quarta-feira, 18 de setembro de 2024

Preparativos #1: OPSEC

 


 

Antes de começarmos qualquer trabalho sério de OSINT, é necessário tratar de um preparativo fundamental para realizar nossas buscas e análises: OPSEC. Operational Security (OPSEC) é o ato de proteger sua anonimidade quando envolvido em pesquisas ou operações online[1]. Sem medidas básicas neste sentido, o trabalho com Inteligência de Fontes Abertas pode tornar-se perigoso ou improdutivo.

Para ficar mais claro o exemplo, vamos partir de uma situação mais extrema: imagine que você esteja investigando, a pedido de seu cliente, uma organização criminosa. Será que é seguro realizar as pesquisas necessárias em redes sociais com seu perfil real? Ou realizar a pesquisa direto da rede local de sua casa, por exemplo, facilitando a localização de seu número de IP?

Michael Bazzell, autor de OSINT techniques, livro fundamental da disciplina, diz que costumava começar seus cursos e livros já ensinando mecanismos de pesquisa até se daparar, em um curso, com "policiais com notebooks de propriedade da polícia realizando buscas no Facebook; investigadores privados usando Windows XP enquanto navegavam por blogs de suspeitos; e profissionais de cibersegurança entrando em sites de hacking sem possuir nenhum antivírus, bloqueador de script ou VPN"[2]. A partir desse momento, todas as edições de seu livro passaram a ter uma parte introdutória tratando dos preparativos para OSINT, objetivando principalmente que seus alunos e leitores aprendessem pelo menos o básico de OPSEC.

Pretendemos explicar em pormenores a importância de VPN, sock puppets, e outros recursos para manter sua anonimidade enquanto você começa a explorar suas habilidades de OSINT. É importante em um primeiro momento, porém, entender a natureza delicada das tarefas que desempenharemos e a extrema necessidade de se manter anônimo, ou o mais anônimo possível, para realizá-las. Entender e ter boas práticas de OPSEC é o primeiro passo prático para seu futuro em OSINT.

[1] Jon DiMaggio, The Art of Cyberwarfare: an investigator's guide to espionage, ransomware, and organized cybercrime, No Starch Press, 2022. Tradução minha.

[2] OSINT Techniques: Resources for Uncovering Online Information, Michael Bazzel, 2023, p. 1. Tradução minha. Bazzell também foi consultor técnico da primeira temporada da série Mr. Robot.

às Nenhum comentário:

quinta-feira, 5 de setembro de 2024

Exercício #1 - Faça uma busca sobre você

Antes de realmente estabelecermos os preparativos necessários para um trabalho adequado de OSINT, vamos realizar um primeiro exercício razoavelmente livre. Pesquise informações sobre você mesmo em qualquer mecanismo de busca. O Google será certamente a primeira escolha. O que você encontra? Qual o tamanho de seu rastro digital?
Em um momento futuro entenderemos o que são os google dorks, que funcionam como macetes para realizar pesquisas mais precisas, mas há alguns recursos que já podemos explorar para refinar os resultados. Digamos que você possua um nome e dois sobrenomes: pesquise com aspas - "Nome Sobrenome1 Sobrenome2", "Nome Sobrenome1", "Nome Sobrenome2". Se seu nome é razoavelmente "comum", ou seja, a quantidade de homônimos é provavelmente grande, a busca deverá ser mais difícil. De todo modo, inclua sua cidade na pesquisa - "Nome Sobrenome1 Sobrenome2" Cidade. Você pode incluir a escola ou universidade onde estudou/estuda, seu local de trabalho... As possibilidades são inúmeras.
Antes de ingressar no mundo da segurança da informação e da OSINT, eu tinha algum receio, até certo ponto inexplicável, de realizar esse tipo de busca. Que informações eu encontraria? Mais especificamente, até que ponto abdiquei da minha privacidade e expus meus dados, a ponto de uma simples pesquisa no Google devassar minha intimidade?
Esse exercício é fundamental por mais de um motivo, mas darei um exemplo. Uma busca no Google por meu endereço de email, com aspas - "nome@exemplo.com" - retornou três resultados. Um deles era uma nota fiscal em PDF onde constavam meu email (por óbvio), nome, endereço e CPF. O que significa: quem quer que soubesse meu endereço de email poderia realizar a mesma busca e chegar ao mesmo resultado, tendo acesso a dados sensíveis, que de forma alguma deveriam estar expostos. Entrei em contato com a empresa emissora da nota fiscal, que retornou o documento ao status sigiloso que ele merece.
Sem essa pesquisa - nosso primeiro exercício - meus dados estariam por aí, à mercê de quem soubesse buscá-los.    
 

às Nenhum comentário:
Assinar: Comentários (Atom)
  • Para que serve a OSINT?
      Agora que já discutimos em resumo o conceito de OSINT - Open Source Intelligence - parece importante entender um pouco melhor a utilidad...
  • O que é OSINT - Open Source Intelligence?
      Nada melhor para começar este blog do que uma breve explicação do conceito de OSINT (lê-se Oh-sint - duas sílabas). Como muito bem sin...