O que são as ferramentas OSINT e porquê elas podem coletar dados de todo mundo?

Por Sergio Pohlmann* – Fatos recentes envolvendo contratações do governo chamam a atenção, quando dão a conhecer o interesse de órgãos da mais alta hierarquia pública mostram (muito) interesse por algumas ferramentas de segurança da informação, capazes de “bisbilhotar” a vida dos cidadãos.

Depois de acusações e temores vários, verificações mais criteriosas apontam que, na verdade, as agências de segurança do governo estariam contratando “ferramentas OSINT”.

Mas, afinal, que são as tais ferramentas OSINT? Que importância possuem elas no contexto atual da nossa sociedade, medianamente digitalizada?

Vamos tentar lançar uma luz sobre o tema, para aqueles não versados em segurança da informação.

OSINT (do inglês Open Source Intelligence), trata-se de um recurso que pode ser traduzido de uma forma simplificada como “Inteligência de Fontes Abertas”, expressão que, em primeiro momento, não diz muito!

Mas podemos aprofundar, olhando o OSINT de uma ótica diferente: o uso de técnicas OSINT é um dos primeiros passos realizados nos processos de segurança (ou de ataques) no mundo digital. Quando um atacante mais qualificado deseja acessar recursos de uma empresa ou pessoa, ele busca maiores informações, para que seu ataque seja mais preciso e direcionado.

Quando alguém contrata uma empresa para a realização de testes de segurança da informação, esta, normalmente, utiliza-se do OSINT jogo no início do processo, para levantar informações cruciais para as verificações posteriores.

Resumindo, o uso de OSINT é generalizado tanto para os que estão do “lado bom” da segurança da informação, quanto por aqueles que estão “do outro lado”.

Este processo consta da coleta de informações disponíveis livremente, nas mais diversas fontes (normalmente, internet), trazendo dados relativos a um alvo específico. O “alvo específico” pode ser uma pessoa (eu, você, ou qualquer um), ou uma empresa (independentemente da área ou do porte da mesma).

Mas, é legal coletar tais dados?

O grande segredo o OSINT, em termos de “legalidade”, é, justamente, que a coleta dos dados não é feita de forma invasiva, ou seja, somente são coletados dados em fontes públicas, ou que estão disponíveis de forma que qualquer pessoa possa acessar.

Esta última afirmação não é tão verdadeira. Deveria ter dito “que qualquer pessoa com conhecimento um pouco acima da média possa acessar”. Mas quem já esteve pesquisando em internet, para conseguir o endereço, o telefone, a localização, ou qualquer outra informação privada de alguém, usou OSINT, mesmo que não soubesse.

Veja que buscas na Deep Web ou recursos de aproveitamento de vulnerabilidades (falhas conhecidas) não caracterizam OSINT, pois os dados obtidos não são, exatamente, públicos.

Aqui entra o conhecimento das ferramentas para OSINT. Existe milhares de sistemas utilizados para tal fim. Mas os buscadores populares, como o Google e Yahoo, por exemplo, são excelentes ferramentas OSINT, que quase todo mundo usa.

Mas e de onde vêm estas informações públicas?

De todas as atividades que nós (eu, você) realizamos dentro ou fora da internet. Quando você posta algo em uma rede social, esta informação pode conter dados pessoais que possam ser utilizados em OSINT. Quando você coloca uma foto tirada com seu celular, possivelmente, os metadados (informações internas que são agregadas à foto pelos celulares e câmeras) poderão dizer com que equipamentos a foto foi tirada, a data e hora, e (pasmem) a localização exata (as vezes com apenas alguns metros de imprecisão), no momento da foto.

A quantidade de dados públicos disponíveis sobre cada cidadão é enorme, e resulta do acúmulo de informações pessoais, feitas públicas, no decorrer dos anos, de forma , muitas vezes, inocente.

Justar estes dados em um pacote, é a função do OSINT. Com dados mais específicos, um atacante pode realizar tarefas mais complexas e direcionadas, logrando seu objetivo de forma muito mais simples.

Governos utilizam OSINT para obter informações de seus cidadãos, como saber preferências sociais e políticas, dados geográficos ou mesmo relativos à demografia, locomoção, ativismo, postura a respeito de entidades ou pessoas influentes, e mais uma enorme quantidade de informações extremamente relevantes.

OSINT é algo que pode ser utilizado (como todas as ferramentas), tanto para o bem, como para o mal. E a origem dos dados é, normalmente, devida à atividade de cada um de nós. Estou dizendo que grande parte da informação coletada pelas ferramentas de OSINT são fornecidas por nós mesmos. Grátis! Todos os nossos posts, comentários, observações, fotos, e sabe-se mais o quê, possuem o potencial de serem feitos públicos, tornando-se, em seu momento, parte de uma estratégia que pode ser utilizada contra nós, por alguém (ou algum órgão) mal intencionado.

E como proteger-se desta exposição?

  • Tomando mais consciência sobre que dados estamos expondo para o mundo;
  • Cuidando para que as informações que disponibilizamos de forma pública em nossas redes sociais não sejam relevantes;
  • Entendendo que nossas atitudes em internet podem ser armazenadas e interpretadas para fins que indesejados ou ilícitos;
  • Sabendo que internet, possivelmente, já saiba mais dados sobre cada um de nós, que nós mesmos.

Uma regra simples pode ser útil: antes de enviar uma mensagem, um post, uma foto, uma informação qualquer, pense bem sobre a mesma, e analise se a mesma poderia, de alguma forma, ser utilizada de forma ilícita por alguém mal intencionado.

“Em rio que tem piranhas, jacaré nada de costas!”

*Sergio Pohlmann –

*Sergio Pohlmann CISSP – C|CISO – ISO 27701 Segurança da Informação e Privacidade- LGPD.