Hálózatok és internetKiberbiztonságP betűs definíciók

Passzív felderítés (passive reconnaissance): a kiberbiztonsági technika magyarázata

A passzív felderítés egy kiberbiztonsági módszer, amely során az információkat észrevétlenül gyűjtik össze, anélkül, hogy közvetlen kapcsolatot létesítenének a célponttal. Ez segít feltárni gyenge pontokat, miközben minimalizálja a kockázatot.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
44 Min Read
Gyors betekintő

A modern kiberbiztonsági környezetben a védelem és a támadás egyaránt egyre kifinomultabbá válik. Az egyik legfontosabb, mégis gyakran alábecsült technika, amely mindkét oldalon kulcsszerepet játszik, a passzív felderítés. Ez a módszer lehetővé teszi a célpontról szóló információk gyűjtését anélkül, hogy közvetlen interakcióba lépnénk vele, minimalizálva ezzel a detektálás kockázatát. A passzív felderítés nem csupán egy technikai lépés; sokkal inkább egy átfogó stratégia, amely a nyilvánosan elérhető adatok intelligens elemzésére épül, hogy egy teljesebb képet kapjunk a cél infrastruktúrájáról, működéséről és potenciális sebezhetőségeiről.

A kiberbiztonsági szakemberek, legyen szó etikus hackerekről (pentesterekről), fenyegetés-felderítési (threat intelligence) elemzőkről vagy biztonsági auditokról, rutinszerűen alkalmazzák a passzív felderítést. Céljuk, hogy megértsék egy szervezet digitális lábnyomát, azonosítsák azokat a pontokat, ahol a támadók behatolhatnak, és értékeljék a meglévő védelmi mechanizmusok hatékonyságát. Ezzel szemben a rosszindulatú szereplők is pontosan ugyanezen elveket követik, hogy feltérképezzék a célpontot, gyenge pontokat találjanak, és előkészítsék a támadásukat, legyen szó adathalászatról, célzott támadásról vagy zsarolóvírus-kampányról.

Ennek a technikának a megértése és gyakorlati alkalmazása elengedhetetlen a mai digitális világban. A passzív felderítés nem csak a támadások előkészítésének fázisában kritikus; a védekezés szempontjából is alapvető, hiszen a szervezeteknek tudniuk kell, milyen információk érhetők el róluk nyilvánosan, és hogyan lehet ezeket felhasználni ellenük. Ez a cikk részletesen bemutatja a passzív felderítés alapelveit, módszereit, eszközeit és etikai vonatkozásait, rávilágítva annak jelentőségére a modern kiberbiztonsági stratégiákban.

Mi a passzív felderítés és miben különbözik az aktív felderítéstől?

A passzív felderítés (passive reconnaissance) lényege, hogy információkat gyűjtünk egy célpontról anélkül, hogy közvetlen kapcsolatba lépnénk vele, vagy bármilyen módon interakcióba lépnénk annak rendszereivel. Ez azt jelenti, hogy nem küldünk adatcsomagokat a célpont hálózatára, nem próbálunk portokat szkennelni, és nem hajtunk végre semmilyen olyan műveletet, amely naplózható nyomot hagyna a célrendszeren. Ehelyett a nyilvánosan elérhető forrásokra, harmadik féltől származó adatokra és egyéb, a célpont tudta vagy hozzájárulása nélkül gyűjthető információkra támaszkodunk.

A passzív felderítés során gyűjtött adatok között szerepelhetnek domain nevek, IP-címek, e-mail címek, alkalmazottak nevei és beosztásai, vállalati struktúra, technológiai stack (milyen szoftvereket és hardvereket használnak), nyilvános dokumentumok, közösségi média bejegyzések és még sok más. A cél az, hogy a lehető legteljesebb képet kapjuk a célpontról, annak működéséről és a potenciális gyenge pontjairól, anélkül, hogy felfednénk magunkat.

Ezzel szemben az aktív felderítés (active reconnaissance) során közvetlenül interakcióba lépünk a célpont rendszereivel. Ez magában foglalja a portszkennelést (pl. Nmap-pal), a hálózati sávszélesség felmérését, a szolgáltatások enumerálását, a sebezhetőségi szkennelést és minden olyan tevékenységet, amely adatcsomagokat küld a célrendszerre, és válaszokat vár. Az aktív felderítés gyorsabb és pontosabb információkat szolgáltathat bizonyos területeken, de sokkal nagyobb a kockázata annak, hogy észreveszik, és a tevékenység naplózásra kerül. Egy jól konfigurált behatolásérzékelő rendszer (IDS) vagy behatolásmegelőző rendszer (IPS) könnyen észlelheti az ilyen típusú tevékenységet, és riasztást generálhat.

A passzív felderítés a kiberbiztonsági felderítés csendes művészete, ahol a türelem és az intelligens adatgyűjtés felülmúlja a közvetlen konfrontációt.

A két technika közötti fő különbség a detektálhatóságban rejlik. A passzív felderítés célja a láthatatlanság fenntartása, míg az aktív felderítés elkerülhetetlenül nyomokat hagy. A legtöbb átfogó biztonsági audit vagy behatolásteszt mindkét módszert kombinálja. Először passzív felderítést végeznek, hogy egy széleskörű, de biztonságos alapinformációt gyűjtsenek, majd ezt követően, ha szükséges és indokolt, áttérnek az aktív felderítésre, de már egy sokkal célzottabb és óvatosabb megközelítéssel, minimalizálva a detektálás esélyét.

Miért kulcsfontosságú a passzív felderítés a kiberbiztonságban?

A passzív felderítés nem csupán egy technikai lépés a kiberbiztonsági folyamatban; sokkal inkább egy alapvető gondolkodásmód, amely kritikus fontosságú mind a támadók, mind a védők számára. Jelentősége több dimenzióban is megmutatkozik, alapjaiban befolyásolva a biztonsági stratégiák hatékonyságát.

A támadók szemszögéből

A rosszindulatú szereplők számára a passzív felderítés az első és egyik legfontosabb lépés a támadási láncban. Lehetővé teszi számukra, hogy:

  • Alapos képet kapjanak a célpontról: Mielőtt bármilyen közvetlen interakcióba lépnének, megismerhetik a szervezet struktúráját, alkalmazottait, használt technológiáit és online jelenlétét. Ez az információ elengedhetetlen a célzott támadások (spear-phishing, social engineering) előkészítéséhez.
  • Azonosítsák a gyenge pontokat: A nyilvánosan elérhető adatokból gyakran kiderülnek a nem megfelelően konfigurált szolgáltatások, elavult szoftverek, vagy akár az alkalmazottak személyes adatai, amelyek felhasználhatók jelszótippeléshez vagy adathalászathoz.
  • Csökkentsék a lebukás kockázatát: Mivel nem hagynak digitális lábnyomot a célrendszeren, a támadók anélkül gyűjthetnek értékes információkat, hogy riasztást váltanának ki, vagy felhívnák magukra a figyelmet. Ez jelentősen növeli a sikeres támadás esélyét.
  • Optimalizálják a támadási stratégiát: A gyűjtött információk alapján a támadók finomhangolhatják a támadási vektorokat, kiválasztva a legkevésbé védett pontokat és a legvalószínűbb behatolási módszereket.

