OSINT (Open Source Intelligence) é a arte de recolher e analisar informação publicamente disponível para fins de reconhecimento. É a primeira fase de qualquer engajamento de segurança ofensiva e, paradoxalmente, a fase mais subestimada.
Neste artigo, vou mostrar-te a metodologia que uso para reconhecimento inicial em pentests.
Porquê o OSINT é Fundamental
Antes de disparar um scanner de vulnerabilidades, um profissional de segurança competente passa horas — às vezes dias — a fazer reconhecimento passivo. Porquê? Porque a informação obtida em OSINT:
- Define o âmbito real do ataque
- Revela activos esquecidos e shadow IT
- Identifica tecnologias expostas inadvertidamente
- Descobre credenciais vazadas em data breaches
- Mapeia relações organizacionais e pessoais (engenharia social)
Metodologia OSINT em 4 Fases
Fase 1 — Recolha Passiva de Domínios
O ponto de partida é sempre o domínio principal. Usamos ferramentas que não contactam directamente o alvo:
# Descoberta de subdomínios via fontes passivas
subfinder -d alvo.com -silent
amass enum -passive -d alvo.com
# Verificar registos DNS históricos
dnsx -d alvo.com -a -cname -ns -mx -txt
Ferramentas essenciais:
- Subfinder — enumeração passiva de subdomínios
- Amass — reconhecimento e mapeamento de rede
- theHarvester — recolha de emails, nomes, IPs
Fase 2 — Análise de Superfície de Ataque
# Identificar tecnologias sem contactar o alvo
whatweb https://alvo.com
wappalyzer-cli https://alvo.com
# Shodan para assets expostos
shodan search "hostname:alvo.com" --fields ip_str,port,org,hostnames
O Shodan é uma ferramenta extraordinária. Revela serviços expostos que a organização nem sabe que existem. Dispositivos IoT, câmeras, impressoras — tudo ligado à internet e indexado.
Fase 3 — Inteligência de Credenciais
Data breaches são uma mina de ouro para reconhecimento. Verifica se existem credenciais da organização alvo em bases de dados comprometidas:
# Verificar emails em brechas conhecidas
h8mail -t utilizador@alvo.com
# Dehashed API para pesquisa avançada
curl -s "https://api.dehashed.com/search?query=email:@alvo.com" \
-H "Authorization: Basic ..."
Importante: A verificação de credenciais em data breaches públicos é legal e essencial para qualquer pentest. Utilizá-las para acesso não autorizado não é.
Fase 4 — OSINT em Pessoas
Para testes de engenharia social (com autorização explícita):
- LinkedIn — estrutura organizacional, tecnologias usadas, stack técnico
- GitHub — repositórios da empresa, chaves expostas, configurações
- Twitter/X — informação operacional, viagens, eventos
# Pesquisa de repositórios GitHub da organização
github-recon -org alvo-company
# Procura de segredos em repos públicos
trufflehog github --org=alvo-company
Ferramentas Essenciais por Categoria
| Categoria | Ferramenta | Uso |
|---|---|---|
| Subdomínios | Subfinder, Amass | Enumeração passiva |
| IPs / Portas | Shodan, Censys | Superfície de ataque |
| Emails | theHarvester, h8mail | Recolha e breach check |
| GitHub | truffleHog, gitrob | Segredos expostos |
| DNS | dnsx, massdns | Enumeração DNS |
| Framework | SpiderFoot, Maltego | OSINT automatizado |
Conclusão
OSINT não é apenas para hackers — é uma competência crítica para qualquer profissional de segurança. A informação publicamente disponível sobre a tua organização é muito mais vasta do que imaginas.
No próximo artigo, vou aprofundar a fase de análise com Maltego e casos de estudo reais de reconhecimento em CTF.