OSINT įrankiai ir technika

OSINT arba „Open Source Intelligence“ yra duomenų rinkimo iš paskirstytų ir laisvai prieinamų šaltinių veiksmas. OSINT įrankiai naudojami rinkti ir suderinti duomenis iš interneto. Duomenys yra prieinami skirtingomis struktūromis, įskaitant teksto dizainą, dokumentus, atvaizdus ir kt. Informacijos analizė ir rinkimas iš interneto ar kitų viešai prieinamų šaltinių vadinama OSINT arba „Open Source Intelligence“. Tai technika, kurią žvalgybos ir saugumo kompanijos naudoja rinkdamos informaciją. Šiame straipsnyje apžvelgiami keli naudingiausi OSINT įrankiai ir metodai.

Maltego

„Maltego“ sukūrė „Paterva“ ir ją naudoja teisėsauga, saugumo ekspertai ir socialiniai inžinieriai rinkdami ir skleisdami atviro kodo informaciją. Jis gali surinkti didelį kiekį informacijos iš įvairių šaltinių ir naudoti skirtingus metodus, kad gautų grafinius, lengvai matomus rezultatus. „Maltego“ teikia transformacijos biblioteką atvirojo šaltinio duomenims tirti ir pateikia tuos duomenis grafiniu formatu, tinkamu santykių analizei ir duomenų gavybai. Šie pokyčiai yra įmontuoti ir juos taip pat galima pakeisti, priklausomai nuo būtinybės.

„Maltego“ yra parašytas „Java“ ir veikia su kiekviena operacine sistema. Jis iš anksto įdiegtas „Kali Linux“. „Maltego“ yra plačiai naudojamas dėl savo malonaus ir lengvai suprantamo subjekto ir santykio modelio, kuris atspindi visas svarbias detales. Pagrindinis šios programos tikslas yra ištirti realius žmonių, organizacijų tinklalapių ar domenų, tinklų ir interneto infrastruktūros santykius. Programa taip pat gali sutelkti dėmesį į ryšį tarp socialinės žiniasklaidos paskyrų, atvirojo kodo intelekto API, savarankiškai priglobtų privačių duomenų ir kompiuterinių tinklų mazgų. Integruodama skirtingus duomenų partnerius, „Maltego“ neįtikėtinai plečia savo duomenų pasiekiamumą.

Recon-ng

„Recon-ng“ yra stebėjimo priemonė, identiška „Metasploit“. Jei „recon-ng“ valdomas iš komandinės eilutės, pateksite į aplinką, pvz., Apvalkalą, kuriame galėsite konfigūruoti parinktis ir pertvarkyti bei išvesties ataskaitas skirtingoms ataskaitų formoms. Virtuali „Recon-ng“ konsolė siūlo įvairias naudingas funkcijas, tokias kaip komandų užbaigimas ir kontekstinis palaikymas. Jei norite ką nors nulaužti, naudokite „Metasploit“. Jei norite surinkti viešą informaciją, stebėjimui naudokite „Social Engineering Toolkit“ ir „Recon-ng“.

„Recon-ng“ yra parašytas „Python“, o jo nepriklausomi moduliai, raktų sąrašas ir kiti moduliai daugiausia naudojami duomenims rinkti. Šis įrankis yra iš anksto įkeltas su keliais moduliais, kurie naudoja internetinius paieškos variklius, papildinius ir API, kurie gali padėti rinkti tikslinę informaciją. Recon-ng, kaip ir pjaustymas bei įklijavimas, automatizuoja daug laiko reikalaujančius OSINT procesus. „Recon-ng“ nemano, kad jos įrankiai gali atlikti visą OSINT rinkimą, tačiau jis gali būti naudojamas automatizuoti daugelį įprastų derliaus formų, suteikiant daugiau laiko medžiagoms, kurias vis tiek reikia atlikti rankiniu būdu.

Norėdami įdiegti „recon-ng“, naudokite šią komandą:

[apsaugotas el. pašto adresas]: ~ $ sudo apt install recon-ng
[apsaugotas el. paštas]: ~ $ recon-ng

Norėdami išvardyti galimas komandas, naudokite pagalbos komandą:

Tarkime, kad turime surinkti keletą taikinio padomenių. Norėdami tai padaryti, naudosime modulį, kurio pavadinimas yra „įsilaužėlių tikslas“.