A védők szemszögéből

A kiberbiztonsági szakemberek számára a passzív felderítés elengedhetetlen eszköz a proaktív védekezéshez és a fenyegetések kezeléséhez:

  • Saját digitális lábnyom felmérése: A szervezeteknek meg kell érteniük, milyen információk érhetők el róluk nyilvánosan, és hogyan használhatják fel ezeket a támadók. A passzív felderítés segít azonosítani a túlzottan kitett adatokat és a potenciális információs réseket.
  • Fenyegetés-felderítés (Threat Intelligence): A passzív felderítés alapja a fenyegetés-felderítésnek, amely segít azonosítani a potenciális fenyegetéseket, az ellenfél taktikáit, technikáit és eljárásait (TTP-k).
  • Proaktív sebezhetőség-kezelés: Azáltal, hogy feltárják azokat az információkat, amelyeket egy támadó is felhasználhatna (pl. elavult szoftververziók, rosszul konfigurált DNS rekordok), a védők proaktívan orvosolhatják ezeket a problémákat, mielőtt kihasználhatók lennének.
  • Biztonsági auditok és behatolástesztek: A passzív felderítés az első fázisa minden etikus hacking projektnek. Segít megérteni a célpontot, szűkíteni a fókuszterületet az aktív tesztelés előtt, és maximalizálni az erőforrások hatékonyságát.
  • Adatvesztés megelőzése: Azáltal, hogy monitorozzák a nyilvános forrásokat, a szervezetek észlelhetik, ha érzékeny adatok szivárognak ki, például elfelejtett felhőalapú tárolók vagy rosszul konfigurált weboldalak révén.

A passzív felderítés tehát egy kétélű fegyver. Míg a támadók arra használják, hogy feltérképezzék a célpontot és előkészítsék a támadásukat, addig a védők arra használják, hogy megértsék a saját sebezhetőségeiket, erősítsék a védelmüket, és proaktívan reagáljanak a potenciális fenyegetésekre. A digitális lábnyom ismerete és kezelése a modern kiberbiztonság alapköve.

A passzív felderítés alapelvei és céljai

A passzív felderítés, mint stratégia, számos alapelven nyugszik, amelyek biztosítják hatékonyságát és diszkrécióját. Ezek az alapelvek vezérlik a gyűjtési folyamatot és segítenek meghatározni a fő célokat, amelyeket a felderítéssel el kívánunk érni.

Alapelvek

1. Nem-interakció elve: A legfontosabb alapelv, hogy a felderítés során semmilyen közvetlen interakcióba ne lépjünk a célrendszerrel. Ez magában foglalja a hálózati forgalom generálásának elkerülését, amely a célpont naplóiban vagy IDS/IPS rendszereiben riasztást okozhat. Minden információt külső, nyilvános forrásokból kell beszerezni.

2. Diszkréció: A passzív felderítés lényege a láthatatlanság. A cél az, hogy a célpont ne vegye észre, hogy információkat gyűjtenek róla. Ezért kerülni kell minden olyan tevékenységet, amely gyanút kelthet, vagy a felderítő tevékenységet a célponthoz kötheti.

3. Nyílt forrású adatok előnyben részesítése (OSINT): Az Open Source Intelligence (OSINT) a passzív felderítés gerince. Ez magában foglalja a nyilvánosan elérhető információk gyűjtését és elemzését, legyen szó weboldalakról, közösségi médiáról, nyilvános adatbázisokról vagy sajtóközleményekről.

4. Adatösszefüggések keresése: Az egyes információk önmagukban gyakran keveset árulnak el. A passzív felderítés során az igazi érték az adatok közötti összefüggések felismerésében rejlik. Például, ha tudjuk egy alkalmazott nevét és munkahelyét (LinkedIn), majd megtaláljuk az e-mail címét (Hunter.io) és egy nyilvános bejegyzését egy céges technológiáról (blog), ezek az információk összeállhatnak egy adathalász támadás alapjává.

5. Iteratív folyamat: A felderítés nem egy egyszeri esemény, hanem egy folyamatos, iteratív folyamat. Ahogy új információk kerülnek elő, azok újabb kérdéseket vetnek fel, és újabb adatgyűjtési irányokat nyitnak meg. Az adatok folyamatos frissítése és ellenőrzése kulcsfontosságú.

Fő célok

A passzív felderítés során számos specifikus célt tűzhetünk ki, amelyek mind hozzájárulnak a célpontról alkotott átfogó képhez:

1. Domain és hálózati információk gyűjtése:

  • Domain nevek: A célponthoz tartozó összes domain és aldomain azonosítása.
  • IP-címek: A célpont weboldalaihoz, szervereihez és egyéb online szolgáltatásaihoz tartozó IP-címek feltérképezése.
  • DNS rekordok: MX (e-mail szerver), NS (névszerver), A (host cím), TXT (szöveges információk, pl. SPF, DKIM) rekordok elemzése, amelyek értékes információkat szolgáltathatnak a hálózati infrastruktúráról és a használt szolgáltatásokról.
  • WHOIS adatok: Domain regisztrációs információk, mint a regisztráló neve, címe, e-mail címe és a regisztráció dátuma (ha nem privát).

2. Szervezeti struktúra és személyi adatok:

  • Alkalmazottak nevei és beosztásai: LinkedIn, céges weboldalak, sajtóközlemények alapján.
  • E-mail címek: A potenciális célpontok e-mail címeinek gyűjtése adathalász kampányokhoz.
  • Telefonszámok és fizikai címek: Nyilvános céges adatokból, kapcsolattartó oldalakról.
  • Vállalati hierarchia: Ki kinek a felettese, melyik osztály miért felelős.

3. Technológiai és infrastrukturális információk:

  • Használt szoftverek és hardverek: Weboldal forráskódjából, nyilvános dokumentációkból, álláshirdetésekből (pl. „keresünk Java fejlesztőt”), Shodan, Censys keresésekből.
  • Weboldal technológiák: CMS (WordPress, Joomla), web szerver (Apache, Nginx), programozási nyelvek, keretrendszerek.
  • Nyitott portok és szolgáltatások (indirekt módon): Bár a közvetlen portszkennelés aktív felderítés, a Shodanhoz hasonló eszközök passzívan gyűjtött adatokat szolgáltatnak a nyitott portokról más forrásokból.
  • Felhőalapú szolgáltatások: Milyen felhőplatformokat használnak (AWS, Azure, Google Cloud), és hogyan vannak konfigurálva a nyilvános erőforrások.

4. Nyilvános dokumentumok és média:

  • Sajtóközlemények, blogbejegyzések, hírek: Értékes információkat tartalmazhatnak a cég terveiről, technológiáiról, partnereiről.
  • Álláshirdetések: Részletes betekintést nyújtanak a használt technológiákba, a belső projektekbe és a csapatok felépítésébe.
  • Fórumok és közösségi média: Alkalmazottak által megosztott információk, panaszok, technikai problémák.
  • Archivált weboldalak: A Wayback Machine segítségével régebbi weboldalverziókhoz férhetünk hozzá, amelyek érzékeny információkat tartalmazhatnak, amiket azóta már eltávolítottak.

