Każda organizacja zostawia po sobie cyfrowy ślad. Część z tych informacji publikuje świadomie: na stronie internetowej, w mediach społecznościowych, w ofertach pracy, komunikatach prasowych czy materiałach sprzedażowych. Część pojawia się przy okazji: w rejestrach domen, dokumentach PDF, wypowiedziach pracowników, prezentacjach z konferencji, archiwalnych podstronach, wyciekach danych albo w kodzie źródłowym pozostawionym w publicznym repozytorium. Dla klientów to często przejaw transparentności. Dla konkurencji – źródło wiedzy o rynku. Dla atakującego – mapa, która może prowadzić do najłatwiejszego wejścia.
Właśnie tym zajmuje się OSINT. Co to oznacza w praktyce? To pozyskiwanie i analiza informacji dostępnych publicznie. Nie chodzi o włamanie, przełamanie zabezpieczeń ani podsłuch. Chodzi o cierpliwe łączenie faktów, które osobno wyglądają niewinnie, ale razem potrafią pokazać zaskakująco dokładny obraz firmy: ludzi, technologii, procesów, dostawców, słabych punktów i codziennego rytmu pracy.
OSINT, biały wywiad i wywiad otwarty – dlaczego to ma znaczenie dla firm?
Pojęcia takie jak biały wywiad, wywiad otwarty czy otwarte źródła informacji w działalności wywiadowczej nie są nowe. Od lat wykorzystują je analitycy, dziennikarze, służby, działy compliance, zespoły bezpieczeństwa i specjaliści od analizy ryzyka. Zmieniła się jednak skala. Dawniej zdobycie danych wymagało czasu, kontaktów i dostępu do rozproszonych zasobów. Dziś źródła informacji są dostępne natychmiast, globalnie i często w formie możliwej do automatycznego przeszukiwania.
To sprawia, że OSINT stał się jednym z pierwszych etapów przygotowania ataku. Zanim ktokolwiek wyśle wiadomość phishingową, spróbuje przejąć konto albo wykorzystać podatność techniczną, najpierw sprawdza, co może ustalić bez dotykania infrastruktury ofiary. Dobrze przeprowadzone rozpoznanie pozwala ograniczyć przypadkowość. Atakujący nie musi strzelać na oślep, jeśli może wcześniej dowiedzieć się, z jakich narzędzi korzysta firma, kto odpowiada za finanse, jakie stanowiska są rekrutowane i kiedy organizacja jest najbardziej zajęta.
Jak atakujący zbiera informacje o firmie?
Najczęściej nie zaczyna od techniki, lecz od kontekstu. Interesuje go to, jak organizacja działa, kto w niej pracuje, z kim współpracuje i jakie informacje sama udostępnia światu. Publiczna strona internetowa zdradza strukturę usług, lokalizacje biur, dane kontaktowe, nazwiska osób decyzyjnych, czasem także technologie używane w serwisie. Media społecznościowe pokazują wydarzenia firmowe, nowych pracowników, awanse, relacje z partnerami, zdjęcia biura i kulisy codziennej pracy.
Oferty pracy bywają jeszcze ciekawsze. Firma, która szuka administratora konkretnej platformy, specjalisty od określonego systemu ERP albo inżyniera z doświadczeniem w danej chmurze, nieświadomie ujawnia fragment swojego stosu technologicznego. Komunikaty prasowe i case studies pokazują klientów, wdrożenia i dostawców. Publiczne dokumenty mogą zawierać metadane, nazwy użytkowników, ścieżki katalogów, wewnętrzne nazewnictwo projektów albo historię poprawek.
Do tego dochodzą rejestry domen, certyfikaty TLS, wpisy DNS, publiczne repozytoria kodu, archiwa stron, bazy wycieków, fora branżowe, serwisy z opiniami o pracodawcach oraz wzmianki w mediach. Same w sobie nie muszą być wrażliwe. Problem zaczyna się wtedy, gdy ktoś połączy je w całość.
Co można znaleźć w otwartych źródłach informacji?
