В предыдущих статьях мы научились хранить секреты. В сегодняшней статье я представляю концепцию разведки с открытым исходным кодом в Интернете.

Часть 30 | Open Source Intelligence (OSINT) в веб-разработке

Идея разведки с открытым исходным кодом не относится к кибербезопасности или вычислениям. Это общая концепция. Проще говоря, OSINT занимается сбором информации из открытых и полуоткрытых источников.

И, боже, в сети их много. Он имеет HTML, JS, CSS и другие ресурсы, трафик HTTP-запросов и ответов с заголовками запросов и ответов, файлы cookie, интернет-трафик в виде открытого текста, сертификаты, доменные имена, записи DNS, записи WHOIS, IP-адреса, известные номера портов, общедоступные репозитории. , списки каталогов, коды состояния, соглашения об именах, время отклика, сообщения об ошибках, CDN и другие кэши, перенаправления, личную информацию, и этот список можно продолжать и продолжать.

Это, конечно, совсем не удивительно. Сеть является общедоступным ресурсом и поэтому содержит много общедоступной информации, из которой можно собрать разведданные. Это относится не только к его функциональным аспектам, но и к аспектам, влияющим на безопасность.

Поистине невероятная часть того, что делает Интернет возможным, происходит на виду у любого, кто хочет взглянуть.

Конечно, они требуют технических знаний, времени и мотивации для разбора. Но они также раскрывают много информации об уязвимостях. И они тут же, спрятаны у всех на виду.

Подумайте, что это значит для злоумышленников. Почти все кибератаки начинаются с разведки, когда злоумышленники пытаются определить основные характеристики и поведение службы. Это включает в себя изучение интернет-трафика и изучение того, как система реагирует на определенные входные данные.

Давайте добавим небольшой апостроф в поле ввода, которое может быть уязвимо для атаки путем внедрения SQL-кода. Это вызывает подозрительную ошибку? Хм, никаких исключений, связанных с SQL. Но он преобразует нашу одинарную кавычку в двойную кавычку. Это намекает на пользовательскую нормализацию ввода. Может быть, вместо этого мы можем запустить загрузку отраженного файла?

Каждое сообщение, которое происходит, раскрывает что-то о возможности атаки. Даже такая, казалось бы, безобидная вещь, как добавление нового внешнего вида к последней версии готового решения для веб-сайта, проинформирует злоумышленника о том, что на существующем сайте по-прежнему работает старая версия с известными уязвимостями.

И вся эта информация может быть просканирована автоматизированными инструментами, классифицирована и скомпилирована для легкого доступа. От сканеров угроз, таких как Pulsedive, до индексов отчетов о безопасности, таких как LeakIX, до сканеров вирусов, таких как Polyswarm, до общедоступных индексов корзин s3, таких как GrayHat Warfare, до баз данных с утечками учетных данных, таких как DeHashed.

Но, несмотря на знание всего этого и несмотря на все эти ресурсы, может быть трудно понять, какую конфиденциальную информацию вы размещаете на дисплее при настройке веб-сайта.

Существует так много общедоступной информации о работе вашего сайта. Кроме того, информация, предназначенная для публичного ознакомления, должна быть безвредной для отображения, верно?

Правда в том, что разведка с открытым исходным кодом может быть открытой по своей природе, но это не обязательно означает, что она безвредна. Даже самые мелкие детали могут намекнуть на уязвимости. Вот почему полезно быть в курсе общедоступной информации, которой вы делитесь. Это поможет вам оставаться на шаг впереди злоумышленников.

Например, если сертификат TLS вашего сайта включает подстановочный знак в поле «Альтернативное имя субъекта», это может указать злоумышленнику, что в какой-то момент ваш сайт может стать уязвимым для захвата поддомена. Они могут автоматически отслеживать ваш сайт на наличие новых поддоменов.

Вы уверены, что у вас нет оборванных DNS-записей, указывающих в никуда после завершения кампании? Есть ли у вас процесс, чтобы предотвратить это, точно так же, как у злоумышленника есть процесс, чтобы узнать, когда это произойдет?

Способность задавать себе такие вопросы начинается с осознания той информации, которая у вас есть на дисплее.

Вы в курсе?

Ежедневный совет:

Полезным упражнением будет знакомство с ресурсами, которыми любят пользоваться злоумышленники и исследователи безопасности. Нажмите https://osintframework.com/, чтобы просмотреть соответствующие ссылки, связанные с OSINT.

Примечание автора

Эта статья отмечает конец моего первого месяца ежедневных историй о безопасности. Спасибо, что читаете вместе! Надеюсь, что вы нашли в них что-то полезное.

Я собираюсь переехать в новый дом через несколько дней, так что я возьму перерыв от написания статей, чтобы обустроиться и насладиться предстоящими праздниками. Я скоро вернусь с продолжением этой серии (думаю сделать следующую историю о поглощении поддоменов, но я открыт для предложений).

Я также буду писать другие статьи не каждый день, так что вы все равно будете меня видеть.

До скорой встречи!