| Undefined
Con la crescita delle comunicazioni su Internet e del volume di dati digitali prodotti dagli utilizzatori della rete, l’OSINT (acronimo di Open Source Intelligence OSINT) è divenuta una necessità per le organizzazioni sia per motivi di sicurezza che di indagine di mercato. Con il termine OSINT si indica infatti il processo di raccogliere e analizzare fonti pubblicamente disponibili definite anche come fonti aperte (open source data), attraverso una attività di ricerca, selezione, valutazione e reporting ovvero un processo di gestione delle informazioni con lo scopo di creare una specifica conoscenza in un determinato ambito e contesto.
Sebbene l’OSINT sia nata come tecnica di intelligence di sicurezza nazionale e delle forze dell’ordine, negli ultimi anni ha trovato impiego anche nell’ambito della cyber security: In tal caso i dati open source vengono sfruttati dagli analisti per comprendere meglio il panorama delle minacce e aiutare a difendere le organizzazioni e gli individui dai rischi riscontrati all’interno dei propri ambienti IT.
Le fonti aperte
La fase più importante del processo di OSINT è pertanto quella di valutare le fonti rilevanti ed affidabili partendo da diverse tipologie di fonti di pubblico dominio o che possono essere rese disponibili su richiesta anche a pagamento (TV, radio, articoli di giornali e riviste, libri e altri materiali di riferimento, motori di ricerca, social network, forum, blog). Non trascurabile nemmeno la quantità di dati secondari che possono essere derivati da ciascuna fonte di informazioni aperta. Basti pensare come dai metadati di file e post specifici si possano estrarre informazioni personali e di geolocalizzazione dell’autore.
Queste fonti possono essere utilizzate, ad esempio, per effettuare un’analisi della rete Internet, osservando forum, blog, social network e ottenere informazioni sui competitors e sui dipendenti, individuando eventuali comportamenti scorretti.
Come vagliare e integrare le informazioni rilevanti in modo ottimale
La raccolta di informazioni di dati OSINT dispersi su una vasta gamma di fonti può rendere difficoltoso il vaglio e l’individuazione della rilevanza delle informazioni da integrare con strumenti e sistemi di sicurezza informatica. Per tale motivo è importante adottare una metodologia, ovvero un OSINT framework, che integri dati, processi, metodi, strumenti e tecniche per identificare informazioni e azioni in modo rapido e accurato.
Un framework infatti può fornire collegamenti a un’ampia raccolta di risorse per una grande varietà di attività che vanno dalla raccolta di indirizzi e-mail alla ricerca sui social media o dark web. Un OSINT framework può essere pertanto utilizzato per raccogliere tutte le informazioni sulla attività, gli interessi, le tecniche, la motivazione e le abitudini di un avversario, classificare i dati per fonte, strumento, metodo e obiettivo, identificare le soluzioni possibili per migliorare l’assetto della propria sicurezza IT.
Le tecniche di raccolta
Per quanto riguarda l’attività di selezione delle informazioni si possono distinguere due tipologie di raccolta dati:
- Una raccolta di tipo passivo che combina tutti i dati disponibili in un’unica posizione facilmente accessibile e gestita tramite l’apprendimento automatico (ML) e l’intelligenza artificiale (AI).
- Una raccolta attiva che utilizza una varietà di tecniche investigative per identificare informazioni. La raccolta di dati attiva può essere utilizzata sia per integrare le informazioni di raccolta passiva che come ulteriore supporto d’indagine.
OSINT e Pentesting
Il penetration testing è la simulazione di un attacco informatico al fine di testare le capacità di sicurezza informatica di un’organizzazione. Lo scopo di tali test è identificare i punti deboli e le vulnerabilità all’interno dell’ambiente IT in esame e risolverli prima che possano essere scoperti e sfruttati da un attore malevolo.
In ambito OSINT si possono di distinguere in particolare:
- L’External Pentesting per determinare la presenza di vulnerabilità sfruttabili che espongono i dati o l’accesso non autorizzato al mondo esterno. Il test include l’identificazione del sistema, l’enumerazione, la scoperta e lo sfruttamento delle vulnerabilità.