Ezeknek az információknak a szisztematikus gyűjtése és elemzése lehetővé teszi a támadók számára, hogy hatékonyan tervezzék meg a behatolási kísérleteiket, míg a védők számára kritikus betekintést nyújt a saját biztonsági pozíciójukba.

Információgyűjtési források és technikák a passzív felderítéshez

Passzív felderítés során nyilvános adatokat használunk adatgyűjtésre.
A passzív felderítés során nyilvánosan elérhető adatokat, például közösségi médiát és domain-információkat használunk fel titkosítás nélkül.

A passzív felderítés sikerének záloga a sokrétű információforrások ismerete és a gyűjtési technikák precíz alkalmazása. Az alábbiakban részletesen bemutatjuk a legfontosabb forrásokat és módszereket.

Nyílt forrású hírszerzés (OSINT – Open Source Intelligence)

Az OSINT a passzív felderítés gerince. A nyilvánosan elérhető információk gyűjtését, elemzését és értelmezését jelenti. Ez nem csak technikai adatokat takar, hanem minden olyan információt, ami egy szervezetről vagy személyről fellelhető az interneten.

Példák OSINT forrásokra:

  • Keresőmotorok: Google, Bing, DuckDuckGo – speciális keresési operátorokkal (Google Dorking) rendkívül célzott eredményeket kaphatunk.
  • Közösségi média platformok: LinkedIn, Facebook, Twitter, Instagram – alkalmazottak profiljai, céges oldalak, bejegyzések.
  • Céges weboldalak: „Rólunk” szekció, „Karrier” oldalak, sajtóközlemények, blogok, kapcsolati adatok.
  • Nyilvános adatbázisok: Cégjegyzékek, bírósági nyilvántartások, szabadalmi adatbázisok.
  • Hírportálok és blogok: Céghez kapcsolódó hírek, elemzések, vélemények.
  • Fórumok és technikai blogok: Alkalmazottak által feltett kérdések, problémák, technológiai preferenciák.

Domain és DNS információk

A domain névrendszer (DNS) alapvető információkat tartalmaz a célpont online infrastruktúrájáról. Ezek az adatok nyilvánosan elérhetők és rendkívül hasznosak a felderítés során.

1. WHOIS lekérdezések:
A WHOIS protokoll segítségével lekérdezhetők a domain nevek regisztrációs adatai. Ezek az adatok tartalmazhatják a domain tulajdonosának nevét, címét, e-mail címét, telefonszámát, a regisztráció és lejárati dátumát, valamint a domainhez tartozó névszervereket. Bár a GDPR és az adatvédelmi aggályok miatt sok regisztrátor már privát regisztrációt kínál (ami elrejti a tulajdonos adatait), még így is értékes információkat szolgáltathat, például a névszerverekről, amelyek a célpont infrastruktúrájára utalhatnak.

2. DNS rekordok elemzése:
A DNS rekordok részletes betekintést nyújtanak egy domain működésébe.

  • A rekord (Address Record): Egy domain nevet egy IPv4 címhez társít. Megmutatja, mely szerverekhez tartozik egy adott domain.
  • AAAA rekord (IPv6 Address Record): Egy domain nevet egy IPv6 címhez társít.
  • MX rekord (Mail Exchanger Record): Megadja, melyik szerver felelős a domainre érkező e-mailek fogadásáért. Ez kulcsfontosságú az e-mail alapú támadások (pl. adathalászat) előkészítéséhez.
  • NS rekord (Name Server Record): Megadja a domainhez tartozó névszervereket. Ezek a névszerverek gyakran más domaineket is kiszolgálnak, ami további felderítési lehetőségeket nyithat meg.
  • SOA rekord (Start of Authority Record): Információkat tartalmaz a domain zónájáról, például a zóna adminisztrátorának e-mail címét, a zóna sorozatszámát és az időközöket, amelyek szabályozzák a zóna frissítéseit.
  • TXT rekord (Text Record): Szöveges információkat tárol. Gyakran használják SPF (Sender Policy Framework) és DKIM (DomainKeys Identified Mail) rekordok tárolására, amelyek az e-mail hitelesítésben játszanak szerepet, de más, nyilvános információkat is tartalmazhatnak.
  • SRV rekord (Service Record): Meghatározza, mely szerverek kínálnak bizonyos szolgáltatásokat egy domainen belül (pl. SIP, XMPP).
  • CNAME rekord (Canonical Name Record): Egy domain nevet egy másik domain névhez társít (alias). Ez hasznos lehet aldomainek feltérképezéséhez.

3. Reverse DNS lookup:
Egy IP-címhez tartozó domain nevet keres. Ez segíthet azonosítani más domaineket, amelyek ugyanazon a szerveren vagy IP-címen futnak, kiterjesztve ezzel a felderítési területet.

4. DNSsec (DNS Security Extensions):
Bár a DNSsec a DNS integritását hivatott biztosítani, a jelenléte és konfigurációja is információt adhat a célpont technológiai érettségéről.

Weboldalak és webalkalmazások elemzése

A célpont weboldalai és webalkalmazásai gazdag információforrást jelentenek.

1. Robot.txt és sitemap.xml:

  • robots.txt: Ez a fájl tájékoztatja a keresőmotorokat, mely oldalakat ne indexeljék. Gyakran tartalmaz olyan URL-eket, amelyeket a cég titokban szeretne tartani, de valójában elérhetők, és értékes információkat rejthetnek (pl. admin felületek, tesztkörnyezetek).
  • sitemap.xml: A weboldal strukturált térképe, amely felsorolja az összes fontos oldalt. Segíthet feltérképezni a teljes weboldal struktúráját és azonosítani a rejtett oldalakat.

2. Metaadatok:
A weboldalak HTML forráskódjában, valamint a képekben és dokumentumokban (PDF, Word) rejtett metaadatok értékes információkat tartalmazhatnak.

  • HTML metaadatok: Szerző neve, szoftververzió (pl. „Generated by WordPress X.Y.Z”), kulcsszavak, leírások.
  • Képek (EXIF adatok): A digitális fényképek EXIF adatai tartalmazhatják a fényképezőgép típusát, a felvétel dátumát és időpontját, sőt, egyes esetekben a GPS koordinátákat is, amelyek rávilágíthatnak a cég fizikai elhelyezkedésére vagy belső területeire.
  • Dokumentumok metaadatai: A PDF, Word, Excel fájlok metaadatai tartalmazhatják a dokumentum szerzőjének nevét, a létrehozás dátumát, a használt szoftver típusát és verzióját, valamint a hálózati útvonalakat (pl. hálózati meghajtó betűjele).

3. HTML forráskód elemzése:
A weboldalak forráskódja felfedheti a használt technológiákat (JavaScript könyvtárak, CSS keretrendszerek), kommenteket, API kulcsokat (ritkán, de előfordul), elavult kódrészleteket vagy fejlesztői megjegyzéseket, amelyek sebezhetőségekre utalhatnak.

