Se você trabalha com tecnologia ou é um entusiasta da cibersegurança, provavelmente já ouviu falar sobre a arte de coletar informações sem ser notado.
Imagine que você é um detetive investigando uma empresa. Antes de bater na porta e fazer perguntas, você observa o prédio de longe, analisa o fluxo de pessoas e lê tudo o que sai sobre o local nos jornais.
No mundo digital, chamamos essa etapa investigativa inicial de reconhecimento passivo. É a fase onde mapeamos a superfície de ataque de um alvo usando apenas informações públicas.
E o mais incrível de tudo isso? Você faz todo esse levantamento de dados sem enviar um único pacote de rede diretamente para os servidores da empresa.
Neste artigo, vamos bater um papo profundo sobre como o mapeamento de infraestrutura funciona usando OSINT (Open Source Intelligence). Você vai entender a teoria, as mecânicas por trás dessa coleta e, claro, como se defender.
O Que é Reconhecimento Passivo?
Para entender o reconhecimento passivo, precisamos olhar para o cenário completo da segurança da informação. Quando um profissional de segurança analisa uma rede, ele pode agir de duas formas: ativa ou passiva.
O reconhecimento ativo é quando você interage diretamente com o alvo. Pense em ferramentas que escaneiam portas abertas ou tentam identificar a versão de um software rodando em um servidor.
Essa abordagem ativa faz muito barulho. Os firewalls e sistemas de detecção de intrusão (IDS) da empresa vão registrar o seu endereço de IP e saberão que alguém está "batendo na porta".
Já o reconhecimento passivo é totalmente silencioso. Você não toca na infraestrutura do alvo em nenhum momento. Todo o seu trabalho é focado em consultar bases de dados de terceiros, que já registraram informações sobre aquele domínio.
A grande sacada aqui é a invisibilidade. Como você está apenas pesquisando no Google, lendo registros públicos ou consultando arquivos da internet, o alvo não tem a menor ideia de que está sendo mapeado.
O Poder do OSINT na Cibersegurança
A sigla OSINT significa Open Source Intelligence, ou Inteligência de Fontes Abertas. É o processo de coletar, analisar e tomar decisões baseadas em dados que estão disponíveis publicamente para qualquer pessoa.
No contexto de mapeamento de domínios, o OSINT é a sua principal ferramenta. A internet é um ambiente gigantesco e, muitas vezes, as empresas deixam rastros digitais espalhados por diversos cantos sem perceber.
Profissionais de cibersegurança usam o OSINT para descobrir subdomínios esquecidos, e-mails de funcionários, tecnologias usadas em servidores antigos e até vazamentos de senhas em fóruns públicos.
Tudo isso serve para construir um mapa mental (e visual) de como a infraestrutura de uma organização funciona por trás dos panos. É um trabalho de pura montagem de quebra-cabeças.
Mas não se engane achando que OSINT é apenas "dar um Google". Existem técnicas avançadas e mecânicas específicas que transformam dados soltos em inteligência acionável e valiosa.
Mecânicas do Mapeamento de Infraestrutura
Como exatamente um analista consegue descobrir os servidores de uma empresa sem escanear a rede dela? A resposta está em entender como a internet foi construída. Vamos explorar os principais pilares teóricos dessa coleta.
Registros WHOIS e a História do Domínio
Toda vez que alguém compra um domínio na internet (como "seusite.com.br"), essa pessoa precisa fornecer dados para o registrador. O WHOIS é um protocolo público que permite consultar quem é o dono de um domínio.
Historicamente, o WHOIS revelava o nome, e-mail, telefone e endereço físico do administrador de TI de uma empresa. Hoje, com leis de privacidade como a LGPD, muitos desses dados são ocultados.
No entanto, o WHOIS ainda é uma mina de ouro. Ele mostra quando o domínio foi criado, quando expira e, o mais importante, quais são os servidores de nome (Nameservers) responsáveis por ele.
A partir dos Nameservers, você descobre qual empresa de hospedagem ou serviço de nuvem o alvo está utilizando, dando a primeira pista sobre a infraestrutura.
A Magia do DNS (Domain Name System)
O DNS é a lista telefônica da internet. Ele traduz nomes amigáveis em endereços de IP numéricos. E é aqui que o reconhecimento passivo brilha intensamente.
Muitas ferramentas de OSINT consultam servidores DNS públicos (como o do Google ou da Cloudflare) para resolver nomes de subdomínios sem nunca interagir com os servidores do alvo.
