199 views 7 mins

O que é OSINT, e por que você deveria prestar mais atenção nele

em Destaques
segunda-feira, 26 de julho de 2021

Leonardo Camata (*)

Dados de sua matrícula em alguma instituição de ensino. Uma foto que você postou da confraternização de fim de ano da sua empresa, e marcou nome e sobrenome de todos os presentes.

Uma entrevista que seu chefe, ou o CFO de onde você trabalha, tenha dado a um veículo. A foto do comprovante de vacinação de COVID que você postou feliz da vida em seu perfil. O check in que você fez em um restaurante. A foto do embarque para aquela tão sonhada viagem. Ainda que em graus diferentes, todas essas são situações que expõem alguma informação sua.

Seja simplesmente seu nome, ou seu cargo, o nome do seu filho e, a partir do perfil dele, o nome da escola onde ele estuda, o nome do supervisor financeiro da sua empresa, a sua identidade que você esqueceu de borrar na foto da vacinação.
Todas essas informações podem representar um risco para você ou sua empresa caindo nas mãos erradas, e elas estão todas disponíveis por aí na internet, sem que seja necessário algum ataque hacker massivo ou elaborado. Elas estão lá, para quem quiser consultar.

A esse tipo de acesso a informação damos o nome de OSINT, Open Source Intelligence, ou Inteligência de Fonte Aberta. Consiste em qualquer tipo de informação sobre uma pessoa ou empresa que podemos encontrar online com as ferramentas que a internet nos oferece (como o Google) sem que haja a infração de leis de direitos autorais ou de proteção de dados pessoais, pois afinal de contas, você mesmo postou.

Para nós, usuários “normais” da Internet, tratam-se de meros posts inocentes, sejam para fins comerciais ou pessoais. Mas se nós conseguimos buscar todas estas informações, imagine um criminoso que vai de fato usar isso contra você.
Hoje em dia, além de conhecimentos tecnológicos, os criminosos entendem muito bem como age o ser humano, usando o que chamamos de engenharia social.

A partir de uma rápida olhada em seu Twitter, por exemplo, ele pode saber que você aguarda a resposta de um processo seletivo, e enviá-lo um e-mail enganoso se passando pela instituição. Um influenciador à espera do selo de verificado do Instagram pode ser vítima do mesmo ataque. O nosso cuidado deve ser redobrado quando lembramos que, além das redes sociais, algumas dessas informações podem ser encontradas online em lugares como o SUS, a Caixa Econômica Federal e universidades públicas.

E engana-se quem pensa que as repercussões de um mero post na Internet são exclusivas do mundo virtual. Em Vitória/ES, uma quadrilha chamou atenção por invadir diversos imóveis de luxo no começo deste ano. Depois de uma investigação da Polícia Civil, descobriram o método usado pelos criminosos para escolher as vítimas: OSINT. A quadrilha buscava na Internet informações sobre estrangeiros morando na cidade, preferencialmente de nacionalidades que costumam guardar dinheiro em espécie e joias em casa.

Verificavam onde a pessoa trabalhava, com quem vivia, qual a rotina e onde morava. Tudo isso para garantir que ao invadir o imóvel, o fariam em um horário em que o mesmo estivesse vazio para reduzir o risco de serem pegos e poderem furtar sem nenhuma pressa. Ao chegar na porta da residência, ligavam para o telefone fixo, obtido como? OSINT. Ligavam para confirmar que não havia ninguém em casa, antes de arrombar a porta e furtar o que houvesse de valor no interior. Em um caso, chegaram a furtar 100 mil reais em joias.

Outras repercussões mais comuns em relação ao conteúdo postado online dizem respeito a perenidade das informações. Algo que ficou disponível na Internet por algum tempo pode ser difícil de ser removido, mantendo ao alcance de qualquer um informações que você eventualmente não quer que estejam disponíveis. Isso é especialmente relevante porque muitos sites possuem termos de uso que raramente lemos.

Você postaria uma foto sua na Internet caso tivesse que antes assinar um contrato dizendo que você concede uma licença global não exclusiva, transferível, livre de royalties para usar qualquer conteúdo publicado por você, e que essa licença, mesmo que você exclua a sua conta do site em questão, não expira enquanto o mesmo conteúdo não for excluído por todos que também o compartilharam?
Você usa redes sociais e respondeu não à pergunta acima? Houston, we have a problem.

Mas a análise dessas informações livremente disponíveis também pode ser usada para o bem. Uma equipe de TI qualificada pode vasculhar as informações disponíveis via OSINT exatamente para descobrir potenciais riscos e brechas nas informações tornadas públicas por uma empresa. Para algumas equipes, o investimento no que é chamado de “hacking ético” tem sido extremamente válido. A partir dele, as equipes atuam como um cibercriminoso atuaria, para descobrir essas vulnerabilidades e mitigá-las tempestivamente.

Para qualquer empresa que preze por sua cibersegurança hoje em dia, e também para seus funcionários, o mínimo de cuidado com o que é divulgado e postado é necessário. Informações aparentemente inofensivas podem estar sendo publicadas nesse exato momento, por isso todo cuidado é pouco.

(*) – É especialista em Segurança da Informação da ISH Tecnologia.