4. Archívumok (Wayback Machine, Archive.org):
Az internet archívumai lehetővé teszik a weboldalak korábbi verzióinak megtekintését. Ez rendkívül hasznos lehet olyan információk felkutatásában, amelyeket azóta eltávolítottak a jelenlegi weboldalról, de korábban nyilvánosan elérhetők voltak. Ez magában foglalhatja az elavult technológiákra vonatkozó utalásokat, régi alkalmazotti listákat, vagy akár rosszul konfigurált oldalak tartalmát.

Közösségi média és professzionális hálózatok

A közösségi média és a professzionális hálózatok (pl. LinkedIn) bőséges információforrást jelentenek az alkalmazottakról és a cégről.

1. LinkedIn:
Az egyik legértékesebb forrás. Lehetővé teszi a célpont alkalmazottainak, beosztásaiknak, karrierútjainak, kapcsolati hálóinak és a cég belső struktúrájának feltérképezését. Az álláshirdetésekből kiderülhetnek a használt technológiák és a jövőbeli tervek.

2. Facebook, Twitter, Instagram:
Ezeken a platformokon az alkalmazottak gyakran osztanak meg személyes információkat, amelyek felhasználhatók social engineering támadásokhoz, jelszavak tippeléséhez, vagy akár a cég belső működésére vonatkozó, nem szándékos információk felfedésére.

3. Üzleti hírek és sajtóközlemények:
A cégvezetésről, partnereiről, új termékeiről vagy szolgáltatásairól szóló hírek és sajtóközlemények gyakran tartalmaznak technológiai vagy stratégiai információkat, amelyek hasznosak lehetnek a felderítés során.

Nyilvános adatbázisok és adatgyűjtők

Számos speciális keresőmotor és adatbázis létezik, amelyek passzívan gyűjtött információkat szolgáltatnak.

1. Shodan:
Az „internet keresőmotorja a dolgoknak”. A Shodan szervereket, routereket, IoT eszközöket és egyéb hálózati eszközöket szkennel a nyitott portok és szolgáltatások tekintetében, és indexeli azokat. Bár maga a szkennelés aktív, a felhasználó számára az eredmények lekérdezése passzív felderítésnek minősül. Segít azonosítani a célponthoz tartozó, internetre kitett eszközöket, azok operációs rendszerét, szoftververzióját és potenciális sebezhetőségeit.

2. Censys:
Hasonlóan a Shodanhoz, a Censys is az internetre csatlakozó eszközöket szkenneli és indexeli. Különösen erős a TLS/SSL tanúsítványok elemzésében, amelyek további domain nevekre, aldomainekre és szervezeti adatokra mutathatnak.

3. Have I Been Pwned (HIBP):
Bár nem közvetlenül felderítő eszköz, segíthet abban, hogy kiderüljön, a célpont e-mail címei vagy domainjei szerepeltek-e korábbi adatbázis-szivárgásokban. Ez értékes információkat adhat a jelszavak tippeléséhez vagy a felhasználói nevek gyűjtéséhez.

E-mail címek gyűjtése

Az e-mail címek gyűjtése kulcsfontosságú az adathalász támadásokhoz és a social engineeringhez.

1. Hunter.io, Skrapp.io, Clearbit:
Ezek az eszközök a weboldalakon és nyilvános forrásokban található e-mail címek gyűjtésére specializálódtak. Gyakran képesek megjósolni a céges e-mail cím formátumát (pl. vezeteknev.keresztnev@ceg.hu).

2. TheHarvester:
Egy parancssori eszköz, amely különféle nyilvános forrásokból (Google, LinkedIn, Bing, PGP szerverek) gyűjt e-mail címeket, aldomaineket, hostneveket és felhasználói neveket.

IP-címek és hálózati tartományok

Az IP-címek és a hozzájuk tartozó hálózati tartományok (CIDR blokkok) azonosítása segíthet feltérképezni a célpont infrastruktúráját.

1. RIPE, ARIN, APNIC adatbázisok:
Ezek a regionális internet regisztrátorok (RIR-ek) nyilvános adatbázisokat tartanak fenn az IP-cím tartományokról és azok tulajdonosairól. Segítenek azonosítani, mely IP-tartományok tartoznak a célponthoz.

2. DNS lekérdezések (lásd fent):
Az A és AAAA rekordok közvetlenül megadják az IP-címeket.

Google Dorking (és más keresőmotorok)

A Google (vagy más keresőmotorok) speciális keresési operátorainak használata rendkívül hatékony passzív felderítési technika. Ezek az operátorok lehetővé teszik a keresési eredmények finomhangolását, és olyan információk felkutatását, amelyek normál kereséssel rejtve maradnának.

Példák Google Dorking operátorokra:

  • site:example.com: Csak a megadott domainen belül keres.
  • filetype:pdf: Csak PDF fájlokat keres.
  • inurl:admin: Az URL-ben szereplő „admin” szót tartalmazó oldalakat keresi.
  • intitle:"index of": Indexelt könyvtárakat keres, amelyek gyakran érzékeny fájlokat tartalmaznak.
  • "password" filetype:xls site:example.com: Keresi az „example.com” domainen belül az XLS fájlokat, amelyek tartalmazzák a „password” szót.
  • intext:"confidential": Keresi a „confidential” szót tartalmazó oldalakat.

Ezeknek a technikáknak a kombinálásával és szisztematikus alkalmazásával a passzív felderítés során rendkívül részletes és értékes információkat lehet gyűjteni anélkül, hogy a célpont tudomást szerezne róla.

Eszközök és platformok a passzív felderítéshez

A passzív felderítéshez számos eszköz és platform áll rendelkezésre, amelyek automatizálják az adatgyűjtés és elemzés folyamatát. Ezek az eszközök jelentősen felgyorsítják a munkát és segítenek rendszerezni a hatalmas mennyiségű információt.

OSINT keretrendszerek

Az OSINT keretrendszerek komplex eszközök, amelyek több forrásból gyűjtik az adatokat, és vizuálisan is megjelenítik az összefüggéseket.

1. Maltego:
A Maltego egy grafikus felderítő eszköz, amely vizuálisan ábrázolja az adatok közötti kapcsolatokat. Képes gyűjteni információkat domainekről, IP-címekről, személyekről, e-mail címekről, fájlokról és sok más entitásról. A Maltego „transzformációk” segítségével automatizálja a kereséseket különböző adatforrásokban (pl. DNS, WHOIS, közösségi média, Shodan). Különösen hasznos a komplex kapcsolatok feltárásában és a vizuális elemzésben, ami segít azonosítani a rejtett mintákat és összefüggéseket.

2. Recon-ng:
A Recon-ng egy teljes értékű felderítő keretrendszer, amely Pythonban íródott. Moduláris felépítésű, hasonlóan a Metasploit-hoz. Lehetővé teszi a felderítő modulok futtatását különböző adatforrásokon (pl. Google, Bing, Shodan, VirusTotal, PGP szerverek, LinkedIn). A Recon-ng egy parancssori eszköz, amely szkriptekkel és automatizációval is kiegészíthető, így rendkívül rugalmas és hatékony a célzott adatgyűjtésben.

