OSINT orodja in tehnike

OSINT ali Open Source Intelligence je dejanje zbiranja podatkov iz distribuiranih in prosto dostopnih virov. Orodja OSINT se uporabljajo za zbiranje in ujemanje podatkov s spleta. Podatki so dostopni v različnih strukturah, vključno z oblikovanjem besedila, dokumenti, slik itd. Analiza in zbiranje informacij z interneta ali drugih javno dostopnih virov je znana kot OSINT ali Open Source Intelligence. To je tehnika, ki jo obveščevalna in varnostna podjetja uporabljajo za zbiranje informacij. V tem članku je predstavljeno nekaj najbolj uporabnih orodij in tehnik OSINT.

Maltego

Maltego je ustvaril Paterva, uporabljajo ga organi pregona, varnostni strokovnjaki in socialni inženirji za zbiranje in seciranje odprtokodnih informacij. Zbere lahko veliko količino informacij iz različnih virov in z različnimi tehnikami ustvari grafične, lahko vidne rezultate. Maltego ponuja transformacijsko knjižnico za raziskovanje odprtokodnih podatkov in te podatke predstavlja v grafični obliki, ki je primerna za analizo relacij in rudarjenje podatkov. Te spremembe so vgrajene in jih je mogoče spremeniti, odvisno od potrebe.

Maltego je napisan v Javi in ​​deluje z vsemi operacijskimi sistemi. Na voljo je vnaprej nameščen v Kali Linux. Maltego se pogosto uporablja zaradi prijetnega in razumljivega modela odnosa entiteta, ki predstavlja vse ustrezne podrobnosti. Ključni namen te aplikacije je raziskati resnične odnose med ljudmi, spletnimi stranmi ali domenami organizacij, omrežij in internetne infrastrukture. Aplikacija se lahko osredotoči tudi na povezavo med računi družabnih medijev, API-ji za odprtokodno inteligenco, zasebnimi podatki, ki jih gostijo sami, in vozlišči računalniških omrežij. Z integracijami različnih podatkovnih partnerjev Maltego neverjetno širi obseg podatkov.

Recon-ng

Recon-ng je orodje za nadzor, ki je enako Metasploitu. Če se z ukazno vrstico izvaja ponovna povezava, boste vstopili v okolje, na primer v lupino, v katerem lahko konfigurirate možnosti ter ponovno konfigurirate in izpisujete poročila za različne obrazce poročil. Navidezna konzola Recon-ng ponuja številne koristne funkcije, na primer dokončanje ukaza in kontekstualna podpora. Če želite kaj vdreti, uporabite Metasploit. Če želite zbrati javne informacije, uporabite nadzorni program Social Engineering Toolkit in Recon-ng.

Recon-ng je napisan v Pythonu, njegovi neodvisni moduli, seznam ključev in drugi moduli pa se v glavnem uporabljajo za zbiranje podatkov. To orodje je prednaloženo z več moduli, ki uporabljajo spletne iskalnike, vtičnike in API-je, ki lahko pomagajo pri zbiranju ciljnih informacij. Povezovanje, tako kot rezanje in lepljenje, avtomatizira dolgotrajne procese OSINT. Recon-ng ne predlaga, da bi lahko njegova orodja izvedla celotno zbiranje OSINT-a, lahko pa ga uporabimo za avtomatizacijo številnih najpogostejših oblik spravila, s čimer omogočimo več časa za stvari, ki jih je treba še vedno opraviti ročno.

Za namestitev recon-ng uporabite naslednji ukaz:

[zaščiteno po e-pošti]: ~ $ sudo apt install recon-ng
[zaščiteno po e-pošti]: ~ $ recon-ng

Če želite navesti razpoložljive ukaze, uporabite ukaz za pomoč:

Recimo, da moramo zbrati nekaj poddomen cilja. Za to bomo uporabili modul z imenom "hekerska tarča".

