Coleta de Inteligência de Código Aberto Empresarial - Parte 2
Coleta de Inteligência de Código Aberto Empresarial - Parte 2 Blogs, Quadros de Mensagens e Metadados
Postado por Tom em 28 de outubro de 2009 - 17:00
Arquivado em Teste de Invasão , Redes Sociais
Tagged as blogue , facebook , googledorks , informationgathering , linkedin , Maltego , myspace , pentest , socialmedia , socialnetworking, socnetsec , falando , Twitter
Tagged as blogue , facebook , googledorks , informationgathering , linkedin , Maltego , myspace , pentest , socialmedia , socialnetworking, socnetsec , falando , Twitter
Este post é a segunda parte da minha série de três partes sobre o Enterprise Open Source Intelligence Gathering. Esta informação relaciona-se com a apresentação que eu estou dando esta semana na 7a reunião anual da segurança da informação de Ohio . Para mais informações básicas, consulte a parte 1 . A terceira parte será sobre a montagem de um simples programa de monitoramento / kit de ferramentas e a criação de uma política de postagens na Internet (mídia social) para sua empresa.
A primeira parte da série discutiu maneiras de reunir OSINT em redes sociais e alguns dos desafios que isso cria. Além de coletar o OSINT nas redes sociais, existem muitas outras fontes de informação nas quais as informações da empresa podem ser postadas. Estes incluem blogs, quadros de mensagens e repositórios de documentos. Um dos subprodutos da descoberta de documentos são os metadados, que explicarei abaixo com mais detalhes.
Blogs OSINT e Blogs
podem ser pesquisados através de qualquer mecanismo de busca tradicional, no entanto, o desafio com blogs não são necessariamente os posts em si, mas os comentários. Quando se trata de postagens de blog, os comentários geralmente são onde a ação é, especialmente quando se trata de seus funcionários atuais e antigos (até mesmo clientes) comentando sobre problemas de relações públicas altamente sensíveis que uma empresa pode estar conduzindo o controle de danos. O outro ponto a comentar é que os funcionários podem postar coisas que violam uma de suas políticas e causam problemas de reputação da marca. Exemplos disso são todos os inúmeros vazamentos de lucros, downsizing, informações confidenciais e muito mais que a mídia noticiosa reporta. Não seria ótimo estar monitorando blogs e seus comentários para descobrir essas coisas antes de se tornarem virais?
podem ser pesquisados através de qualquer mecanismo de busca tradicional, no entanto, o desafio com blogs não são necessariamente os posts em si, mas os comentários. Quando se trata de postagens de blog, os comentários geralmente são onde a ação é, especialmente quando se trata de seus funcionários atuais e antigos (até mesmo clientes) comentando sobre problemas de relações públicas altamente sensíveis que uma empresa pode estar conduzindo o controle de danos. O outro ponto a comentar é que os funcionários podem postar coisas que violam uma de suas políticas e causam problemas de reputação da marca. Exemplos disso são todos os inúmeros vazamentos de lucros, downsizing, informações confidenciais e muito mais que a mídia noticiosa reporta. Não seria ótimo estar monitorando blogs e seus comentários para descobrir essas coisas antes de se tornarem virais?
Abaixo estão listados alguns dos sites de busca de blogs e comentários que eu recomendo que você adicione ao seu arsenal de monitoramento que eu vou falar sobre como criar na parte três:
Menção social http://socialmention.com (tem * excelente * pesquisa de comentários e RSS para monitoramento)
Google Blog Search http://blogsearch.google.com (ótimo para criar feeds RSS e muito personalizável)
Blogpulse http: // www. blogpulse.com/ (tem pesquisa de comentários)
Technorati http://technorati.com/
IceRocket http://www.icerocket.com/
BackType http://www.backtype.com/ (tem pesquisa de comentário)
coComment http: // www.cocomment.com/ (tem pesquisa de comentário)
Google Blog Search http://blogsearch.google.com (ótimo para criar feeds RSS e muito personalizável)
Blogpulse http: // www. blogpulse.com/ (tem pesquisa de comentários)
Technorati http://technorati.com/
IceRocket http://www.icerocket.com/
BackType http://www.backtype.com/ (tem pesquisa de comentário)
coComment http: // www.cocomment.com/ (tem pesquisa de comentário)
OSINT e Message Boards
Os painéis de mensagens sempre foram uma excelente fonte de OSINT. Quadros de mensagens datam antes de os blogs serem populares e ainda serem amplamente usados hoje em dia. Como existem muitos quadros de mensagens por aí que podem conter um bom OSINT, você realmente precisa usar os mecanismos de busca do quadro de mensagens, a menos que você saiba sobre quadros de mensagens específicos que você sabe que seus funcionários usam (ou poderiam). Bons exemplos disso são quadros de mensagens relacionadas ao trabalho, como vault.com ou fóruns de discussão do Yahoo / Google Finance ou grupos centrados na negociação de ações.