WHOIS kliensek

A WHOIS kliensek egyszerű, de elengedhetetlen eszközök a domain regisztrációs adatok lekérdezéséhez.

1. Parancssori WHOIS:
A legtöbb Linux disztribúcióban alapértelmezetten elérhető a whois parancs. Egyszerűen használható: whois example.com.

2. Online WHOIS szolgáltatások:
Számos weboldal kínál WHOIS lekérdezési szolgáltatást (pl. whois.com, domaintools.com). Ezek gyakran további elemzéseket és historikus adatokat is szolgáltatnak.

DNS lekérdező eszközök

A DNS rekordok elemzéséhez speciális eszközökre van szükség.

1. dig (Domain Information Groper):
A dig egy rugalmas parancssori eszköz DNS lekérdezésekhez. Lehetővé teszi különböző rekordtípusok (A, MX, NS, TXT stb.) lekérdezését, és megadhatók a használni kívánt névszerverek is. Például: dig example.com MX.

2. nslookup:
Hasonlóan a dig-hez, az nslookup is DNS lekérdezésekre szolgál, és elérhető Windows és Linux rendszereken is. Bár a dig általában több funkciót kínál, az nslookup is hasznos lehet alapvető lekérdezésekhez.

3. DNSDumpster:
Egy online eszköz, amely egy adott domainhez tartozó DNS rekordokat, hostneveket, MX rekordokat és TXT rekordokat gyűjt és vizuálisan is megjelenít egy térképen. Nagyon hasznos a domainhez kapcsolódó infrastruktúra gyors áttekintéséhez.

Web crawler-ek és archívumok

A weboldalak tartalmának feltérképezéséhez és a historikus adatok eléréséhez.

1. Httrack:
Egy web crawler, amely képes egy teljes weboldalt letölteni és lokálisan tárolni, lehetővé téve az offline elemzést. Ez különösen hasznos, ha a weboldal dinamikus, vagy ha később szeretnénk elemezni a tartalmat anélkül, hogy újra kapcsolatba lépnénk a szerverrel.

2. Wayback Machine (archive.org):
Az Internet Archive által üzemeltetett szolgáltatás, amely archiválja a weboldalak korábbi verzióit. Lehetővé teszi a historikus weboldaltartalmak megtekintését, ami értékes információkat tárhat fel, amelyeket azóta már eltávolítottak.

Keresőmotorok

A hagyományos keresőmotorok speciális operátorokkal (Google Dorking) rendkívül hatékony felderítési eszközökké válnak.

1. Google, Bing, DuckDuckGo:
A már említett Google Dorking technikák alkalmazása révén célzottan kereshetünk fájltípusokat, URL-eket, címeket és szöveges tartalmakat.

Speciális keresőmotorok

Az internetre kitett eszközök és szolgáltatások felderítésére.

1. Shodan:
Ahogy korábban említettük, a Shodan az internethez csatlakozó eszközöket indexeli. Kereshetünk IP-címek, portok, szolgáltatások, országok és egyéb attribútumok alapján. Például: apache country:"HU" vagy port:22 "Debian".

2. Censys:
Hasonlóan a Shodanhoz, de gyakran mélyebb betekintést nyújt a TLS/SSL tanúsítványokba és a kriptográfiai konfigurációkba. Kereshetünk tanúsítványok, IP-címek és szolgáltatások alapján.

Metaadat elemzők

A fájlokban rejlő rejtett információk feltárására.

1. ExifTool:
Egy parancssori eszköz, amely képes olvasni, írni és szerkeszteni a képek (JPEG, TIFF, PNG stb.) és más fájltípusok (PDF, DOC) metaadatait. Segít feltárni az EXIF adatokat, mint a GPS koordináták, fényképezőgép modell, szoftververzió stb.

2. FOCA (Fingerprinting Organizations with Collected Archives):
Egy Windows alapú eszköz, amely metaadatokat gyűjt dokumentumokból (DOC, XLS, PDF), és ezek alapján feltérképezi a hálózati erőforrásokat, felhasználói neveket és szoftververziókat.

E-mail gyűjtő eszközök

Az e-mail címek gyűjtésére specializált eszközök.

1. TheHarvester:
Parancssori eszköz, amely különböző forrásokból (pl. Google, Bing, LinkedIn, PGP szerverek) gyűjt e-mail címeket, aldomaineket, hostneveket és felhasználói neveket egy adott domainhez.

2. Hunter.io:
Online szolgáltatás, amely egy adott domainhez tartozó e-mail címeket keres és listáz, gyakran megadva a formátumot és a forrásokat is.

Egyéb hasznos eszközök

1. Nmap (Passzív mód):
Bár az Nmap elsősorban aktív szkennelő eszköz, bizonyos funkciói, mint a DNS lekérdezések vagy a hostnév feloldás, passzív módon is használhatók. Továbbá az Nmap szkriptek (NSE) némelyike passzív forrásokat is felhasználhat.

2. BuiltWith:
Online eszköz, amely megmutatja, milyen technológiákat (CMS, web szerver, JavaScript könyvtárak, analitikai eszközök stb.) használ egy adott weboldal.

3. sublist3r:
Parancssori eszköz, amely aldomaineket gyűjt különböző forrásokból (Google, Yahoo, Bing, Baidu, Ask, Netcraft, DNSdumpster, VirusTotal, ThreatCrowd, SSL/TLS tanúsítványok).

Az eszközök kiválasztása és kombinálása a felderítés céljától és a célpont jellegétől függ. Egy tapasztalt szakember képes lesz a legmegfelelőbb eszközöket és technikákat alkalmazni a leghatékonyabb eredmények elérése érdekében.

A passzív felderítés lépései és módszertana

A sikeres passzív felderítés nem csupán az eszközök és források ismeretét igényli, hanem egy strukturált, módszertani megközelítést is. Az alábbiakban bemutatjuk a passzív felderítés tipikus lépéseit.

1. Cél meghatározása és hatókör kijelölése

Mielőtt bármilyen adatgyűjtésbe kezdenénk, elengedhetetlen a felderítés céljának pontos meghatározása. Mi a fő kérdés, amire választ keresünk? Mi a célpont? Egy domain név, egy IP-cím, egy vállalat, egy személy?

  • Példák célokra: Egy cég online infrastruktúrájának feltérképezése egy pentest előtt; egy alkalmazott digitális lábnyomának felmérése egy belső vizsgálathoz; a cég által használt elavult szoftververziók azonosítása.
  • Hatókör: Határozzuk meg a felderítés hatókörét. Milyen domainek, aldomainek, IP-tartományok, személyek tartoznak a célponthoz? Milyen időintervallumban relevánsak az adatok?

2. Információforrások azonosítása

A cél és a hatókör ismeretében azonosítsuk a releváns információforrásokat. Ez magában foglalja a már említett OSINT forrásokat, DNS adatbázisokat, speciális keresőmotorokat és archívumokat.