[recon-ng] [privzeto]> naloži hackertarget
[recon-ng] [privzeto] [hackertarget]> prikaži možnosti
[recon-ng] [privzeto] [hackertarget]> nastavi izvorni google.com

Zdaj bo program zbral povezane informacije in prikazal vse poddomene ciljnega niza.

Šodan

Če želite na internetu najti karkoli, še posebej Internet stvari (IoT), je optimalen iskalnik Shodan. Medtem ko Google in drugi iskalniki indeksirajo samo po internetu, Shodan indeksira skoraj vse, vključno s spletnimi kamerami, oskrbo z vodo za zasebne letale, medicinsko opremo, semaforji, elektrarnami, čitalniki registrskih tablic, pametnimi televizorji, klimatskimi napravami in vsem, kar si morda mislite od tega je povezan v internet. Največja korist Shodana je v tem, da zagovornikom pomaga najti ranljive stroje v svojih omrežjih. Oglejmo si nekaj primerov:

• Če želite najti strežnike Apache na Havajih:
  mesto apache: "Havaji"
• Če želite poiskati naprave Cisco v danem podomrežju:
  cisco net: ”214.223.147.0/24 "

Z enostavnimi iskanji lahko najdete stvari, kot so spletne kamere, privzeta gesla, usmerjevalniki, semaforji in drugo, saj je enostavnejša, jasnejša in enostavnejša za uporabo.

Google Dorks

Googlovo vdiranje ali Google dorking je taktika vdiranja, ki uporablja Iskanje Google in druge Googlove aplikacije za prepoznavanje varnostnih napak v konfiguraciji spletnega mesta in strojni kodi. »Googlovo vdiranje« vključuje uporabo specializiranih Googlovih operaterjev iskalnikov za iskanje edinstvenih besedilnih nizov v rezultatih iskanja.
Oglejmo si nekaj primerov z uporabo storitve Google Dork za iskanje zasebnih podatkov v internetu. Obstaja način prepoznavanja .Datoteke LOG, ki so nenamerno izpostavljene v internetu. A .Datoteka LOG vsebuje namige o tem, kakšna bi lahko bila sistemska gesla, ali o različnih sistemskih uporabniških ali skrbniških računih, ki bi lahko obstajali. Ko v Google iskalno polje vnesete naslednji ukaz, boste našli seznam izdelkov z izpostavljenimi .Datoteke LOG pred letom 2017:

allintext: geslo vrsta datoteke: dnevnik pred: 2017

Naslednja iskalna poizvedba bo našla vse spletne strani, ki vsebujejo določeno besedilo:

intitle: admbook intitle: vrsta datoteke fverzije: php

Nekateri drugi zelo zmogljivi operaterji iskanja vključujejo naslednje:

• inurl: v URL-ju išče določene izraze.
• vrste datotek: išče določene vrste datotek, ki so lahko katere koli vrste datotek.
• stran: Omeji iskanje na eno spletno mesto

Spyse

Spyse je iskalnik za kibernetsko varnost, ki ga lahko uporabimo za hitro iskanje internetnih sredstev in zunanjo identifikacijo. Prednost Spyse je deloma posledica metodologije zbirke podatkov, ki se izogiba vprašanju dolgih časov skeniranja poizvedb za zbiranje podatkov. Ker hkrati deluje več storitev in poročila, ki se lahko vrnejo zelo dolgo, lahko strokovnjaki za kibernetsko varnost vedo, kako neučinkovito je skeniranje. To je glavni razlog, zakaj se strokovnjaki za kibernetsko varnost preusmerjajo k temu izjemnemu iskalniku. Arhiv Spyse hrani več kot sedem milijard pomembnih podatkovnih dokumentov, ki jih je mogoče takoj prenesti. Potrošniki lahko s 50 visoko delujočimi strežniki s podatki, razdeljenimi na 250 delcev, izkoristijo največjo razširljivo spletno bazo podatkov.

Poleg zagotavljanja surovih podatkov se ta iskalnik za kibernetski prostor osredotoča tudi na prikaz odnosa med različnimi področji interneta.

