Jarosław KULER
← Wszystkie wpisy
OSINTSecurityRecon

OSINT w codziennej pracy IT

Jak wykorzystywać jawne źródła informacji do lepszego rozpoznania ryzyka, infrastruktury i zależności usług.

OSINT — Open Source Intelligence — kojarzy się głównie z wywiadem i red teamingiem. W praktyce codziennej pracy IT to zestaw technik pozwalających szybko zrozumieć kontekst: co jest wystawione na zewnątrz, z czym to się komunikuje i co może pójść nie tak.

Do czego OSINT przydaje się na co dzień

Kilka scenariuszy z rzeczywistej pracy:

  • Przejęcie utrzymania infrastruktury — zanim zaczniesz cokolwiek zmieniać, chcesz wiedzieć co jest widoczne z zewnątrz. Shodan, Censys i nmap dają zupełnie inną perspektywę niż patrzenie od środka.
  • Analiza incydentu — ktoś atakuje z IP 185.x.x.x, chcesz szybko ustalić kontekst: ASN, geolokalizacja, historia zgłoszeń.
  • Weryfikacja wycieków — sprawdzenie czy adresy email organizacji pojawiają się w znanych wyciekach (HaveIBeenPwned API, Dehashed).
  • Due diligence dostawcy — zanim podpiszesz umowę, warto wiedzieć jak wygląda ich własna infrastruktura od zewnątrz.

Narzędzia które faktycznie używam

Shodan

Wyszukiwarka urządzeń podłączonych do internetu. Podstawowe zastosowanie: sprawdzenie co organizacja wystawia na zewnątrz bez wiedzy o tym.

org:"Nazwa firmy"
ssl.cert.subject.cn:"*.domena.pl"
http.favicon.hash:XXXX

Shodan CLI umożliwia automatyzację:

shodan search --fields ip_str,port,org 'org:"Nazwa"' | sort -t',' -k2 -n

Censys

Podobny do Shodana, często z nowszymi danymi i lepszym pokryciem certyfikatów TLS. Przydatny do mapowania infrastruktury przez certyfikaty.

theHarvester

Zbieranie adresów email, subdomen i nazw z publicznych źródeł:

theHarvester -d domena.pl -b google,bing,linkedin

Uwaga: wyniki są hałaśliwe, zawsze weryfikuj ręcznie.

AmassSubfinder

Do enumeracji subdomen. Znacznie więcej wyników niż ręczne przeszukiwanie DNS.

amass enum -passive -d domena.pl
subfinder -d domena.pl -silent

Kilka praktycznych zasad

Zawsze działaj w granicach uprawnień. OSINT na publicznych źródłach jest legalny, ale aktywne skanowanie cudzej infrastruktury bez zgody — nie. Rozróżnienie jest ważne.

Automatyzuj rutynowe sprawdzenia. Cykliczny monitoring własnych domen pod kątem nowych subdomen lub wystawionych portów to dobre uzupełnienie standardowego monitoringu.

Dokumentuj co znalazłeś. OSINT bez zapisu jest jednorazowy. Notebook (Obsidian, logseq, zwykły markdown) z datowanymi obserwacjami ma wartość historyczną przy analizie incydentów.

Koreluj źródła. Jedno źródło to dane, dwa to korelacja, trzy to wiedza operacyjna. IP pojawiające się i w Shodanie, i w threat intelligence feedach, i w logach — to inny priorytet niż IP tylko z jednego źródła.

OSINT to nie magia. To systematyczne zbieranie i łączenie publicznych informacji, żeby widzieć obraz, który inni przeoczają.