  • Alapvető források: Kezdjük a nyilvános weboldalakkal, WHOIS lekérdezésekkel, DNS rekordokkal.
  • Kiterjesztett források: Forduljunk közösségi média platformokhoz, állásportálokhoz, nyilvános cégjegyzékekhez, Shodanhoz, Censyshez.
  • Specifikus források: Ha a cél személyek felderítése, akkor LinkedIn, Facebook, Twitter profilok. Ha technológiai információk, akkor GitHub repók, tech blogok, fórumok.

3. Adatok gyűjtése

Ez a fázis a tényleges adatgyűjtést jelenti a kiválasztott eszközök és technikák segítségével. Fontos, hogy a gyűjtés szisztematikus és rendszerezett legyen.

Gyakori gyűjtési technikák:

  • Domain és DNS adatok: WHOIS lekérdezések, dig/nslookup használata (A, AAAA, MX, NS, TXT rekordok), reverse DNS lookup, DNSDumpster.
  • Weboldal elemzés: Weboldal tartalmának átnézése, HTML forráskód vizsgálata, robots.txt és sitemap.xml elemzése, metaadatok (EXIF, dokumentum metaadatok) kinyerése, Wayback Machine használata.
  • Keresőmotorok: Google Dorking, speciális keresések Shodanon és Censysen.
  • Közösségi média: Alkalmazottak és a cég profiljainak elemzése LinkedInen, Facebookon, Twitteren.
  • E-mail címek: TheHarvester, Hunter.io, nyilvános címtárak.
  • Nyilvános dokumentumok: Sajtóközlemények, álláshirdetések, céges blogok, fórumbejegyzések.

Fontos, hogy az adatgyűjtés során dokumentáljuk a forrásokat és a gyűjtés dátumát, mivel az információk idővel változhatnak.

4. Adatok elemzése és rendszerezése

A gyűjtött adatok puszta halmaza önmagában nem sokat ér. Az elemzési fázisban az a cél, hogy értelmet nyerjünk az információkból és feltárjuk az összefüggéseket.

Elemzési feladatok:

  • Adatnormalizálás és deduplikáció: Szűrjük ki a duplikált vagy irreleváns információkat.
  • Összefüggések keresése: Milyen kapcsolat van az egyes IP-címek, domainek, személyek és technológiák között? Például, ha egy alkalmazott megemlíti egy blogbejegyzésben, hogy a cég egy bizonyos technológiát használ, és ez az információ egy álláshirdetésben is megjelenik, akkor az megerősíti a gyanút.
  • Időbeli trendek: Az archivált adatok elemzésével láthatjuk, hogyan változott a célpont infrastruktúrája vagy kommunikációja.
  • Potenciális sebezhetőségek azonosítása: Például, ha egy régi szoftververzióra utaló jeleket találunk, az potenciális támadási vektort jelenthet.
  • Vizuális megjelenítés: Eszközök, mint a Maltego, segítenek vizuálisan ábrázolni az összefüggéseket, ami megkönnyíti az elemzést. Rajzoljunk hálózati diagramokat, szervezeti térképeket.

5. Jelentés készítése

Az utolsó lépés a gyűjtött és elemzett információk összegzése egy átfogó jelentés formájában. Ez a jelentés tartalmazza a felderítés során talált kulcsfontosságú információkat, az azonosított gyenge pontokat, a potenciális támadási vektorokat és az esetleges javaslatokat.

A jelentés tartalma:

  • Összefoglalás: A legfontosabb megállapítások rövid áttekintése.
  • Módszertan: Az alkalmazott eszközök és technikák leírása.
  • Részletes eredmények: A talált domainek, IP-címek, aldomainek, alkalmazottak, e-mail címek, technológiák, stb. listája.
  • Elemzés és összefüggések: Az adatok közötti kapcsolatok magyarázata.
  • Azonosított sebezhetőségek: A potenciális gyenge pontok és a hozzájuk tartozó magyarázatok.
  • Javaslatok: Védekezési stratégiák vagy további aktív felderítési lépések javaslata.

Ez a módszertan biztosítja, hogy a passzív felderítés alapos, hatékony és célzott legyen, maximalizálva az információgyűjtés értékét a kiberbiztonsági célok elérése érdekében.

Etikai és jogi megfontolások a passzív felderítésben

A passzív felderítés, bár alapvetően a nyilvánosan elérhető adatokra támaszkodik, nem mentes az etikai és jogi aggályoktól. Fontos, hogy a kiberbiztonsági szakemberek tisztában legyenek ezekkel a korlátokkal, különösen, ha harmadik fél számára végeznek ilyen tevékenységet.

Adatvédelem és GDPR

Az Általános Adatvédelmi Rendelet (GDPR) jelentős hatással van az adatok gyűjtésére és felhasználására, még akkor is, ha azok nyilvánosan elérhetőek. A GDPR értelmében minden olyan információ, amely egy azonosított vagy azonosítható természetes személyre vonatkozik, személyes adatnak minősül.

  • Személyes adatok gyűjtése: Bár a passzív felderítés során gyűjtött adatok (pl. alkalmazottak nevei, e-mail címei, közösségi média profiljai) nyilvánosan elérhetők, ezek továbbra is személyes adatoknak minősülhetnek. A GDPR előírja, hogy az ilyen adatok gyűjtéséhez és feldolgozásához jogalapra van szükség (pl. jogos érdek, szerződés teljesítése, jogi kötelezettség).
  • Célhoz kötöttség és adattakarékosság: Az adatokat csak meghatározott, jogszerű célból lehet gyűjteni, és csak annyit, amennyi feltétlenül szükséges a cél eléréséhez. A „mindent gyűjteni, ami elérhető” megközelítés ütközhet a GDPR alapelveivel.
  • Tájékoztatási kötelezettség: Bizonyos esetekben, ha személyes adatokat gyűjtünk, tájékoztatnunk kell az érintetteket erről. Bár ez a passzív felderítés esetében gyakran nehezen kivitelezhető, a jogi értelmezések eltérhetnek.

A kiberbiztonsági szakembereknek különösen óvatosnak kell lenniük, amikor személyes adatokat gyűjtenek. Egy vállalat számára végzett etikus felderítés során általában elfogadható a munkavállalók nyilvános adatainak gyűjtése, ha az a biztonsági kockázatok felmérését szolgálja. Azonban az egyéni, nem üzleti célú felderítés során a jogi és etikai határok sokkal homályosabbak.

Jogi keretek és engedélyek

Még ha az adatok nyilvánosan elérhetők is, bizonyos tevékenységek illegálisak lehetnek joghatóságtól függően.

  • Adatbázisok másolása: Nagy mennyiségű adat automatizált letöltése (web scraping) bizonyos weboldalakról vagy adatbázisokból sértheti azok felhasználási feltételeit vagy a szerzői jogokat, még akkor is, ha az adatok nyilvánosak.
  • Felhasználási feltételek megsértése: Sok online szolgáltatás (pl. közösségi média platformok) felhasználási feltételei tiltják az automatizált adatgyűjtést vagy a profilok nem engedélyezett elemzését. Ezeknek a feltételeknek a megsértése jogi következményekkel járhat, még ha a tevékenység önmagában nem is bűncselekmény.
  • Engedély hiánya: Bár a passzív felderítés nem lép közvetlen interakcióba a célrendszerrel, ha egy vállalat számára végzünk felderítést, mindig rendelkezni kell írásos engedéllyel. Ez a „Letter of Engagement” vagy „Authorization Letter” dokumentum egyértelműen meghatározza a felderítés hatókörét, céljait és az elvégzendő tevékenységeket, védve ezzel a felderítést végző felet a jogi felelősségre vonástól.