Os painéis de mensagens sempre foram uma excelente fonte de OSINT. Quadros de mensagens datam antes de os blogs serem populares e ainda serem amplamente usados hoje em dia. Como existem muitos quadros de mensagens por aí que podem conter um bom OSINT, você realmente precisa usar os mecanismos de busca do quadro de mensagens, a menos que você saiba sobre quadros de mensagens específicos que você sabe que seus funcionários usam (ou poderiam). Bons exemplos disso são quadros de mensagens relacionadas ao trabalho, como vault.com ou fóruns de discussão do Yahoo / Google Finance ou grupos centrados na negociação de ações.
Aqui está minha lista de mecanismos de busca no fórum e alguns que podem ser mais específicos para uma empresa:
Grupos do Google http://groups.google.com/ (sempre uma boa opção para criar feeds RSS e muito personalizável)
Yahoo! Grupos http://groups.yahoo.com/
Big Boards http://www.big-boards.com/ (lista enorme!)
BoardReader http://boardreader.com/ (muito bom de busca e feeds RSS de resultados)
Board Tracker http://boardtracker.com/ (muito boa pesquisa e feeds RSS de resultados)
Yahoo! Grupos http://groups.yahoo.com/
Big Boards http://www.big-boards.com/ (lista enorme!)
BoardReader http://boardreader.com/ (muito bom de busca e feeds RSS de resultados)
Board Tracker http://boardtracker.com/ (muito boa pesquisa e feeds RSS de resultados)
Mais específico:
Fóruns do Craigslist http://www.craigslist.org/about/sites (RSS disponível)
Vault www.vault.com (discussões entre funcionários / funcionários)
Google Finance http://www.google.com/finance (pesquise símbolo da ação da empresa e confira as discussões)
XSSed http://www.xssed.com/ (vulnerabilidades de segurança do XSS)
Lista de discussão de divulgação completa http://seclists.org/fulldisclosure/ (Divulgação de vulnerabilidades de segurança)
Fóruns do Craigslist http://www.craigslist.org/about/sites (RSS disponível)
Vault www.vault.com (discussões entre funcionários / funcionários)
Google Finance http://www.google.com/finance (pesquise símbolo da ação da empresa e confira as discussões)
XSSed http://www.xssed.com/ (vulnerabilidades de segurança do XSS)
Lista de discussão de divulgação completa http://seclists.org/fulldisclosure/ (Divulgação de vulnerabilidades de segurança)
Repositórios de documentos
Algo que eu já vi mais recentemente são sites chamados repositórios de documentos. Esses sites agregam documentos encontrados de várias fontes na Internet ou as pessoas podem fazer upload de seus próprios documentos e apresentações para fins de compartilhamento público. Esses sites são provavelmente meus favoritos, pois você encontrará todos os tipos de informações interessantes! Aqui está a minha lista de favoritos:
Algo que eu já vi mais recentemente são sites chamados repositórios de documentos. Esses sites agregam documentos encontrados de várias fontes na Internet ou as pessoas podem fazer upload de seus próprios documentos e apresentações para fins de compartilhamento público. Esses sites são provavelmente meus favoritos, pois você encontrará todos os tipos de informações interessantes! Aqui está a minha lista de favoritos:
Docstoc http://www.docstoc.com/
* Realmente bom motor de busca de documentos. Eu gostaria que houvesse um RSS melhor para isso, mas eles têm uma API na qual o Yahoo! Tubos provavelmente poderiam ser usados.
* Realmente bom motor de busca de documentos. Eu gostaria que houvesse um RSS melhor para isso, mas eles têm uma API na qual o Yahoo! Tubos provavelmente poderiam ser usados.
Scribd http://www.scribd.com/ (feed RSS dos resultados)
SlideShare http://www.slideshare.net/ (feed RSS dos resultados)
PDF Search Engine http://www.pdf-search-engine.com /
Toodoc http://www.toodoc.com/
SlideShare http://www.slideshare.net/ (feed RSS dos resultados)
PDF Search Engine http://www.pdf-search-engine.com /
Toodoc http://www.toodoc.com/
Ótimo! Você encontrou documentos. O que agora?
Depois de encontrar documentos interessantes, confira os metadados do documento. O que são metadados? Metadados são simplesmente "dados sobre dados". Metadados em documentos são tradicionalmente usados para indexar arquivos, bem como descobrir informações sobre o criador do documento e qual software foi usado para criar o documento. Não é preciso dizer que os metadados de documentos são um tesouro de informações que podem ser usadas contra sua empresa. Por exemplo, versões vulneráveis de software que podem ser usadas para ataques do lado do cliente, versões do sistema operacional, divulgação de caminhos, ids de usuários e muito mais podem ser visualizadas por meio de metadados de documentos.
