OSINT e cyber sicurezza: pratiche, strumenti e limiti

L’Open Source Intelligence (OSINT) è una modalità di ricerca, o meglio, un insieme di tecniche per cercare, raccogliere e analizzare dati in open source, ovvero in fonti aperte. Questa disciplina nasce nell’ambito dell’intelligence e dello spionaggio durante la Seconda Guerra Mondiale, poi, però, si è diffusa anche in molti altri ambiti, come quello giornalistico e della cyber sicurezza. Inoltre, viene usato anche dalle forze dell’ordine e nel settore finanziario. 

Le fonti dei dati che raccoglie l’OSINT sono aperte, ovvero disponibili a tutti, dai social media ai motori di ricerca, a database delle pubbliche amministrazioni ecc. Per questo motivo non c’è bisogno di autorizzazioni particolari, né si tratta di attività illecite. Come sostengono gli ideatori dell’OSINT, i dati a nostra disposizione sarebbero innumerevoli, e le tecniche di questa disciplina si basano proprio sull’assunto che queste informazioni sono già disponibili, devono solo essere riorganizzate per poter essere fruibili.  

Tra i vari ambiti che adottano questo tipo di ricerca vi sono gli esperti di cyber security, che impiegano le tecniche di OSINT per identificare le minacce informatiche, seguire le tracce degli attacchi, individuare gli autori e le origini e valutare le infrastrutture critiche. Tutto ciò va sotto il nome di cyber intelligence, ovvero la raccolta e l’analisi delle informazioni relative agli attacchi e alle minacce informatiche. La cyber intelligence è strettamente funzionale per la sicurezza informatica. 

Applicazioni pratiche di OSINT nella cyber intelligence 

L’OSINT, dunque, fornisce una base di informazioni cruciali per la cyber intelligence. Tramite l’analisi dei dati open source, gli esperti possono individuare gruppi di hacker o altre minacce per la sicurezza informatica. Queste ricerche permettono di seguire le tracce di chi ha commesso attacchi o minacce di attacchi online, tramite ad esempio l’analisi dei post sui social media o l’attività sul dark web.

Non solo: attraverso le indagini digitali è possibile ricostruire l’attività dei criminali raccogliendo prove digitali. Questo tipo di disciplina può rivelarsi particolarmente utile alle aziende per valutare i rischi associati ad attacchi o minacce subite, identificando subito le potenziali conseguenze. 

La cyber intelligence di un’azienda può utilizzare l’OSINT per monitorare il web ed identificare potenziali attacchi di phishing o altre minacce o tendenze emergenti nel panorama generale della cyber sicurezza (la cosiddetta hunt for threat intelligence). Grazie a queste tecniche si possono analizzare profili e attività online, verificare l’identità di utenti sospetti e valutare il relativo livello di minaccia, raccogliendo informazioni su tecniche e obiettivi.  

L’OSINT per la cyber intelligence si rivela un connubio estremamente utile per la sicurezza informatica, anche se non sempre è sufficiente. 

Strumenti e tecniche nell’OSINT 

Ci sono tre regole base da seguire in una ricerca OSINT: usare fonti aperte, non instaurare mai un contatto con il soggetto investigato e non usare un’identità riferibile a chi sta investigando online. È consigliabile, piuttosto, avere vari account sui social media, quando si effettuano le ricerche, e cercare di restare il più possibile anonimi. Altre tecniche utili per un’efficace attività di OSINT riguardano il fact-checking, ovvero verificare sempre i fatti e le informazioni che si ottengono con molta cura; usare in modo proficuo la geolocalizzazione di contenuti web come foto e video, perché è determinante per risalire a eventuali cyber criminali; evitare di farsi guidare da pregiudizi personali nella ricerca e, infine, investire su strumenti professionali e aggiornati per condurre ricerche sempre più affinate e avanzate. 

