OSINT – co hakerzy wiedzą o Twojej firmie z publicznych źródeł

Czym jest OSINT i dlaczego hakerzy go używają

OSINT – Open Source Intelligence, czyli wywiad z otwartych źródeł – to metoda zbierania informacji wyłącznie z publicznie dostępnych danych. Nie wymaga żadnego włamania, żadnego złośliwego kodu, żadnego naruszenia prawa. Hakerzy stosują go jako pierwszy i najważniejszy krok przed każdym atakiem: to faza rekonesansu, która decyduje o tym, czy i jak skutecznie zaatakować wybrany cel.

Paradoks OSINT polega na tym, że firmy same publikują ogromną ilość informacji – w ogłoszeniach o pracę, na LinkedIn, w dokumentach rejestrowych, na własnych stronach internetowych. Osobno każda z tych informacji wydaje się niegroźna. Połączona przez sprytne narzędzia i cierpliwego napastnika tworzy szczegółowy profil organizacji: używane technologie, kluczowych pracowników, słabe punkty infrastruktury.

Raporty firm takich jak IBM czy Mandiant konsekwentnie pokazują, że zaawansowani napastnicy potrafią spędzić w fazie rozpoznania tygodnie, a nawet miesiące, zanim wykonają pierwszy widoczny ruch. Cały czas pozostają całkowicie niewidoczni – bo nie dotykają jeszcze żadnego firmowego systemu.

Jakie dane o Twojej firmie są dostępne publicznie

Większość małych i średnich firm nie zdaje sobie sprawy, ile informacji na ich temat krąży w otwartym internecie. Oto najważniejsze kategorie danych, które haker może zebrać bez jednej linii złośliwego kodu:

• Dane rejestrowe (KRS, CEIDG) – imiona i nazwiska właścicieli oraz członków zarządu, adres siedziby, przychody, powiązane spółki, historia zmian.
• Infrastruktura domenowa (WHOIS, DNS, certyfikaty SSL) – dane rejestracji domeny, rekordy MX i SPF ujawniające dostawców poczty, certyfikaty TLS z historią subdomen.
• Profile pracowników (LinkedIn, GoldenLine) – role, staż pracy, używane technologie, ukończone certyfikaty – gotowa lista celów precyzyjnego spear-phishingu.
• Ogłoszenia o pracę – firmy nieświadomie ujawniają w nich cały stos technologiczny: konkretne wersje systemów, platformy chmurowe, narzędzia bezpieczeństwa lub ich brak.
• Repozytoria kodu (GitHub, GitLab) – przypadkowo opublikowane klucze API, hasła zapisane w historii commitów, wewnętrzna dokumentacja techniczna.
• Urządzenia widoczne w internecie (Shodan, Censys) – otwarte porty, wersje oprogramowania na routerach, kamerach IP, serwerach NAS i drukarkach sieciowych.
• Media społecznościowe – zdjęcia z biura z widocznymi ekranami lub naklejkami systemów, posty o wdrożeniach, informacje o wyjazdach kluczowych pracowników.

Narzędzia OSINT, które zna każdy haker

Ekosystem narzędzi OSINT jest rozbudowany i w większości całkowicie legalny oraz darmowy. Oto te, które najczęściej pojawiają się w raportach pentesterów i analityków zagrożeń:

• Shodan – wyszukiwarka urządzeń podłączonych do internetu. Pozwala znaleźć kamery IP, serwery, routery i przemysłowe systemy sterowania z widocznymi wersjami oprogramowania.
• theHarvester – narzędzie do automatycznego zbierania adresów e-mail, subdomen i nazw pracowników z wyszukiwarek i serwisów społecznościowych.
• Maltego – wizualna platforma do analizy powiązań między domenami, adresami IP, osobami i organizacjami. Pozwala budować graficzną mapę infrastruktury celu.
• Google Dorking – zaawansowane zapytania do wyszukiwarki Google, ujawniające niezabezpieczone pliki konfiguracyjne, panele logowania i publicznie dostępne bazy danych.
• Hunter.io / Apollo.io – bazy adresów e-mail pracowników firm, często z weryfikacją aktywności skrzynek.
• Wayback Machine – archiwum stron internetowych: ujawnia poprzednie wersje witryny, stare subdomeny i dokumenty, które firma myślała, że usunęła na zawsze.
• Censys – podobny do Shodan, z dodatkowym naciskiem na analizę certyfikatów TLS i infrastruktury sieciowej.

Pentesterzy i etyczni hakerzy używają tych samych narzędzi podczas legalnych testów bezpieczeństwa. To dowód, jak łatwo dostępne i jak skuteczne jest cyfrowe rozpoznanie.

