Kibertəhlükəsizlik. Şirkətinizə qarşı OSINT — təcavüzkar hücumdan 2 saat əvvəl nə öyrənir

Təsəvvür edin: haker hələ bir sətir zərərli kod yazmayıb. Hələ heç bir fişinq məktubu göndərməyib. Sadəcə noutbukunun arxasında oturub qəhvə içir və şirkətinizin özünün açıq girişə çıxardığı məlumatları oxuyur.

İki saatdan sonra o, şirkətinizin əsas əməkdaşlarının adlarını, şəbəkənizin strukturunu, hansı proqram təminatından istifadə etdiyinizi, son vaxtlarda kimin işdən çıxdığını və nədən narazı olduğunu biləcək — həm də 60% ehtimalla korporativ hesabın fəal paroluna sahib olacaq.

Bu fantastika deyil. Bu OSINT-dir — və istənilən ciddi hücumun ilk addımıdır.

OSINT nədir və niyə bu qanunidir

OSINT — Open Source Intelligence, yəni açıq mənbələr üzrə kəşfiyyat deməkdir. Heç bir sındırma, heç bir zero-day exploit yoxdur. Yalnız ictimaiyyətə açıq məlumat: saytlar, sosial şəbəkələr, şirkət reyestrləri, DNS-qeydlər, kod repozitoriyaları, məlumat bazası sızıntıları, forumlar, vakansiyalar.

OSINT özlüyündə neytral bir vasitədir. Jurnalistlər onu araşdırmalar üçün istifadə edir. Xüsusi xidmətlər — təhdid analizi üçün. HR-mütəxəssislər — namizədləri yoxlamaq üçün. Pentest mütəxəssisləri — müştərinin rəqəmsal izini qiymətləndirmək üçün.

Problem ondadır ki, təcavüzkarlar da eyni şəkildə istifadə edir — sadəcə başqa məqsədlə. Giriş bariyeri isə sıfırdır: əksər alətlər pulsuzdur, internетdə isə minlərlə təlimat var.

0–30-cu dəqiqə: domen və infrastruktur kəşfiyyatı

Hücum edənin etdiyi ilk şey — şirkətin rəqəmsal infrastrukturunu öyrənməkdir. O isə düşündüyünüzdən çox şey söyləyir.

WHOIS və DNS. Domenin qeydiyyat məlumatları, yaradılma tarixi, registrar, bəzən — sahibin real ünvanı və adı. DNS-qeydlər bütün subdomenləri açır: mail.company.com, vpn.company.com, dev.company.com, staging.company.com. Hər subdomen — potensial giriş nöqtəsidir, çox vaxt əsas saytdan daha az qorunan.

Shodan. Onu "hakerlər üçün axtarış sistemi" adlandırırlar — və boşuna deyil. Shodan internetə qoşulmuş bütün cihazları indeksləşdirir: serverlər, kameralar, routerlər, sənaye kontrollerləri. Şirkətin IP-diapazonu üzrə sorğu açıq portları, servis versiyalarını və bəzən — defolt parollu cihazları göstərəcək.

Nümunə: orta bir bankın domeni üzrə Shodan-da axtarış serverlərdən birində RDP-portunun (3389) açıq olduğunu aşkar edir. Windows versiyası — 2012, yeniləmələr 8 aydır quraşdırılmayıb. Bu sındırma deyil — sadəcə axtarışdır. Lakin bu, artıq hazır hücum vektorudur.

Certificate Transparency. Bütün SSL-sertifikatlar ictimai olaraq loglanır. crt.sh və ya Censys xidmətləri vasitəsilə şirkətin bütün subdomenlerini — o cümlədən axtarış sistemlərində indekslənməyən və "gizli" sayılanları — tapmaq mümkündür.

30–60-cı dəqiqə: əməkdaşlar, sosial şəbəkələr, LinkedIn

Texniki sistemlər zəifliklər vasitəsilə sındırılır. Şirkətlər isə insanlar vasitəsilə. LinkedIn isə hücum edən üçün qızıl mədəndir.

Hakerin şirkətin LinkedIn səhifəsində oxuduğu şeylər: təşkilati struktur və ierarxiya; əsas əməkdaşların adları və vəzifələri — xüsusilə IT, maliyyə, HR; son vaxtlarda kimlərin işə qəbul edildiyini (yeni əməkdaşlar — sosial mühəndislik üçün asan hədəf, onlar hələ bütün prosedurları bilmir); kimin işdən çıxdığını (narazı keçmiş əməkdaş — ayrıca hücum vektoru).