L’OSINT, infatti, si avvale di un’ampia gamma di strumenti e tecniche per estrarre informazioni importanti da fonti pubbliche. Lo strumento basilare a portata di tutti è il motore di ricerca, che può essere Google o qualsiasi altro. C’è anche chi preferisce avvalersi di DuckDuckGo su Torrent per avere una maggiore privacy. Oltre a questi classici che conosciamo tutti, esistono anche motori di ricerca specializzati, come Shodan e Censys, quest’ultimo adatto a scansionare le reti IP – strumento utile se si stanno seguendo le tracce di un criminale, ad esempio. Come abbiamo detto, anche i social media come Facebook, Instagram, Twitter e perfino LinkedIn (per cercare tracce nell’attività professionale) si rivelano una preziosa fonte di informazioni e, uniti a strumenti come Hootsuite e Mention, si possono monitorare le conversazioni online e identificare trend.  

Gli strumenti avanzati e professionali però permettono una ricerca OSINT più approfondita. Tra questi ci sono Maltego, che aiuta a creare mappe di connessioni tra i diversi soggetti e enti; SpiderFoot, invece, automatizza la raccolta di informazioni da diverse fonti, creando report personalizzati; OSINT Framework, che raccoglie strumenti utili per l’automatizzazione OSINT e le Google Dorks, i comandi di Google che aiutano nella ricerca avanzata sul motore di ricerca.  

Le tecniche principali dell’OSINT sono quelle di footprinting, ovvero di raccolta informazioni basata su determinati fattori come target, domini, indirizzi IP, e-mail e profili social. Prezioso per l’attività di ricerca è il data mining, che permette di estrarre informazioni da grandi quantità di dati. Inoltre, bisogna saper individuare la geolocalizzazione.   

Le tecniche principali dell’OSINT sono quelle di footprinting, ovvero di raccolta informazioni basata su determinati fattori come target, domini, indirizzi IP, e-mail e profili social. Prezioso per l’attività di ricerca è il data mining, che permette di estrarre informazioni da grandi quantità di dati. Inoltre, bisogna saper individuare la geolocalizzazione.   

Negli ultimi tempi stanno emergendo sempre più tool di OSINT specifici per la cyber sicurezza. Tra questi c’è AlienVault OTX (Open Threat Exchange), una piattaforma che condivide in tempo reale informazioni su attacchi e minacce; MalwareBazaar è invece un tool per l’analisi dei malware e molti altri specifici per la sicurezza informatica. Per l’analisi dei domini si utilizzano Whois o Reverse DNS lookup, che consente di trovare il nome di dominio associato a un indirizzo IP.

La lista è lunga ed è interessante notare come molti strumenti stiano diventando sempre più specifici per un’attività volta non solo all’informazione, ma alla protezione e alla sicurezza digitale di aziende, enti e organizzazioni. 

Limiti dell’OSINT per la cyber security 

Nonostante i contributi positivi che l’OSINT dà alla cyber sicurezza, però, ci sono alcune sfide legate alla riservatezza da non sottovalutare: la raccolta e l’analisi di dati da fonti pubbliche, seppur legali, possono avere conseguenze significative sulla privacy individuale e sulla società nel suo complesso. L’OSINT può essere utilizzato per raccogliere informazioni personali sensibili, anche senza il consenso dell’interessato. Questo può portare a violazioni della privacy e all’esposizione di informazioni private.  

Non sono da meno le sfide legate alle fake news. Sul web c’è una quantità infinita di informazioni che spesso può rendere difficile discernere le notizie confermate e reali da quelle false. Non dimentichiamoci che queste tecniche e questi strumenti possono essere utilizzati anche per fini malevoli, come lo stalking e il cyber bullismo. È importante tenere a mente che un’informazione adeguata è fondamentale per utilizzare determinati strumenti in modo etico. 

Ad ogni modo, per quanto siano utili per l’identificazione dei malware, il rilevamento di phishing o l’analisi di tecniche di attacco o identificazione dei criminali, le tecniche OSINT hanno i loro limiti, e anche nella sicurezza informatica e c’è ancora molta strada da fare perché la cyber intelligence possa determinare una svolta in questa direzione. 

Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.

Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.