[recon-ng] [numatytasis]> įkelti „hackertarget“
[recon-ng] [numatytasis] [hackertarget]> rodyti parinktis
[recon-ng] [numatytasis] [hackertarget]> nustatyti šaltinio google.com

Dabar programa surinks susijusią informaciją ir parodys visus nustatyto tikslo padomenius.

Šodanas

Norint rasti ką nors internete, ypač daiktų internete (IoT), optimaliausia paieškos sistema yra „Shodan“. Nors „Google“ ir kitos paieškos sistemos indeksuoja paiešką tik internete, „Shodan“ indeksuoja beveik viską, įskaitant internetines kameras, vandens tiekimą privatiems reaktyviniams lėktuvams, medicinos įrangą, šviesoforus, elektrines, valstybinių numerių skaitytuvus, išmaniuosius televizorius, oro kondicionierius ir viską, ką galite pagalvoti iš jų yra prijungtas prie interneto. Didžiausia „Shodan“ nauda yra padėti gynėjams surasti pažeidžiamas mašinas savo tinkluose. Pažvelkime į keletą pavyzdžių:

• Norėdami rasti „Apache“ serverius Havajuose:
  apache miestas: „Havajai“
• Norėdami rasti „Cisco“ įrenginius nurodytame potinklyje:
  „Cisco“ tinklas: “214.223.147.0/24 “

Paprastomis paieškomis galite rasti tokių dalykų kaip internetinės kameros, numatytieji slaptažodžiai, maršrutizatoriai, šviesoforai ir dar daugiau, nes tai yra paprasčiau, aiškiau ir lengviau naudoti.

„Google Dorks“

„Google“ įsilaužimas arba „Google dorking“ yra įsilaužimo taktika, kuri naudoja „Google“ paiešką ir kitas „Google“ programas, kad nustatytų svetainės konfigūracijos ir mašinos kodo saugos trūkumus. „Google“ įsilaužimas “apima specializuotų„ Google “paieškos sistemų operatorių naudojimą ieškant unikalių teksto eilučių paieškos rezultatuose.
Panagrinėkime keletą pavyzdžių, kaip naudojant „Google Dork“ rasti privačią informaciją internete. Yra būdas nustatyti .LOG failai, kurie netyčia yra rodomi internete. A .LOG faile yra užuominų apie tai, kokie sistemos slaptažodžiai gali būti, ar apie skirtingas sistemos vartotojo ar administratoriaus paskyras, kurios gali egzistuoti. „Google“ paieškos laukelyje įvedę šią komandą, rasite produktų, kuriuose yra ekspozicijos, sąrašą .LOG failai iki 2017 m .:

allintext: slaptažodžio failo tipas: prisijungti prieš: 2017 m

Ši paieškos užklausa ras visus tinklalapius, kuriuose yra nurodytas tekstas:

intitle: admbook intitle: Fversion failo tipas: php

Kai kurie kiti labai galingi paieškos operatoriai yra šie:

• inurl: ieško nurodytų terminų URL.
• failų tipai: ieško tam tikrų failų tipų, kurie gali būti bet kokio tipo failai.
• svetainė: Apriboja paiešką vienoje svetainėje

Spyse

„Spyse“ yra kibernetinio saugumo paieškos sistema, kurią naudojant galima greitai rasti interneto išteklius ir atlikti išorinį identifikavimą. „Spyse“ pranašumą iš dalies lemia duomenų bazės metodika, leidžianti išvengti ilgo nuskaitymo laiko klausimams renkant duomenis. Kai vienu metu veikia kelios tarnybos ir ataskaitos, kurių grąžinimas gali užtrukti labai ilgai, kibernetinio saugumo specialistai gali žinoti, koks gali būti neefektyvus nuskaitymas. Tai yra pagrindinė priežastis, kodėl kibernetinio saugumo specialistai pereina prie šio nuostabaus paieškos variklio. „Spyse“ archyve saugoma daugiau nei septyni milijardai svarbių duomenų dokumentų, kuriuos galima nedelsiant atsisiųsti. Naudodamiesi 50 labai veikiančių serverių, kurių duomenys padalyti į 250 fragmentų, vartotojai gali pasinaudoti didžiausia turima internetine duomenų baze.

Be neapdorotų duomenų teikimo, ši elektroninės erdvės paieškos sistema taip pat orientuojasi į įvairių interneto sričių santykių demonstravimą.