Hakerin vakansiyalarda oxuduğu şeylər: bu, kəşfiyyatın ən çox qiymətləndirilməyən mənbəyidir. "AWS, Kubernetes, Terraform, Vault ilə iş təcrübəsi" tələbi olan "Senior DevOps Engineer" vakansiyası hücum edənə şirkətin hansı texnologiya yığınından istifadə etdiyini dəqiq söyləyir. "Splunk və CrowdStrike ilə iş təcrübəsi" tələbi olan "İnformasiya təhlükəsizliyi mütəxəssisi" vakansiyası isə şirkətdə hansı müdafiə vasitələrinin olduğunu — və deməli, nəyin ətrafından keçmək lazım olduğunu bildirir.

Əməkdaşların şəxsi profilləri: korporativ e-poçt çox vaxt birbaşa göstərilir. Format asanlıqla təxmin edilir: ad.soyad@company.com. Formatı bilməklə — hücum edən fişinq üçün hazır ünvanlar siyahısı yarada bilər. Profildə qeyd olunan şəxsi maraqlar — hədəfli sosial mühəndislik (spear phishing) üçün hazır materialdır.

60–90-cı dəqiqə: sızıntılar, parollar, qaranlıq tərəf

Heç bir şirkət bunu düşünmək istəmir. Lakin statistika amansızdır: sızıntı bazalarında 12 miliarddан çox kompromata uğramış hesab var. 50%-dən yuxarı ehtimalla — əməkdaşlarınızın bir qismi orada mövcuddur.

Have I Been Pwned, DeHashed, LeakCheck. Hücum edən korporativ domeni daxil edir və sızıntılarda görünmüş əməkdaşların bütün e-poçt ünvanlarının siyahısını — hash və ya açıq parollarla birlikdə — alır. Əgər əməkdaş iş hesabında və üç il əvvəl sındırılmış forumda eyni paroldan istifadə edirsə — bu, korporativ sistemə birbaşa girişdir.

GitHub və digər repozitoriyalar. Proqramçılar təsadüfən sirrləri commit edir — API açarları, tokenlər, verilənlər bazası parolları, SSH açarları. GitDorking aləti GitHub-da xüsusi sorğularla axtarmağa imkan verir: "company.com password", "company.com API_KEY", "company.com secret". Nəticələr real şirkətlərin real repozitoriyalarında tapılır — hər gün.

Google Dorks. Açıq olmamalı olanı aşkar edən xüsusi axtarış sorğuları. Nümunələr: site:company.com filetype:pdf confidential, site:company.com inurl:admin, site:company.com "index of". Bu sorğular qorunmayan kataloqları, daxili sənədləri, konfiqurasiya fayllarını tapır — hamısı adi Google nəticələrində.

90–120-ci dəqiqə: mənzərənin qurulması və hücumun planlanması

Bu ana qədər hücum edəndə bunlar var:

əsas əməkdaşların adları, vəzifələri və kontaktları; fişinq üçün hazır formatda korporativ e-poçt ünvanları; istifadə olunan texnologiyalar və müdafiə vasitələri haqqında məlumat; perimetrdə açıq portlar və zəif servislər; ehtimal ki — sızıntılardan fəal parollar; təsadüfən açıq girişə düşmüş subdomen və daxili resurslar.

Bu, bir neçə hücum ssenarisi üçün kifayətdir. Maliyyə şöbəsinin konkret əməkdaşına hədəfli fişinq — adla müraciət, inandırıcı kontekst, LinkedIn-də qeyd olunan real daxili layihəyə keçid. Köhnəlmiş proqram təminatı olan zəif subdomenə hücum. Credential stuffing — sızıntıdan alınan parolların korporativ VPN üzərindən avtomatik yoxlanması. Yeni əməkdaş vasitəsilə sosial mühəndislik — o hələ yoxlama prosedurlarını bilmir.

Şirkətiniz bu an açıq girişdə nə buraxır

Əksər şirkətlər öz rəqəmsal izinin miqyasını dərk etmir. Kəşfiyyat məlumatlarının tipik sızıntı mənbələri:

Korporativ sayt: "Haqqımızda" bölməsindəki rəhbərlik adları və kontaktları; tərəfdaşları və təchizatçıları açan press-relizlər; texnologiya yığını (Meta-teqlər, JS-kitabxanalar, server imzası).

Sosial şəbəkələr: LinkedIn vasitəsilə şirkət strukturu; ekranların, sxemlərin, becdlərin göründüyü ofis fotoşəkilləri; nəşrlərin geolokasiyas.

Vakansiyalar: istifadə olunan texnologiyalar və alətlər; komandaların strukturu; bəzən — daxili sistemlərin adları.

