Kan jij je voorstellen dat er van jouw organisatie wachtwoorden rondzwerven op het internet? Ben jij je ervan op de hoogte welke websites (gevoelige)documentatie bevatten van jouw organisatie? Weet jij welke persoonsgegevens van jouw directie of management laag bekend zijn? Dit is allemaal uit te zoeken door middel van een OSINT onderzoek. Maar wat is OSINT? En hoe gebruik je het?
Wat is OSINT?
OSINT (Open Source INTelligence) is regelmatig een onderschat onderwerp. Veel organisaties weten niet dat er veel, misschien onbedoeld, “opensource” informatie is te vinden op het internet. “Opensource” is letterlijk vertaald open bron. Met andere woorden: iedereen die toegang tot Google heeft kan informatie vinden over een organisatie.
Vaak is het informatie die openlijk beschikbaar mag zijn, maar er zijn gevallen bekend waar er toch bepaalde gevoelige documentatie te vinden is. De kracht van OSINT zit hem in de correlaties die kunnen worden gevonden in verschillende bronnen. Je kan dit zien als een puzzel. Een puzzelstukje zelf stelt niet zoveel voor, maar als je alle stukjes hebt dan ontstaat er een heel plaatje. Zo kan OSINT bijvoorbeeld worden gebruikt om uit te zoeken of een organisatie op basis van een IP (of Website) op de hoogte is van poorten die openstaan beveiligd of onbeveiligd.
OSINT: interessant voor hackers
Het interessante van OSINT is dat er naast technische bevindingen ook bijvoorbeeld openbare presentaties of documenten op het web staan waarin toch net te veel wordt verteld over het gebruik en de werking van systemen. Door middel van het vergaren van informatie kan door een ‘hacker’ een profiel worden geschetst over de applicaties die draaien en of deze up-to-date zijn. Met deze informatie kan er veel gedaan worden en is het wenselijk dat een ‘ethisch hacker’ het ontdekt in plaats van een kwaadwillende ‘hacker’. Een ‘ethisch hacker’ wordt op basis van initiatief van de organisatie ingehuurd om een uitgekozen omgeving te testen. Dit wordt ook wel een penetratietesten genoemd. Navaio kan hierbij een uitkomst bieden door een OSINT-onderzoek uit te voeren. Hiermee wordt er overzichtelijk gemaakt wat voor informatie er openbaar beschikbaar is en of dit gewenst is.
Gebruikmakend van een profiel, welke is samengesteld middels OSINT, kan een (ethisch)hacker de aanval inzetten. Deze aanval is specifiek gericht op kwetsbare systemen, personen of een phishing aanval. De hacker gebruikt deze informatie om een sterk inhoudelijk kloppende phishing mail op te stellen of zich voor doen als een medewerker van de organisatie. Deze methode vraagt ook om mensenkennis en de kunst van het manipuleren, alleen is dat een volgend onderwerp.
Vrijblijvend consult
Maar waar begin je nu exact? Wat zijn de eerste te nemen stappen? Onze expert op het gebied van OSINT helpt je graag op weg. Neem contact met ons op voor een vrijblijvend consult en voorkom datalekken.
Leave A Comment