Kombainas

„Harvester“ yra „Python“ pagrindu sukurta priemonė. Naudodamiesi šia programa, galite gauti informacijos iš daugybės viešų vietų, tokių kaip paieškos sistemos, PGP raktų serveriai ir SHODAN įrenginių duomenų bazės, tokios kaip adresai, padomeniai, administratoriai, darbuotojų vardai, prievadų numeriai ir žymos. Jei norite nustatyti, ką įsibrovėlis gali pamatyti įmonėje, ši priemonė yra naudinga. Tai yra numatytasis „Kali Linux“ įrankis, ir jūs tiesiog turite atnaujinti „Harvester“, kad galėtumėte juo naudotis. Norėdami įdiegti, išleiskite šią komandą:

[apsaugotas el. paštas]: ~ $ sudo apt-get theharvester

Pagrindinė „The Harvester“ sintaksė yra tokia:

[apsaugotas el. pašto adresas]: ~ $ theharvester -d [domainName] -b [searchEngineName / all] [parametrai]

Čia -d yra įmonės pavadinimas arba domenas, kuriame norite ieškoti, ir -b yra duomenų šaltinis, pvz., „LinkedIn“, „Twitter“ ir kt. Norėdami ieškoti el. Laiškuose, naudokite šią komandą:

[apsaugotas el. paštas]: ~ $ javų kombainas.py -d „Microsoft“.com -b visi

Gebėjimas ieškoti virtualių kompiuterių yra dar viena patraukli kombaino savybė. Naudodama DNS skiriamąją gebą, programa patikrina, ar keli pagrindinio kompiuterio vardai yra susieti su tam tikru IP adresu. Šios žinios yra labai svarbios, nes to IP patikimumas vienam pagrindiniam kompiuteriui priklauso ne tik nuo jo saugumo lygio, bet ir nuo to, kaip saugiai laidai yra prijungti kitiems tuo pačiu IP. Tiesą sakant, jei užpuolikas pažeidžia vieną iš jų ir gauna prieigą prie tinklo serverio, tada užpuolikas gali lengvai patekti į visus kitus kompiuterius.

Voras

„SpiderFoot“ yra platforma, naudojama fiksuoti IP, domenus, el. Pašto adresus ir kitus analizės tikslus iš kelių duomenų išleidimo vietų, įskaitant tokias platformas kaip „Shodan“ ir „Have I Been Pwned“, skirtos atvirojo kodo informacijai ir pažeidžiamumui aptikti. „SpiderFoot“ gali būti naudojamas supaprastinti OSINT informacijos apie tikslą paieškos procesą, automatizuojant rinkimo procesą.

Norėdami automatizuoti šį procesą, „Spiderfoot“ ieško daugiau nei 100 viešai prieinamos informacijos šaltinių ir valdo visą įslaptintą intelektą iš įvairių svetainių, el. Pašto adresų, IP adresų, tinklo įrenginių ir kitų šaltinių. Tiesiog nurodykite tikslą, pasirinkite norimus vykdyti modulius, o „Spiderfoot“ padarys visa kita už jus. Pavyzdžiui, „Spiderfoot“ gali surinkti visus duomenis, reikalingus norint sukurti pilną jūsų studijuojamo dalyko profilį. Jis yra daugiaplatformis, turi puikią interneto sąsają ir palaiko beveik 100 ir daugiau modulių. Norėdami įdiegti „spiderFoot“, įdiekite toliau nurodytus „Python“ modulius:

[apsaugotas el. paštas]: ~ $ sudo apt install pip
[apsaugotas el. paštu]: ~ $ pip install lxml netaddr M2Crypto cherrypy mako užklausos bs4

Creepy

„Creepy“ yra atviro šaltinio „Geolocation“ žvalgybos platforma. Naudodamasis įvairiomis socialinių tinklų svetainėmis ir vaizdų talpinimo paslaugomis, „Creepy“ renka informaciją apie vietos stebėjimą. Tada Creepy žemėlapyje pateikia ataskaitas su paieškos metodika, pagrįsta tikslia vieta ir laiku. Vėliau galite nuodugniai peržiūrėti failus eksportuodami juos CSV arba KML formatu. Creepy šaltinio kodas yra „Github“ ir parašytas „Python“. Šį nuostabų įrankį galite įdiegti apsilankę oficialioje svetainėje:
http: // www.geocreepy.com /

Yra dvi pagrindinės „Creepy“ funkcijos, kurias nurodo du konkretūs sąsajos skirtukai: skirtukas „žemėlapio vaizdas“ ir „tikslai“. Šis įrankis yra labai naudingas apsaugos darbuotojams. Naudodamiesi „Creepy“, galite lengvai nuspėti savo elgesį, rutiną, pomėgius ir pomėgius. Maža informacijos dalis, kurią žinote, gali neturėti didelės reikšmės, tačiau pamatę visą vaizdą galite nuspėti kitą taikinio judėjimą.