Depois de encontrar documentos interessantes, confira os metadados do documento. O que são metadados? Metadados são simplesmente "dados sobre dados". Metadados em documentos são tradicionalmente usados para indexar arquivos, bem como descobrir informações sobre o criador do documento e qual software foi usado para criar o documento. Não é preciso dizer que os metadados de documentos são um tesouro de informações que podem ser usadas contra sua empresa. Por exemplo, versões vulneráveis de software que podem ser usadas para ataques do lado do cliente, versões do sistema operacional, divulgação de caminhos, ids de usuários e muito mais podem ser visualizadas por meio de metadados de documentos.
Há muitas boas ferramentas para extrair metadados de documentos e imagens. Com algumas dessas ferramentas, é possível escrever um script para remover automaticamente metadados de documentos e imagens (comece com o roteiro que Larry Pesce escreveu em seu artigo da SANS abaixo). No entanto, o melhor método para remover metadados na minha opinião é ter certeza de que foi removido (ou limitado) em primeiro lugar! Se você estiver criando um novo documento, certifique-se de removê-lo ou não permitir que o aplicativo salve algumas das coisas mais reveladoras, como id do usuário e números de versão do sistema operacional. Se você quiser mais detalhes sobre os metadados e como usar algumas das ferramentas disponíveis, dê uma olhada no excelente artigo da Sala de Leitura do SANS InfoSec intitulado “Document Metadata, o Assassino Silencioso criado por Larry Pesce. Aqui está uma pequena lista de ferramentas que eu uso (ou usei) para analisar os metadados:
EXIFtool http://www.sno.phy.queensu.ca/~phil/exiftool/ (meu favorito pessoal! O canivete suíço de ferramentas de metadados)
Metagoofil http://www.edge-security.com/metagoofil.php
Maltego (transformação de metadados incorporada) http://www.paterva.com/web4/index.php/maltego (outro favorito!)
Meta-Extractor http://meta-extractor.sourceforge.net/
FOCA http: // www .informatica64.com / foca /
Metagoofil http://www.edge-security.com/metagoofil.php
Maltego (transformação de metadados incorporada) http://www.paterva.com/web4/index.php/maltego (outro favorito!)
Meta-Extractor http://meta-extractor.sourceforge.net/
FOCA http: // www .informatica64.com / foca /
Qual é o problema com a reputação da marca?
Um último ponto que quero fazer é sobre a reputação da marca. Você pode se perguntar: como a reputação da marca está relacionada à segurança da informação? Por que devemos nos importar? Achei interessante que muitos de nós em segurança da informação tenham sido solicitados a pesquisar mais sobre questões de reputação de marca, porque ninguém mais na empresa tinha esses tipos de conjuntos de habilidades para monitorar informações. A reputação da marca é vital para uma organização, ainda mais nesta economia. Pense na tríade da CIA ... Confidencialidade, Integridade e Disponibilidade. Todos os três têm aspectos que refletem a reputação da marca. Todos nós, em segurança da informação, precisamos pensar na reputação da marca em nosso trabalho diário.
Um último ponto que quero fazer é sobre a reputação da marca. Você pode se perguntar: como a reputação da marca está relacionada à segurança da informação? Por que devemos nos importar? Achei interessante que muitos de nós em segurança da informação tenham sido solicitados a pesquisar mais sobre questões de reputação de marca, porque ninguém mais na empresa tinha esses tipos de conjuntos de habilidades para monitorar informações. A reputação da marca é vital para uma organização, ainda mais nesta economia. Pense na tríade da CIA ... Confidencialidade, Integridade e Disponibilidade. Todos os três têm aspectos que refletem a reputação da marca. Todos nós, em segurança da informação, precisamos pensar na reputação da marca em nosso trabalho diário.
Em seguida, na parte três
Na parte três, vou falar sobre a criação de um programa de monitoramento simples com os sites e ferramentas que mencionei até agora. Isso incluirá como começar a usar o Yahoo! Pipes para agregar muitos dos feeds de que falei. Também concluirei com informações sobre como criar uma Política de publicações na Internet ou agora mais conhecida como uma política de mídia social para sua empresa e por que isso é mais importante do que nunca.
Na parte três, vou falar sobre a criação de um programa de monitoramento simples com os sites e ferramentas que mencionei até agora. Isso incluirá como começar a usar o Yahoo! Pipes para agregar muitos dos feeds de que falei. Também concluirei com informações sobre como criar uma Política de publicações na Internet ou agora mais conhecida como uma política de mídia social para sua empresa e por que isso é mais importante do que nunca.
Comentários
Postar um comentário