Kombajn

Harvester je pripomoček, ki temelji na Pythonu. S tem programom lahko pridobite informacije iz številnih javnih prodajnih mest, kot so iskalniki, strežniki ključev PGP in zbirke podatkov SHODAN, kot so naslovi, poddomene, skrbniki, imena zaposlenih, številke vrat in zastave. Če želite ugotoviti, kaj lahko vsiljivec vidi v podjetju, je ta instrument koristen. To je privzeto orodje Kali Linux in za njegovo uporabo morate nadgraditi Harvester. Za namestitev izdajte naslednji ukaz:

[e-pošta zaščitena]: ~ $ sudo apt-get theharvester

Osnovna sintaksa The Harvester je naslednja:

[zaščitena po e-pošti]: ~ $ theharvester -d [imeDomene] -b [iskanjeEngineName / vse] [parametri]

Tu je -d ime podjetja ali domena, ki jo želite iskati, in -b je vir podatkov, kot so LinkedIn, Twitter itd. Za iskanje po e-pošti uporabite naslednji ukaz:

[zaščiteno po e-pošti]: ~ $ theharvester.py -d Microsoft.com -b all

Zmožnost iskanja navideznih gostiteljev je še ena zanimiva lastnost kombajna. Z ločljivostjo DNS aplikacija preveri, ali je več imen gostiteljev povezanih z določenim naslovom IP. To znanje je zelo pomembno, ker zanesljivost tega IP-ja za enega gostitelja ni odvisna samo od njegove stopnje varnosti, temveč tudi od tega, kako varno so povezani ostali gostitelji na istem IP-ju. Če napadalec zlomi enega od njih in dobi dostop do omrežnega strežnika, lahko napadalec zlahka vstopi v katerega koli drugega gostitelja.

SpiderFoot

SpiderFoot je platforma, ki se uporablja za zajem IP-jev, domen, e-poštnih naslovov in drugih analiznih ciljev iz več podatkovnih prodajaln, vključno s platformama, kot sta “Shodan” in “Have I Been Pwned”, za odprtokodne informacije in odkrivanje ranljivosti. SpiderFoot lahko uporabimo za poenostavitev postopka zbiranja OSINT za iskanje informacij o cilju z avtomatizacijo postopka zbiranja.

Za avtomatizacijo tega postopka Spiderfoot išče več kot 100 virov javno dostopnih informacij in upravlja vse tajne podatke z različnih spletnih mest, e-poštnih naslovov, naslovov IP, omrežnih naprav in drugih virov. Preprosto določite cilj, izberite module, ki jih želite zagnati, Spiderfoot pa bo vse naredil namesto vas. Na primer, Spiderfoot lahko zbere vse podatke, potrebne za ustvarjanje popolnega profila o predmetu, ki ga preučujete. Je multiplatformna, ima kul spletni vmesnik in podpira skoraj 100+ modulov. Namestite spodaj navedene module Python, da namestite spiderFoot:

[e-pošta zaščitena]: ~ $ sudo apt install pip
[zaščiteno po e-pošti]: ~ $ pip install lxml netaddr M2Crypto cherrypy mako zahteve bs4

Grozljivo

Creepy je odprtokodna obveščevalna platforma za Geolocation. Z uporabo različnih spletnih mest za družabna omrežja in storitev gostovanja slik Creepy zbira informacije o sledenju lokaciji. Nato Creepy prikaže poročila na zemljevidu z metodologijo iskanja, ki temelji na natančni lokaciji in času. Datoteke si lahko pozneje ogledate poglobljeno, tako da jih izvozite v obliki CSV ali KML. Grozljiva izvorna koda je na voljo na Githubu in je napisana v Pythonu. To izjemno orodje lahko namestite tako, da obiščete uradno spletno stran:
http: // www.geocreepy.com /

Obstajata dve glavni funkcionalnosti Creepyja, ki ju določata dva posebna zavihka v vmesniku: zavihek "mapview" in "target". To orodje je zelo koristno za varnostno osebje. Z Grozljivo lahko zlahka predvidite vedenje, rutino, hobije in interese svoje tarče. Majhen podatek, za katerega veste, morda ni zelo pomemben, ko pa vidite celotno sliko, lahko predvidete naslednji premik cilja.