Otwarte źródła informacji często pokazują więcej, niż organizacja zakłada. Atakujący może ustalić podstawowe dane identyfikacyjne firmy, domeny, subdomeny, adresy e-mail, format firmowych loginów, nazwiska pracowników i zakresy ich odpowiedzialności. Może sprawdzić, jakie usługi są wystawione do Internetu, jakie technologie pojawiają się w nagłówkach stron, jakie systemy są wymieniane w ogłoszeniach rekrutacyjnych oraz które osoby mają dostęp do procesów finansowych, prawnych lub administracyjnych.
Z perspektywy cyberbezpieczeństwa szczególnie ryzykowne są informacje, które ułatwiają personalizację ataku. Im więcej szczegółów, tym bardziej wiarygodna wiadomość phishingowa. Mail podszywający się pod dostawcę jest skuteczniejszy, jeśli odwołuje się do prawdziwego projektu. Prośba o pilny przelew wygląda groźniej, gdy trafia do właściwej osoby i pojawia się w okresie rozliczeń. Fałszywe zaproszenie na spotkanie łatwiej przechodzi przez czujność, jeśli używa języka, nazw i kontekstu znanego z realnej komunikacji firmy.
OSINT nie musi prowadzić wyłącznie do cyberataku. Może wspierać oszustwa biznesowe, podszywanie się pod pracowników, próby wyłudzenia danych od recepcji lub helpdesku, nadużycia wobec partnerów, a nawet działania wymierzone w reputację marki.
Publiczne dane techniczne – niewidoczna warstwa ekspozycji
Firmy często dbają o to, jak wyglądają ich treści marketingowe, ale rzadziej regularnie sprawdzają, co widać od strony technicznej. Tymczasem publicznie dostępna infrastruktura może zdradzać nazwy środowisk testowych, nieużywane subdomeny, stare panele logowania, zapomniane aplikacje, błędne konfiguracje DNS, zależności od zewnętrznych dostawców czy informacje o mechanizmach pocztowych.
Nie każda taka informacja jest podatnością. Sama wiedza o tym, że organizacja korzysta z konkretnej chmury, systemu pocztowego czy narzędzia helpdesk, nie oznacza jeszcze zagrożenia. Ale dla atakującego jest to skrócenie drogi. Zamiast zgadywać, może dopasować scenariusz. Zamiast masowej wiadomości, może przygotować komunikat brzmiący tak, jakby pochodził z rzeczywistego środowiska pracy.
Właśnie dlatego wywiad otwarty jest tak ważny w testach bezpieczeństwa. Dobrze wykonany audyt OSINT pokazuje nie tylko listę informacji, ale także ich znaczenie. Inaczej ocenia się pojedynczy adres e-mail, a inaczej zestaw: adres e-mail, stanowisko, projekt, dostawca, narzędzie, wzorzec komunikacji i informacja o planowanym wdrożeniu.
Ludzie jako źródło informacji
Najwięcej danych o firmie często publikują nie systemy, lecz ludzie. Pracownicy chwalą się certyfikatami, udziałem w projektach, zdjęciami z biura, nowym sprzętem, konferencjami i sukcesami zespołów. To naturalne i zwykle potrzebne – buduje markę osobistą oraz wiarygodność organizacji. Problem pojawia się wtedy, gdy nikt nie określił granic.
Zdjęcie z biura może pokazać identyfikatory, układ pomieszczeń, tablicę z nazwą projektu albo ekran z fragmentem systemu. Wpis o awansie może ujawnić strukturę decyzyjną. Publiczna dyskusja techniczna może zdradzić używane biblioteki, problemy z wdrożeniem albo sposób pracy zespołu. Opinie byłych pracowników mogą wskazać narzędzia, procesy i napięcia organizacyjne.
Dla atakującego takie informacje są cenne, bo pomagają zbudować wiarygodność. Socjotechnika nie działa dlatego, że ludzie są naiwni. Działa dlatego, że dobrze przygotowana wiadomość pasuje do ich rzeczywistości.
Jak ograniczyć ryzyko?
