Desde a Segunda Guerra Mundial, agentes altamente treinados da comunidade de inteligência têm monitorado informações de código aberto, como transmissões de rádio, jornais e flutuações de mercado. Atualmente, devido ao número e à variedade de fontes de dados de fácil acesso, praticamente qualquer pessoa pode participar da coleta de inteligência de código aberto.

Algumas das fontes públicas das quais os pesquisadores OSINT coletam dados incluem:

• Mecanismos de busca na Internet como Google, DuckDuckGo, Yahoo, Bing e Yandex.

• Mídia impressa e online como jornais, revistas e sites de notícias.

• Contas de rede social em plataformas como Facebook, X, Instagram e LinkedIn.

• Fóruns online, blogs e Internet Relay Chats (IRC).

• A dark web, uma área criptografada da internet que não é indexada pelos motores de busca.

• Diretórios online de números de telefone, endereços de e-mail e endereços físicos.

• Registros públicos, incluindo nascimentos, óbitos, documentos judiciais e arquivamentos comerciais.

• Registros governamentais, como transcrições de reuniões, orçamentos, discursos e comunicados à imprensa emitidos por governos locais, estaduais e federais/nacionais.

• Pesquisa acadêmica, incluindo artigos, teses e periódicos.

• Dados técnicos, como endereços IP, APIs, portas abertas e metadados de páginas da web.

No entanto, antes de iniciar a coleta de dados de fontes OSINT, deve ser estabelecido um objetivo claro. Por exemplo, os profissionais de segurança que usam a OSINT primeiro determinam quais insights eles procuram descobrir e quais dados públicos produzirão os resultados desejados.

Depois que as informações públicas são coletadas, elas devem ser processadas para filtrar os dados desnecessários ou redundantes. As equipes de segurança podem então analisar os dados refinados e criar um relatório de inteligência praticável.

Os agentes de ameaças geralmente usam a OSINT para descobrir informações confidenciais que podem aproveitar para explorar vulnerabilidades em redes de computadores.

Isso pode incluir informações pessoais sobre os funcionários, parceiros e fornecedores de uma organização que são facilmente acessíveis nas redes sociais e nos sites da empresa. Ou informações técnicas como credenciais, falhas de segurança ou chaves de criptografia que podem aparecer no código-fonte de páginas da web ou aplicações em nuvem. Existem também sites públicos que publicam informações comprometedoras, como logins e senhas roubados em violações de dados.

Os cibercriminosos são capazes de usar esses dados públicos para uma variedade de propósitos nefastos.

Por exemplo, eles podem usar informações pessoais de redes sociais para criar e-mails de phishing personalizados que convencem os leitores a clicar em um link malicioso. Ou realizar uma pesquisa no Google com comandos específicos que revelam vulnerabilidades de segurança em uma aplicação da web, uma prática chamada "Google dorking". Eles também podem evitar a detecção durante uma tentativa de invasão depois de analisar os ativos públicos de uma empresa que descrevem suas estratégias de defesa de cibersegurança.

Por esses motivos, muitas organizações realizam avaliações OSINT das fontes públicas de informações relacionadas a seus sistemas, aplicações e recursos humanos.

As descobertas podem ser usadas para localizar vazamentos não autorizados de dados proprietários ou confidenciais, avaliar a segurança das informações e identificar vulnerabilidades, como software não corrigido, configurações incorretas ou portas abertas. As organizações também podem realizar testes de penetração nos seus sistemas e redes usando os mesmos dados OSINT que são publicamente acessíveis por cibercriminosos e hackers.

Muitas vezes, as informações coletadas durante uma avaliação da OSINT são combinadas com dados não públicos para criar um relatório de inteligência de ameaça mais abrangente. Atualizações frequentes nas avaliações de cibersegurança da OSINT podem ajudar as organizações a mitigar o risco de violação de dados, ransomware, malware e outros ciberataques.

Devido à grande quantidade de informações públicas disponíveis, muitas vezes não é prático coletar, classificar e analisar manualmente os dados de OSINT. Ferramentas especializadas de inteligência de código aberto podem ajudar a gerenciar e automatizar tarefas de dados para uma variedade de casos de uso de OSINT.

Algumas ferramentas de análise OSINT usam inteligência artificial e aprendizado de máquina para detectar quais informações são valiosas e relevantes e quais são insignificantes ou não relacionadas. Entre as ferramentas OSINT mais populares estão:

• Osintframework.com (link externo ao site ibm.com) – Um extenso diretório de ferramentas e recursos OSINT gratuitos e online hospedados na plataforma de desenvolvedores GitHub. Tanto hackers quanto profissionais de cibersegurança podem usar esse diretório como um ponto de partida para detalhar a funcionalidade específica que buscam em uma ferramenta OSINT.

• Maltego (link externo ao site ibm.com) – Uma solução de mineração de dados em tempo real para plataformas Windows, Mac e Linux que fornece representações gráficas de padrões e conexões de dados. Com sua capacidade de traçar perfis e rastrear as atividades online de indivíduos, essa ferramenta pode ser útil tanto para profissionais de cibersegurança quanto para agentes de ameaças.

• Spiderfoot (link externo ao site ibm.com) – Uma ferramenta de integração de fontes de dados para informações como endereços de e-mail, números de telefone, endereços IP, subdomínios e muito mais. Hackers éticos podem usar esse recurso para investigar informações publicamente disponíveis que possam representar uma ameaça para uma organização ou um indivíduo.

• Shodan (link externo ao site ibm.com) – Um mecanismo de busca para dispositivos conectados à Internet que também pode fornecer informações sobre metadados e portas abertas. Como essa ferramenta pode identificar vulnerabilidades de segurança em milhões de dispositivos, ela pode ser útil tanto para profissionais de cibersegurança quanto para cibercriminosos.

• Babel X (link externo ao site ibm.com) – Uma ferramenta de busca multilíngue habilitada por IA capaz de pesquisar na rede mundial de computadores e na dark web em mais de 200 idiomas. As equipes de segurança dentro de uma organização podem usar essa ferramenta para procurar informações confidenciais ou proprietárias que podem ser publicadas na dark web ou em um país estrangeiro.

• Metasploit (link externo ao site ibm.com) – Uma ferramenta de teste de penetração que pode identificar vulnerabilidades de segurança em redes, sistemas e aplicações. Tanto os profissionais de cibersegurança quanto os hackers encontram valor nessa ferramenta porque ela pode expor os pontos fracos específicos que podem permitir um ataque cibernético bem-sucedido.