Sestavljanka

Jigsaw se uporablja za pridobivanje znanja o delavcih v podjetju. Ta platforma dobro deluje z velikimi organizacijami, kot so Google, Yahoo, LinkedIn, MSN, Microsoft itd., kjer lahko enostavno poberemo eno od njihovih domenskih imen (recimo, Microsoft.com) in nato zberejo vsa e-poštna sporočila njihovih zaposlenih v različnih oddelkih določenega podjetja. Edina pomanjkljivost je, da se te zahteve sprožijo proti zbirki podatkov Jigsaw, ki gostuje v sestavljanki.com, zato smo odvisni izključno od znanja znotraj njihove baze podatkov, ki nam jo omogočajo raziskovanje. Lahko dobite informacije o večjih korporacijah, vendar morda ne boste imeli sreče, če preiskujete manj znano zagonsko podjetje.

Nmap

Nmap, kar pomeni Network Mapper, je nedvomno eno najvidnejših in najbolj priljubljenih orodij socialnega inženiringa. Nmap temelji na prejšnjih orodjih za nadzor omrežja, da zagotovi hiter in celovit pregled omrežnega prometa.

Če želite namestiti nmap, uporabite naslednji ukaz:

[zaščiteno po e-pošti]: ~ $ sudo apt install nmap

Nmap je na voljo za vse operacijske sisteme in je vnaprej opremljen s sistemom Kali. Nmap deluje tako, da zazna gostitelje in IP-je, ki se izvajajo v omrežju, z uporabo paketov IP in nato preuči te pakete, da vključi podrobnosti o gostitelju in IP-ju ter operacijske sisteme, ki jih izvajajo.

Nmap se uporablja za skeniranje omrežij majhnih podjetij, omrežij v velikem obsegu, naprav in prometa IoT ter povezanih naprav. To bi bil prvi program, ki bi ga napadalec uporabil za napad na vaše spletno mesto ali spletno aplikacijo. Nmap je brezplačno in odprtokodno orodje, ki se uporablja na lokalnih in oddaljenih gostiteljih za analizo ranljivosti in odkrivanje omrežja.

Glavne značilnosti Nmapa vključujejo zaznavanje vrat (da se prepričate, ali poznate morebitne pripomočke, ki se izvajajo na določenih vratih), zaznavanje operacijskega sistema, zaznavanje informacij IP (vključuje naslove Mac in vrste naprav), onemogočanje ločljivosti DNS in zaznavanje gostitelja. Nmap prepozna aktivnega gostitelja s pregledom pinga, tj.e., z uporabo ukaza nmap -sp 192.100.1.1/24, ki vrne seznam aktivnih gostiteljev in dodeljenih naslovov IP. Obseg in sposobnosti Nmapa so izjemno veliki in raznoliki. Sledi nekaj ukazov, ki jih je mogoče uporabiti za osnovno iskanje vrat:

Za osnovno skeniranje uporabite naslednji ukaz:

[zaščiteno po e-pošti]: ~ $ nmap

Za oprijemanje pasic in optično branje različic storitve uporabite naslednji ukaz:

[zaščiteno po e-pošti]: ~ $ nmap -sP -sC

Za zaznavanje operacijskega sistema in agresivno skeniranje uporabite naslednji ukaz:

[e-pošta zaščitena]: ~ $ nmap -A -O-

Zaključek

Odprtokodna inteligenca je uporabna tehnika, s katero lahko v spletu ugotovite skoraj vse. Poznavanje orodij OSINT je dobra stvar, saj ima lahko velike posledice za vaše poklicno delo. Obstaja nekaj odličnih projektov, ki uporabljajo OSINT, na primer iskanje izgubljenih ljudi v internetu. Od številnih podkategorij obveščevalnih podatkov se Open Source najpogosteje uporablja zaradi nizkih stroškov in izjemno dragocenih rezultatov.