Texniki resurslar: GitHub-da açıq repozitoriyalar; qorunmayan subdomenler; açıq S3-bucket-lər (bəli, bu hələ də baş verir); açıq girişdəki konfiqurasiya faylları.

Necə qorunmaq: öz başınıza OSINT-audit

Ən yaxşı müdafiə — hücum edəndən əvvəl özünüzə qarşı OSINT-kəşfiyyatı aparmaqdir.

Addım 1: Rəqəmsal izin inventarizasiyası. crt.sh və Shodan vasitəsilə bütün subdomenləri toplayın. Hər birinin kənardan nə göründüyünü yoxlayın. Dev-, staging- və test-mühitlərinin autentifikasiya olmadan internetdən əlçatan olmadığına əmin olun.

Addım 2: Sızıntıların yoxlanması. Korporativ domeni Have I Been Pwned-ə (haveibeenpwned.com/DomainSearch) daxil edin. Hansı hesabların kompromata uğradığını görün. Zərər çəkmiş əməkdaşlar üçün parol dəyişikliyini başladın. Unikal parol siyasəti və məcburi MFA tətbiq edin.

Addım 3: Repozitoriyaların auditi. GitHub-dakı bütün açıq şirkət repozitoriyalarını yoxlayın. Təsadüfən commit edilmiş sirrləri tapmaq üçün truffleHog və ya GitLeaks kimi alətlərdən istifadə edin. Əgər sirr açıqlanıbsa — onu dərhal dəyişin, repozitoriya artıq özəl olsa belə: commit tarixi yüklənmiş ola bilər.

Addım 4: Vakansiyaların yenidən baxışı. Mövcud vakansiyalara hücum edənin gözü ilə baxın. Həddindən artıq texniki təfərrüatları çıxarın: "Splunk və CrowdStrike ilə iş təcrübəsi" əvəzinə "SIEM və EDR sistemləri ilə iş təcrübəsi" yazın.

Addım 5: Əməkdaşların təlimi. Rəqəmsal gigiyena üzrə təlim keçirin — LinkedIn-də nəyi dərc etmək olar, nəyi olmaz. Xüsusi diqqəti yeni əməkdaşlara və maliyyə və IT-girişlərlə işləyənlərə yönəldin.

Key Takeaways

OSINT sındırma deyil, kəşfiyyatdır. Təcavüzkar sizin haqqınızda məlumatı qanuni metodlarla — özünüzün açıq girişə çıxardığınız şeyləri istifadə edərək — toplayır. Bundan qorunmaq — provayderin deyil, sizin məsuliyyətinizdir.

Vakansiyalar — kəşfiyyatın gözlənilməz, lakin kritik sızıntı mənbəyidir. Namizədə hər tələb — hücum edənə yığınınız və müdafiə alətləriniz haqqında ipuçudur.

Parol sızıntıları — real və qiymətləndirilməyən təhdiddir. Domeninizi indi haveibeenpwned.com-da yoxlayın. Çox güman ki, nəticə sizi təəccübləndirəcək.

GitHub — mina sahəsidir. Təsadüfən commit edilmiş bir API açarı şirkətə təhlükəsizliyə ayrılan illik büdcədən daha baha başa gələ bilər.

Özünüzə qarşı OSINT keçirin. Hücum edənin nə gördüyünü bilmirsinizsə — zəif nöqtələrinizi bilmirsiniz. Bu, real təhlükəsizliyə doğru ilk və ən ucuz addımdır.

Nəticə: rəqəmsal iziniz abstraksiya deyil

Hər vakansiya, hər əməkdaşın LinkedIn-profili, hər unudulmuş subdomen, açıq repozitoriyada hər bir kod sətri — hücum edənin infrastrukturunuzla ilk təmasdan əvvəl qurduğu hücumun təməlindəki kərpicdir.

OSINT nə sındırma, nə xüsusi bilik, nə də bahalı alətlər tələb edir. Yalnız vaxt və metodiklik lazımdır — motivasiyalı hücum edəndə bunların hər ikisi həmişə kifayət qədər olur.

Yaxşı xəbər odur ki: kəşf edilə bilən hər şeyi qorumaq da mümkündür. Hücum edənin nə gördüyünü bilmək — artıq qələbənin yarısıdır. İkinci yarısı isə orada olmamalı olanları sistematik şəkildə aradan qaldırmaqdır.

Kiber təhlükəsizlik sahəsini dərindən öyrənmək istəyirsinizsə, JET School-da Kibertəhlükəsizlik kursuna qoşulun!