São Paulo/SP – 25 de agosto de 2022. OSINT é um termo utilizado para se referir a Open Source Intelligence, que é o método de conseguirmos informações de uso livre, disponíveis em fontes abertas como revistas, sites, livros, noticiários, dentre outros.
*Por Leandro Viana
Ao ouvir a palavra OSINT a primeira reação da maioria das pessoas de fora da área de Segurança da Informação, provavelmente vai ser: O que é isso? Onde vive? O que come? Mas a verdade é que todo mundo já realizou uma pesquisa, por menor que seja, um dia. E isso meus caros, é um tipo de OSINT.
OSINT é um termo utilizado para se referir a Open Source Intelligence, que é o método de conseguirmos informações de uso livre, disponíveis em fontes abertas como revistas, sites, livros, noticiários, dentre outros.
Quando realizamos uma pesquisa no Google, por exemplo, procurando por nomes, endereços, notícias de jornais, busca por perfis nas redes sociais, tudo isso é uma forma de OSINT. As opções e maneiras são as mais diversas, e o nível de profundidade da sua pesquisa tem mais a ver com sua curiosidade e um jeito de pensar “fora da caixa” do que com conhecimento técnico. Porém como tudo na vida, se quisermos extrair o máximo desta técnica, é importante buscarmos as ferramentas disponíveis no mercado e entender o que cada uma pode nos proporcionar de informação, para alcançarmos a maior quantidade de informações relevantes sobre um alvo.
Exemplo de OSINT
- Quero pesquisar algo.
Consigo realizar a pesquisa por outras ferramentas além do Google? Que tal ver o que a mesma pesquisa traz se eu for no Bing ou Duckduckgo?
- Quero encontrar uma pessoa, mas não tenho muitas informações.
Quais os hobbies dessa pessoa? Será que não há páginas, grupos ou comunidades com esse hobby específico? Que tal filtrar por localização? Ou até mesmo por comentários em uma publicação, curtidas em uma foto. Será que não é possível encontrar um comentário ou curtida desta pessoa?
Com essas simples maneiras de pensar, estamos fazendo buscas muito mais conscientes do poder de alcance que podemos chegar, trazendo resultados muito mais satisfatórios.
A importância do OSINT
No exemplo acima, tivemos uma visão diferente de busca por uma pessoa, baseado simplesmente na informação de hobby que esta pessoa teria. Mas da mesma forma, ao invés de ter uma pessoa como alvo de pesquisa, poderia ainda ser uma situação de relevância muito maior.
Uma busca por uma pessoa desaparecida, informações sobre uma empresa que não está mais em atividade, um trabalho mais detalhado para uma faculdade ou simplesmente uma pesquisa aleatória sobre novidades do nosso interesse.
Para não ser alvo de ataques OSINT
Como OSINT é um método que pode ser utilizado por qualquer pessoa, empresa ou até mesmo pessoas más intencionadas, devemos tomar algumas precauções em relação ao que está sendo publicado, o alcance e disponibilidade de visualização e acesso dessas publicações, sejam elas fotos, comentários, ou até mesmo documentos e arquivos que possam conter informações sigilosas.
Com a falta de informação e conscientização, podemos correr o risco de expor dados pessoais e empresariais de proporção desastrosas caindo nas mãos de pessoas más intencionadas.
Sendo assim, podemos tomar alguns pontos como dicas para evitar vazamentos de informações.
- Verifique se o arquivo público não contém informações pessoais (nome pessoal, endereço etc.)
- Verifique se as informações internas da empresa não estão incluídas em redes sociais, comunicados, publicações pessoais etc.
As informações divulgadas podem ser úteis para um invasor. Além disso, se a senha de uma conta for fácil, pode levar a acesso não autorizado. Se as informações divulgadas estiverem vinculadas a informações internas, isso por si só resultará em vazamento de informações. Por isso, é importante conscientizar cada colaborador sobre segurança da informação.
Resumo
Com o OSINT informações diárias de interesses pessoais a informações sigilosas de pessoas e empresas, tornam-se totalmente acessíveis.
Devemos assim, conscientizar nossos amigos e colegas de trabalho da importância de manter informações sigilosas em ambientes seguros. O que fortalece a segurança da informação pessoais e da empresa.
— Leandro Viana é Pentester | Cybersecurity | RedTeam na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