Dėlionė

Dėlionė naudojama norint gauti žinių apie įmonės darbuotojus. Ši platforma puikiai veikia didelėms organizacijoms, tokioms kaip „Google“, „Yahoo“, „LinkedIn“, MSN, „Microsoft“ ir kt., kur mes galime lengvai pasirinkti vieną iš jų domenų vardų (tarkime,.com), tada surinkite visus el. laiškus iš savo darbuotojų įvairiuose nurodytos įmonės padaliniuose. Vienintelis trūkumas yra tas, kad šios užklausos pateikiamos prieš „Jigsaw“ duomenų bazę, priglobtą „Jigsaw“.lt, todėl mes priklausome tik nuo jų duomenų bazėje esančių žinių, kurias jie leidžia mums ištirti. Galite gauti informacijos apie pagrindines korporacijas, tačiau jums gali nepasisekti, jei tiriate mažiau garsią startuolių įmonę.

Nmap

„Nmap“, kuris reiškia „Network Mapper“, neabejotinai yra vienas ryškiausių ir populiariausių socialinės inžinerijos įrankių. „Nmap“ remiasi ankstesniais tinklo stebėjimo įrankiais, kad būtų galima greitai ir išsamiai nuskaityti tinklo srautą.

Norėdami įdiegti nmap, naudokite šią komandą:

[apsaugotas el. paštas]: ~ $ sudo apt install nmap

„Nmap“ yra prieinamas visoms operacinėms sistemoms ir iš anksto įdiegtas „Kali“. „Nmap“ veikia aptikdama pagrindinius kompiuterius ir IP, veikiančius tinkle, naudodama IP paketus, ir tada išnagrinėjusi šiuos paketus, įtraukdama išsamią informaciją apie pagrindinį kompiuterį ir IP bei jų vykdomąsias operacines sistemas.

„Nmap“ yra naudojamas smulkaus verslo tinklams, įmonės masto tinklams, daiktų interneto įrenginiams ir srautui bei prijungtiems įrenginiams nuskaityti. Tai būtų pirmoji programa, kurią užpuolikas naudos užpuoldamas jūsų svetainę ar žiniatinklio programą. „Nmap“ yra nemokamas ir atviro kodo įrankis, naudojamas vietiniuose ir nuotoliniuose pagrindiniuose kompiuteriuose pažeidžiamumo analizei ir tinklo paieškai.

Pagrindinės „Nmap“ funkcijos yra prievado aptikimas (norint įsitikinti, kad žinote konkrečiame prievade veikiančias komunalines paslaugas), operacinės sistemos aptikimas, IP informacijos aptikimas (įskaitant „Mac“ adresus ir įrenginių tipus), DNS raiškos išjungimas ir pagrindinio kompiuterio aptikimas. „Nmap“ identifikuoja aktyvųjį pagrindinį kompiuterį per „ping“ nuskaitymą, t.e., naudojant komandą nmap -sp 192.100.1.1/24, kuris pateikia aktyvių kompiuterių ir priskirtų IP adresų sąrašą. „Nmap“ taikymo sritis ir galimybės yra nepaprastai didelės ir įvairios. Toliau pateikiamos kelios komandos, kurias galima naudoti pagrindiniam prievado nuskaitymui:

Norėdami atlikti pagrindinį nuskaitymą, naudokite šią komandą:

[apsaugotas el. paštas]: ~ $ nmap

Norėdami paimti reklamjuostę ir aptikti paslaugų versijos aptikimą, naudokite šią komandą:

[apsaugotas el. paštas]: ~ $ nmap -sP -sC

Norėdami aptikti operacinę sistemą ir atlikti agresyvius nuskaitymus, naudokite šią komandą:

[apsaugotas el. paštas]: ~ $ nmap -A -O-

Išvada

Atvirojo kodo žvalgyba yra naudinga technika, kurią galite naudoti norėdami sužinoti beveik viską internete. Turėti žinių apie OSINT įrankius yra geras dalykas, nes tai gali turėti daug įtakos jūsų profesiniam darbui. Yra keletas puikių projektų, kuriuose naudojama OSINT, pavyzdžiui, internete rasti pamestus žmones. Iš daugybės žvalgybos subkategorijų atvirasis šaltinis yra plačiausiai naudojamas dėl mažų sąnaudų ir itin vertingos produkcijos.