A passzív felderítés során az etikai és jogi határok elmosódhatnak. Mindig gondosan mérlegelni kell a gyűjtött adatok jellegét és a felhasználás célját, különösen a személyes adatok esetében.

Etikus hacking és a „fehér kalapos” megközelítés

Az etikus hackerek (fehér kalaposok) számára az etikai irányelvek betartása alapvető.

  • Jóhiszeműség: Az etikus felderítés célja a biztonság javítása, nem pedig a károkozás. Minden tevékenységet jóhiszeműen, a célpont érdekeit szem előtt tartva kell végezni.
  • Diszkréció és bizalmas kezelés: A felderítés során gyűjtött érzékeny információkat bizalmasan kell kezelni, és nem szabad nyilvánosságra hozni vagy harmadik féllel megosztani.
  • Arányosság: A felderítés során alkalmazott módszereknek arányosnak kell lenniük a kitűzött céllal. Ne gyűjtsünk feleslegesen sok vagy túlságosan érzékeny adatot, ha az nem szükséges a biztonsági célok eléréséhez.

Összességében elmondható, hogy a passzív felderítés rendkívül erőteljes technika, de használata során mindig figyelembe kell venni az etikai és jogi korlátokat. A „csak azért, mert lehet, még nem jelenti, hogy szabad” elv különösen érvényes ebben a kontextusban. A felelősségteljes és etikus megközelítés nem csak a jogi problémákat kerüli el, hanem hozzájárul a kiberbiztonsági közösség hitelességéhez is.

A passzív felderítés szerepe a biztonsági auditokban és pentestekben

A passzív felderítés adatgyűjtés nyom nélkül a biztonsági auditokban.
A passzív felderítés lehetővé teszi a támadók számára, hogy észrevétlenül gyűjtsenek információkat a célpontról.

A passzív felderítés alapvető és elengedhetetlen fázisa minden átfogó biztonsági auditnak és behatolástesztnek (pentestnek). Ez az első lépés, amely megalapozza a későbbi, aktívabb vizsgálatokat, és kritikus információkat szolgáltat a célpont megértéséhez.

Vörös csapat (Red Teaming) és kék csapat (Blue Teaming)

A kiberbiztonsági gyakorlatban gyakran beszélünk vörös csapatról (támadó szimuláció) és kék csapatról (védekező csapat). A passzív felderítés mindkét csapat számára létfontosságú.

Vörös csapat (Red Teaming):
A vörös csapat feladata, hogy valós támadási forgatókönyveket szimuláljon egy szervezet ellen, azonosítva a biztonsági réseket és a védelmi mechanizmusok gyengeségeit. Számukra a passzív felderítés a támadási lánc első és legkritikusabb lépése.

  • Támadási vektorok azonosítása: A passzív felderítés során gyűjtött információk (pl. alkalmazotti adatok, technológiai stack, nyilvános dokumentumok) alapján a vörös csapat azonosítani tudja a legvalószínűbb és leghatékonyabb támadási vektorokat. Például, ha sok alkalmazott használja a LinkedIn-t és megosztja a céges e-mail címét, az adathalász kampányhoz adhat alapot.
  • Célzott social engineering: A gyűjtött személyes és szervezeti információk lehetővé teszik a rendkívül célzott és hiteles social engineering támadások (pl. spear-phishing) megtervezését. Minél többet tudnak a támadók a célpontról, annál meggyőzőbbek lehetnek.
  • Infrastrukturális sebezhetőségek feltárása: A DNS rekordok, WHOIS adatok, Shodan és Censys keresések segítenek feltárni az internetre kitett szolgáltatásokat, elavult szoftververziókat vagy rosszul konfigurált szervereket, amelyek potenciális behatolási pontok lehetnek.
  • A detektálás elkerülése: Mivel a passzív felderítés nem hagy nyomot, a vörös csapat anélkül gyűjthet alapvető információkat, hogy a kék csapat észrevenné a tevékenységét, így a tényleges támadás meglepetésszerű lehet.

Kék csapat (Blue Teaming):
A kék csapat felelős a szervezet védelméért, a fenyegetések észleléséért és elhárításáért. Számukra a passzív felderítés egy proaktív biztonsági eszköz.

  • Saját digitális lábnyom felmérése: A kék csapatnak rendszeresen passzív felderítést kell végeznie saját szervezetén, hogy felmérje, milyen információk érhetők el róluk nyilvánosan. Ez segít azonosítani azokat a pontokat, ahol a támadók információkat gyűjthetnek, és ahol a védelem megerősítésére van szükség.
  • Fenyegetés-felderítés (Threat Intelligence): A passzív felderítés a fenyegetés-felderítés alapköve. Segít megérteni a potenciális ellenfelek taktikáit, technikáit és eljárásait (TTP-k), valamint azonosítani a célpontra irányuló specifikus fenyegetéseket.
  • Proaktív védelem: Azáltal, hogy feltárják azokat az információkat (pl. elavult szoftververziókra utaló jelek, rosszul konfigurált DNS rekordok, érzékeny adatok nyilvános tárhelyeken), amelyeket egy támadó is felhasználhatna, a kék csapat proaktívan orvosolhatja ezeket a problémákat, mielőtt kihasználhatók lennének.
  • Incident Response felkészülés: A passzívan gyűjtött információk segíthetnek az incidensre adott válasz (Incident Response) csapatoknak gyorsabban megérteni egy támadás kontextusát, ha már rendelkeznek alapvető információkkal a célpont infrastruktúrájáról és a potenciális támadási vektorokról.

Fenyegetés-felderítés (Threat Intelligence)

A fenyegetés-felderítés lényege, hogy szervezett és elemzett információkat szolgáltasson a potenciális vagy aktuális fenyegetésekről, amelyekkel egy szervezet szembesülhet. A passzív felderítés a fenyegetés-felderítés egyik legfontosabb adatforrása.

A passzívan gyűjtött adatok (pl. a célpont technológiai stackje, nyilvános sebezhetőségi jelentések, alkalmazottak közösségi média aktivitása) segítenek a fenyegetés-felderítési elemzőknek:

  • Kontextusba helyezni a sebezhetőségeket: Egy ismert sebezhetőség egy adott szoftverben sokkal relevánsabbá válik, ha tudjuk, hogy a célpont is használja ezt a szoftvert.
  • Azonosítani a releváns fenyegetőket: A célpont iparágára, méretére vagy technológiai profiljára jellemző fenyegető csoportok azonosítása.
  • Előre jelezni a támadási szándékot: Bár nehéz, bizonyos passzív jelek (pl. a célpontra vonatkozó sötét weben történő említések) utalhatnak egy közelgő támadásra.

