private e ricatti ecc... Spesso le polizie accedono a fonti OSINT in funzione preventiva: come nel film Minority Report, queste informazioni sono utilizzate per prevenire i crimini prima che si intensifichino e, in alcuni casi, perfino prima che si verifichino.
Le aziende ne fanno comunemente uso per analisi di mercato, sulla concorrenza, per verificare e pianificare l'attività di marketing e raccogliere informazioni utili a prevedere trend e andamenti. Vi sono anche scopI non direttamente finanziari: l'analisi di fonti OSINT è molto utile per raccogliere informazioni sulle minacce informatiche. Un'azienda può accedere a tali fonti per pianificare una corretta gestione dei cyber rischi e per proteggersi non solo in termini tecnici, ma anche reputazionali e finanziari, in caso di attacco.
Anche una persona comune potrebbe (e quasi tutti già lo facciamo senza averne consapevolezza) accedere ai motori di ricerca, ai social e altre fonti per verificare la propria identità digitale online. Ad esempio un utente potrebbe voler approfondire ciò che l'internet service provider sa di lui, quanto le sue informazioni personali siano esposti nel web ma anche l'eventuale presenza di dati personali pubblicati inavvertitamente. L'OSINT è ad esempio molto utile per combattere il furto di identità ed è strettamente correlato al diritto all'oblio.
COME
L'attività di OSINT è praticabile grazie all'esistenza di una lunga serie di tool e software. Ad esempio, se si volessero identificare indirizzi IP e domini ad esso collegati si potrebbero usare strumenti con Shodan o Censys: questi, disponibili con una semplice connessione internet, sono capaci di trovare indirizzi IP, informazioni sui server, ulteriori informazioni esposte. Shodan consente anche di individuare tutti i dispositivi appartenenti ad un certo fornitore o tutti i dispositivi geolocalizzati una stessa zona...
Ma ci sono software come Spiderfoot (integrato nel sistema operativo specializzato in penetration testing Kali Linux) che, attingendo ad un centinaio di diverse fonti, può partire da una informazione per individuare indirizzi email, indirizzi IP, server DNS, nomi domini, credenziali di accesso ecc...
Una ricerca Whois invece consente banalmente di trovare il contatto dell'amministratori di un dominio. Servizi come HaveIbeenPwned, di cui abbiamo ogni tanto parlato, consentono di verificare se la propria email sia stata violata o meno: per garantire il servizio, semplicemente, il tool si avvale di tutte le fonti OSINT disponibili, dark web compreso.
Github, Gitlab e simili sono anche essi fonti OSINT: vi si possono cercare problemi di configurazione di sistemi software, vulnerabilità, chiavi private, token di autenticazione ecc... con tutto il carico di informazioni che questi si portano dietro.
Insomma, OSINT di per sé è una attività assolutamente legale (se svolta entro i limiti normativi) che, attingendo alle infinite fonti e agli infiniti dati che ormai sono ospitati nel web, consente dettagliati analytics, puntuali informazioni, indagini sui quali si possono basare diverse tipologie di attività, strategie e pianificazioni.
Perchè il cyber crimine ne sta approfittando?
Il problema è che, come già successo in molti casi, anche questa attività è stata inglobata dal mondo del crimine informatico. Un esempio: poniamo il caso di un attaccante che decida di colpire una determinata azienda. Per farlo inizia a raccogliere tutte le informazioni che trova disponibili sul web rispetto al suo bersaglio: dati aziendali, sui dipendenti, sulle sedi, sui dirigenti aziendali. Tramite Shodan può verificare eventuali vulnerabilità sull'infrastruttura dell'azienda. A questo punto può già approntare un attacco contro la rete oppure confezionare il classico attacco di spear phishing. Oppure può lanciare un attacco MiT, man in the middle, intercettando una conversazione per poi pilotarla nella direzione da lui voluta. In generale tutte le attività di ingegneria sociale non potrebbero esistere in assenza di fonti OSINT.
Per approfondire > Come funzionano le truffe Business Email Compromise? Come la Polizia postale ha sventato una truffa contro un'azienda di Gorizia
Oppure, peggio ancora, può andare nel dark web e ricercare ad esempio le chiavi di accesso alle VPN aziendali: queste magari si trovano li, insieme ai dati dei dipendenti, dopo che l'azienda ha già subito in precedenza un breach.
Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate
Perchè il punto è, come ormai raccontiamo da anni, che i dati rubati con malware, trojan, esfiltrazioni, attacchi ransomware finiscono in vendita o semplicemente pubblicati nel dark web: da quel momento sono disponibili a tutti. Il dark web è una delle più grandi fonti OSINT del mondo (non a caso è ormai piuttosto comune che forze dell'ordine, aziende di cybersecurity, società investigative ma anche comitati di ricerca ecc., navighino nel dark web in cerca di informazioni. E i tool per farlo si stanno moltiplicando).
Un esempio pratico > Data leak: disponibili gratuitamente nel dark web i dati di quasi 4000 dirigenti di aziende anche italiane
I software OSINT ormai hanno raggiunto una efficacia impressionante: sono capaci di rovistare in tutto ciò che sta online e collegare, partendo da un singolo nome, nickname, numeri di telefono, codici fiscali, video, post e foto social, record whois, metadati, dati di geolocalizzazione, account ed eventuali credenziali ecc... e la singola azienda o persona riguardata da tali indagini sicuramente non ha alcuna consapevolezza della mole impressionante di informazioni che, volenti o nolenti, sono disponibili su di noi nel web emerso o sotterraneo. Il cyber crime, come già ha approfittato dell'Intelligenza Artificiale e del Machine learning, non poteva che fare altro che utilizzarli a fini di racolta informazioni per rendere ancora più performanti i propri attacchi.
Nulla altro da dire: siamo di fronte ad una nuova frontiera del crimine informatico, che probabilmente scalzerà i ransomware dal podio delle minacce informatiche.
L'editoriale di Alessandro Papini, presidente di Accademia Italiana Privacy > OSINT: la nuova frontiera del crimine informatico