Jak OSINT poprzedza atak – przykładowy scenariusz

Aby pokazać, jak OSINT działa w praktyce, rozważmy uproszczony scenariusz ataku na fikcyjną firmę produkcyjną:

1. Rekonesans domeny. Haker sprawdza WHOIS, rekordy DNS i certyfikaty SSL. Odkrywa subdomeny: mail.firma.pl, vpn.firma.pl, erp.firma.pl. Wie już, że firma używa własnego VPN i zewnętrznego systemu ERP – i zna dostawcę obu usług.
2. Profilowanie pracowników. LinkedIn ujawnia Dyrektora IT z certyfikatem Cisco oraz Główną Księgową. Atakujący ustala schemat adresów e-mail (imie.nazwisko@firma.pl) na podstawie stopki w publicznie dostępnym regulaminie na stronie firmy.
3. Skan Shodan. Na jednym z adresów IP firmy widnieje otwarty port 3389 (RDP). Wersja systemu operacyjnego jest widoczna – i nie była aktualizowana od kilku miesięcy.
4. Analiza ogłoszeń o pracę. Archiwum ofert na pracuj.pl ujawnia, że firma szuka administratora znającego konkretną wersję systemu ERP – z charakterystyczną podatnością opisaną publicznie w bazie CVE.
5. Precyzyjny atak. Dysponując tymi informacjami, haker przygotowuje spear-phishing do Dyrektora IT, podszywając się pod dostawcę ERP. Wiadomość zawiera szczegóły znane tylko komuś, kto zna firmę – co sprawia, że wydaje się w pełni wiarygodna.

Cały rekonesans zajął kilka godzin. Firma nie otrzymała żadnego alertu. W żadnym logu nie pojawił się ślad aktywności napastnika.

Jak zmniejszyć ekspozycję firmy na OSINT

Całkowite ukrycie się przed OSINT jest niemożliwe – ale można znacząco ograniczyć ilość informacji dostępnych dla napastnika. Oto konkretne kroki dla firm MŚP:

• Wykonaj OSINT na własną firmę. Sprawdź WHOIS, Shodan, Google i LinkedIn swojej organizacji. Zobaczysz dokładnie to, co widzi haker – i zidentyfikujesz najpoważniejsze ekspozycje.
• Włącz ochronę prywatności przy rejestracji domeny. Usługa Privacy Protection ukrywa dane kontaktowe właściciela w publicznie dostępnej bazie WHOIS.
• Zamknij nieużywane porty i serwisy. Jeśli RDP, Telnet lub panel administracyjny jest widoczny z internetu bez wyraźnej potrzeby – zamknij go lub przenieś za VPN.
• Przemyśl treść ogłoszeń o pracę. Unikaj wymieniania konkretnych wersji oprogramowania i nazw systemów bezpieczeństwa w ofertach pracy – to gotowa lista celów dla atakujących.
• Przeprowadź audyt repozytoriów kodu. Upewnij się, że żadne repozytorium – publiczne ani prywatne z niezabezpieczonym dostępem – nie zawiera kluczy API, haseł ani wrażliwej konfiguracji.
• Usuń lub zabezpiecz stare subdomeny. Nieaktywne subdomeny i zapomniane serwisy to częsty punkt wejścia dla napastników. Zinwentaryzuj je i wyłącz te zbędne.
• Przeszkol pracowników. Uświadom zespołowi, że zdjęcia z biura, posty o awariach technicznych i komentarze o wdrożeniach mogą być cenną informacją dla atakujących.

OSINT jako narzędzie obrony – widzieć firmę oczami hakera

Techniki OSINT nie służą wyłącznie atakującym. Coraz więcej firm i ich dostawców IT wykorzystuje OSINT do proaktywnego zarządzania powierzchnią ataku (Attack Surface Management, ASM). Chodzi o to, by regularnie sprawdzać, co o firmie można znaleźć publicznie, i eliminować ekspozycje, zanim zrobi to ktoś niepowołany.

W praktyce oznacza to:

• Regularne skany własnych adresów IP i domen narzędziami pokroju Shodan czy Censys.
• Monitoring dark web pod kątem wycieków danych firmowych: adresów e-mail, haseł i dokumentów.
• Automatyczne alerty przy pojawieniu się nowych certyfikatów SSL na subdomenach – technika pomocna w wykrywaniu phishingowych klonów firmowej witryny.
• Okresowe testy penetracyjne z elementem OSINT, tzw. red team, zaczynające od analizy otwartych źródeł dokładnie tak, jak robi to prawdziwy napastnik.

Firmy, które rozumieją własny cyfrowy ślad, są znacznie trudniejszym celem. OSINT przestaje być wyłącznie bronią atakującego i staje się tarczą obrońcy. Jeśli brakuje Ci wewnętrznych zasobów na regularne analizy, warto rozważyć zlecenie audytu bezpieczeństwa IT zewnętrznemu dostawcy – spojrzenie z zewnątrz często ujawnia to, czego wewnętrzny zespół nie dostrzega.