Ao buscar por registros específicos, como o tipo "A" (que aponta para o IP), o tipo "MX" (que revela os servidores de e-mail) ou o tipo "TXT" (usado para validações de segurança), o mapa da infraestrutura começa a ganhar forma.
Um registro MX pode revelar que a empresa usa o Google Workspace ou o Microsoft 365, por exemplo. Isso já indica que tipo de tecnologia está presente no ecossistema deles.
Transparência de Certificados (CT Logs)
Você já reparou no cadeado verde (ou no prefixo HTTPS) quando acessa um site seguro? Para que isso exista, o site precisa de um certificado SSL/TLS emitido por uma autoridade certificadora.
O que muita gente não sabe é que, para evitar fraudes, existe um projeto chamado Certificate Transparency. Toda vez que um certificado é emitido, ele é obrigatoriamente registrado em um banco de dados público (CT Logs).
Se uma empresa cria um subdomínio de testes, tipo "homologacao.empresa.com", e emite um certificado SSL para ele, isso fica registrado publicamente para sempre.
Consultar esses logs é uma das formas mais eficientes de mapear subdomínios ocultos. Como o registro é mantido por terceiros, a consulta é 100% passiva e indetectável.
Dorks de Motores de Busca
Os motores de busca, como Google e Bing, passam o dia inteiro rastreando e indexando a internet. Eles são os maiores aliados do reconhecimento passivo.
O uso de "Dorks" nada mais é do que a aplicação de operadores de busca avançados para filtrar resultados específicos. É como usar um bisturi em vez de uma faca para encontrar informações.
Por exemplo, um analista pode buscar por tipos específicos de arquivos (como PDFs ou planilhas do Excel) que estejam hospedados no domínio do alvo. Muitas vezes, esses documentos contêm metadados com nomes de usuários ou caminhos de rede internos.
Outra técnica é procurar por painéis de login esquecidos ou páginas que não deveriam estar indexadas, mas que o robô do buscador acabou encontrando e salvando em cache.
O Arquivo da Internet e Repositórios de Código
A internet não esquece. O Wayback Machine é um serviço que tira "fotos" de sites ao longo dos anos. Analisar o histórico de uma página pode revelar tecnologias antigas, endpoints de APIs desativados ou contatos de desenvolvedores.
Além disso, repositórios de código público, como o GitHub, são fontes inesgotáveis de OSINT. É comum que desenvolvedores subam códigos acidentalmente contendo chaves de acesso, credenciais de banco de dados ou a arquitetura de servidores internos.
Ao pesquisar pelo nome do domínio da empresa dentro dessas plataformas públicas, um analista pode mapear como a infraestrutura foi construída sem precisar de nenhum acesso privilegiado.
Como Defender a sua Infraestrutura
Entender o reconhecimento passivo não serve apenas para mapear os outros, mas principalmente para proteger a sua própria casa. É o que chamamos de Gestão da Superfície de Ataque Externa (EASM).
A primeira linha de defesa é a conscientização. Você precisa saber o que a internet sabe sobre você. Faça exercícios de OSINT contra o seu próprio domínio regularmente.
Busque por subdomínios esquecidos nos CT Logs e desative aqueles que não estão mais em uso. Cada sistema esquecido é uma porta de entrada potencial que você não está monitorando.
Configure adequadamente os seus registros DNS para não vazar informações desnecessárias. Se possível, utilize serviços de proxy reverso que ocultam o IP real dos seus servidores de origem.
Por fim, treine a sua equipe de desenvolvimento. Eles precisam entender os riscos de cometer códigos em repositórios públicos e a importância de limpar metadados de documentos antes de publicá-los no site da empresa.
Conclusão
O reconhecimento passivo é uma etapa fascinante e fundamental da cibersegurança. Ele nos ensina que a informação está por toda parte, basta saber onde e como procurar.
Ao utilizar registros públicos de DNS, bases de dados de certificados, motores de busca e o histórico da internet, é possível criar um mapa detalhado da infraestrutura de um domínio de forma totalmente silenciosa.
Lembre-se que o OSINT é uma faca de dois gumes. Da mesma forma que ajuda pesquisadores a entenderem o cenário tecnológico, também pode ser usado por pessoas mal-intencionadas. Por isso, a defesa proativa e a limpeza da sua pegada digital são essenciais nos dias de hoje.
Gostou de entender os bastidores de como os domínios são mapeados na internet? Conta pra gente nos comentários como você tem cuidado da pegada digital da sua empresa e se já encontrou algo inusitado fazendo OSINT!