Pierwszym krokiem jest regularny przegląd publicznej ekspozycji. Warto sprawdzać domeny, subdomeny, profile społecznościowe, repozytoria, dokumenty, archiwa stron, ogłoszenia rekrutacyjne i dane kontaktowe. Nie chodzi o jednorazowe sprzątanie, lecz o proces. Internet pamięta długo, a organizacje zmieniają się szybciej niż ich cyfrowy ślad.
Drugim elementem są zasady publikacji. Marketing powinien wiedzieć, jakie informacje techniczne lepiej pominąć. HR powinien rozumieć, że ogłoszenie o pracę może ujawniać szczegóły środowiska. Pracownicy powinni mieć jasne wskazówki dotyczące zdjęć, zrzutów ekranu, identyfikatorów, nazw projektów i opisywania wewnętrznych procesów. Z kolei dział bezpieczeństwa powinien współpracować z biznesem, a nie wyłącznie blokować publikacje.
Trzecim obszarem jest higiena techniczna: porządek w DNS, usuwanie nieużywanych subdomen, kontrola publicznych repozytoriów, ograniczanie metadanych w dokumentach, monitorowanie wycieków danych, właściwa konfiguracja poczty i szybkie reagowanie na znalezione ślady. W praktyce często to drobne zaniedbania tworzą najbardziej użyteczny obraz dla atakującego.
Ciekawostka
Większość osób kojarzy OSINT z LinkedInem, Facebookiem albo wyszukiwarką Google. Tymczasem najciekawsze informacje często nie leżą tam, gdzie sami je świadomie zostawiliśmy. Czasem zdradza nas nie własny profil, ale cudze zdjęcie, stara prezentacja, lista uczestników wydarzenia, dokument PDF, opinia w Internecie albo drobny szczegół widoczny w tle fotografii.
Człowieka można „zosintować” z naprawdę wielu pól. Z mediów społecznościowych da się odczytać nie tylko miejsce pracy, ale też relacje, styl komunikacji, zainteresowania i momenty, w których ktoś jest bardziej aktywny. Ze zdjęć można wyłapać identyfikator, nazwę firmy, układ biura, sprzęt, narzędzia, lokalizację, a czasem nawet informacje odbite w szybie, lustrze albo ekranie. Z komentarzy i reakcji można zobaczyć, z kim dana osoba ma bliższy kontakt, jakie tematy ją poruszają i na czyje nazwisko prawdopodobnie zareaguje szybciej.
Zaskakująco dużo mówią też rzeczy pozornie nudne: pliki PDF, prezentacje, regulaminy, zaproszenia na webinary, listy prelegentów, programy konferencji czy materiały do pobrania ze strony firmy. Mogą zdradzać autora dokumentu, nazwę działu, zakres obowiązków, wewnętrzne nazwy projektów, używane technologie albo to, kto w organizacji zajmuje się konkretnym tematem.
Źródłem informacji bywają również opinie w Google, stare ogłoszenia, lokalne portale, rejestry firm, newslettery, zdjęcia z eventów, publiczne zbiórki, wyniki zawodów sportowych, fora branżowe, grupy dyskusyjne, podcasty i nagrania z webinarów. Każde z tych miejsc może pokazać inny fragment: gdzie ktoś bywa, z kim współpracuje, czym się interesuje, kiedy podróżuje, jak wygląda jego ścieżka kariery, jakie ma kompetencje, jakie firmy zna i w jakim środowisku się obraca. Najbardziej zaskakujące jest to, że nie trzeba znaleźć jednej „tajnej” informacji. Wystarczy kilkanaście małych śladów. Zdjęcie z konferencji pokazuje obecność na wydarzeniu. Program konferencji mówi, z jakiego tematu ktoś występował. LinkedIn pokazuje stanowisko. Komentarz kolegi sugeruje relację. Ogłoszenie rekrutacyjne zdradza narzędzia używane w firmie. Publiczne gratulacje pokazują awans. Razem tworzy się obraz dużo dokładniejszy niż ktokolwiek zakładał.