Questa tecnica individua i passaggi che un hacker potrebbe intraprendere a danno dell’azienda, conducendo un’analisi di external penetration testing esterna è possibile individuare banali vulnerabilità nell’infrastruttura di connessione a Internet ed intervenire per evitare che superi la barriera di sicurezza e acceda alle reti interne.
Secondo l’X-Force Threat Intelligence Index 2020 di IBM, il 60% degli attacchi informatici fa uso di credenziali rubate o approfitta della vulnerabilità dei software. Il pen testing consente di proteggersi dai diversi tipi di intrusione in un IS.
- Il Threat Surface Assessment ovvero un’analisi della superficie di attacco per mappare le parti di un sistema che devono essere riviste e testate per le vulnerabilità della sicurezza. Lo scopo dell’analisi della superficie di attacco è comprendere le aree di rischio e trovare modi per minimizzare tale rischio.
Secondo il Rapporto Clusit sulla sicurezza informatica del 2022, al terzo posto tra gli incidenti con impatto più critico ci sono gli attacchi di phishing, utilizzati per compromettere e raccogliere credenziali e per frodi online.
Il phishing inizia con una e-mail o un'altra comunicazione fraudolenta, se l'inganno riesce, la vittima viene persuasa a fornire informazioni riservate, spesso su un sito web truffa.
Mentre lo Spear phishing prende di mira singoli individui, spesso trovati sui social media, in modo da poter personalizzare le comunicazioni affinché sembrino autentiche. Lo Spear phishing è spesso il primo passo per penetrare le difese di un'azienda e realizzare un attacco mirato. Secondo il SANS Institute, il 95% di tutti gli attacchi alle reti aziendali ha origine da uno spear phishing portato a termine con successo.
È per questo importante svolgere un’accurata analisi della superficie di attacco fisica (pc, router, stampanti tv, telecamere) e digitale (software, applicazioni web, servizi di posta elettronica) ed individuare in anticipo possibili misure per ridurre i rischi per la sicurezza.
- Il Web Application Pentesting per valutare le applicazioni web tramite ricognizione di informazioni, servizi e risorse in uso, identificazione (discovery) e sfruttamento (exploitation) delle vulnerabilità scoperte.
In questi casi sono utili i test che simulano attacchi per vedere se un hacker potrebbe effettivamente ottenere l'accesso a un'applicazione, analizzando le componenti accessibili come App Web o Siti Web ed apportando le adeguate modifiche per incrementare la sicurezza.
OSINT e Threath Intelligence
La Threath Intelligence è il processo attraverso il quale i dati raccolti vengono analizzati per comprendere le motivazioni, gli obiettivi e i comportamenti di un attacco. Attraverso l’uso di dati open source e la combinazione con fonti di dati chiuse rilevate da telemetria interna, dark web e altre fonti esterne non accessibili al pubblico, la Threath Intelligence può consentire di ottenere un quadro più completo del panorama delle minacce contestualizzando e rendendo significativi tutti i dati open source raccolti. Ad esempio, una informazione pubblica da sola potrebbe non fornire alcuna informazione utile. Tuttavia, contestualizzandola all’interno di un quadro più ampio di raccolta e intelligence, potrebbe consentire l’attribuzione della matrice di una attività malevola.
Considerazioni
Sebbene l’OSINT sia regolarmente utilizzato dalle comunità di intelligence, nonché dalle squadre di sicurezza nazionale e dalle forze dell’ordine per proteggere le organizzazioni e la società da minacce di ogni tipo, purtroppo può anche essere sfruttato altrettanto facilmente dal crimine informatico per scopi di ingegneria sociale, attacchi di phishing e Google dorking, sollevando dibattiti su come le informazioni di dominio pubblico possano essere utilizzate in modo sicuro e responsabile nel rispetto della legalità, eticità e riservatezza. Di certo, le organizzazioni devono sviluppare una strategia chiara e completa per definire quali fonti di dati desiderano raccogliere, i propri scopi e gli obiettivi OSINT e seguire delle linee guida legali ed etiche garantendo qualità e affidabilità delle informazioni ricavate.