Összefoglalva, a passzív felderítés nem csupán egy technikai eszköz, hanem egy stratégiai elem, amely mélyreható betekintést nyújt a célpontba, legyen szó támadásról vagy védekezésről. Alapvető fontosságú a modern kiberbiztonsági stratégiákban, segítve a szervezeteket abban, hogy proaktívan kezeljék a fenyegetéseket és erősítsék védelmi pozíciójukat.

Védekezés a passzív felderítés ellen: Hogyan minimalizálhatjuk digitális lábnyomunkat?

Bár a passzív felderítés lényege, hogy nyilvánosan elérhető információkat gyűjt, a szervezetek és magánszemélyek sokat tehetnek a digitális lábnyomuk minimalizálásáért és az érzékeny adatok kitettségének csökkentéséért. A teljes anonimitás szinte lehetetlen, de a kockázatok jelentősen csökkenthetők.

1. Információkezelés és -minimalizálás

A legfontosabb lépés annak felismerése, hogy minden online megosztott információ potenciálisan felhasználható a passzív felderítés során.

  • Szigorú információkezelési politika: A vállalatoknak világos irányelveket kell kidolgozniuk arra vonatkozóan, hogy milyen információk oszthatók meg nyilvánosan (weboldalon, sajtóközleményekben, közösségi médián), és milyen technológiai részleteket kell titokban tartani.
  • Adattakarékosság elve: Csak a feltétlenül szükséges információkat tegyük közzé. Például, ha egy álláshirdetéshez nem szükséges megadni a pontos szoftververziókat, akkor ne tegyük.
  • Rendszeres audit: Végezzünk rendszeres passzív felderítési auditokat saját magunkon, hogy felmérjük, milyen információk érhetők el rólunk, és azonosítsuk az esetleges túl nagy kitettséget.

2. Metaadatok eltávolítása

A dokumentumokban és képekben rejlő metaadatok komoly információforrást jelentenek.

  • Metaadat tisztítás: Minden nyilvánosságra hozott dokumentumból (PDF, Word, Excel) és képből (EXIF adatok) távolítsuk el a felesleges metaadatokat, mielőtt közzétesszük. Erre számos eszköz és online szolgáltatás létezik (pl. ExifTool, online metaadat eltávolítók).
  • Automatizálás: Integráljuk a metaadat-eltávolítást a közzétételi folyamatokba, hogy automatikusan megtörténjen.

3. DNS és domain adatok védelme

A domain regisztrációs adatok és a DNS rekordok komoly információkat szolgáltathatnak.

1. Privát domain regisztráció (WHOIS Privacy):
Amennyiben lehetséges, használjunk privát domain regisztrációs szolgáltatást. Ez elrejti a domain tulajdonosának személyes adatait a nyilvános WHOIS adatbázisokban, megnehezítve a közvetlen kapcsolatfelvételt vagy a személyes adatok gyűjtését.

2. DNS rekordok optimalizálása:

  • Minimális TXT rekordok: Csak a feltétlenül szükséges TXT rekordokat tartsuk meg (pl. SPF, DKIM). Ne tegyünk közzé belső információkat vagy kommenteket.
  • NS rekordok diszkréciója: Használjunk általános névszervereket, és ne tegyünk közzé olyan névszervereket, amelyek belső hálózati struktúrára utalnak.
  • Alacsony TTL értékek: A DNS rekordok Time-To-Live (TTL) értékeinek csökkentése segíthet a gyorsabb frissítésben és az elavult adatok gyorsabb eltávolításában.

3. DNSSEC bevezetése:
Bár a DNSSEC elsősorban a DNS rekordok integritását biztosítja, a bevezetése azt is jelzi, hogy a szervezet komolyan veszi a biztonságot, és megnehezítheti bizonyos DNS alapú manipulációkat.

4. Közösségi média adatvédelem

Az alkalmazottak közösségi média profiljai gyakran a leggyengébb láncszemek.

  • Alkalmazottak oktatása: Képezzük az alkalmazottakat a közösségi média adatvédelmi beállításairól és a céges információk megosztásának veszélyeiről. Hívjuk fel a figyelmüket a social engineering veszélyeire.
  • Adatvédelmi beállítások: Ösztönözzük az alkalmazottakat, hogy állítsák privátra a személyes profiljaikat, és ne osszanak meg céges belső információkat.
  • Személyes és céges profilok szétválasztása: Javasoljuk, hogy az alkalmazottak ne keverjék a személyes és professzionális online identitásukat, vagy legalábbis különítsék el azokat a legszigorúbb adatvédelmi beállításokkal.

5. Weboldal konfiguráció és biztonság

A weboldalak és webalkalmazások konfigurációja is befolyásolja a passzív felderítési lehetőségeket.

  • robots.txt és sitemap.xml: Bár ezek a fájlok segítenek a keresőmotoroknak, a rosszul konfigurált robots.txt felfedhet rejtett admin felületeket vagy tesztkörnyezeteket. Győződjünk meg róla, hogy csak a ténylegesen nyilvános oldalakat listázza, és ne osszon meg érzékeny URL-eket.
  • Egyedi hibaoldalak: Ne engedjük, hogy a szerver alapértelmezett hibaoldalai (pl. 404, 500) részletes információkat áruljanak el a szerver szoftveréről és verziójáról. Használjunk egyedi, általános hibaoldalakat.
  • Szoftververziók elrejtése: A web szerverek, CMS rendszerek (pl. WordPress) és egyéb szoftverek verziószámai gyakran megjelennek a HTML forráskódban, HTTP fejlécekben vagy hibaüzenetekben. Konfiguráljuk a rendszereket úgy, hogy ezeket az információkat elrejtsék.
  • Archivált oldalak monitorozása: Rendszeresen ellenőrizzük a Wayback Machine-t és más internet archívumokat, hogy nincsenek-e régi, érzékeny információkat tartalmazó oldalak archiválva, amelyeket azóta eltávolítottunk a jelenlegi weboldalról.

6. Személyzet oktatása és tudatosság növelése

Az emberi tényező a leggyengébb láncszem.

  • Folyamatos képzés: A kiberbiztonsági oktatásnak nem csak technikai jellegűnek kell lennie, hanem ki kell terjednie a digitális lábnyomra és a közösségi média biztonságára is.
  • Tudatosság: Az alkalmazottaknak tisztában kell lenniük azzal, hogy a nyilvánosan megosztott információk hogyan használhatók fel ellenük vagy a vállalat ellen.
  • Fenyegetés-felderítési kultúra: Ösztönözzük az alkalmazottakat, hogy jelentsék, ha gyanús online tevékenységet vagy a céggel kapcsolatos szivárgásokat észlelnek.

A passzív felderítés elleni védekezés egy folyamatos, proaktív folyamat, amely a technológiai beállítások, a szabályzatok és az emberi tényező együttes kezelésén alapul. A digitális lábnyom rendszeres felmérése és minimalizálása kulcsfontosságú a modern kiberbiztonsági védelemben.

TAGGED:
Share This Article
Leave a comment

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük