Разведка на основе открытых источников.

Реалии современного мира таковы, что наш собеседник\ клиент \ сотрудник \ вполне может оказаться совершенно не тем, за кого он себя выдает. К примеру, он может оказаться профессиональным мошенником, который стремится завладеть нашей информацией, деньгами или же собственностью. Как же обезопасить себя от подобных “контактов”? В этом нам помогут все те же реалии современного мира, а именно – открытые источники информации.

OSINT – это акроним Open Source Intelligence (англ. – разведка на основе открытых источников), который вошел в обиход в эпоху Интернета и простоты доступа к данным.

OSINT используется как в частном секторе, так и в военных и разведывательных службах в течении многих лет, подходы и источники информации были отобраны и упорядочены специалистами из Лэнгли.

Суть всего процесса OSINT заключается в поиске и анализе информации, полученной из открытых источников. Можно получить аналитическую информацию по заданной теме исследуя множество медиа и онлайн источников. Эта информация может быть экстраполирована в значимые сведения о компании, лицах, группах или странах, которые они возглавляют. Большинство таких подходов к сбору информации (harvesting) привязаны к онлайн движкам упреждающего анализа (Silobreaker.com и Basistech), которые якобы могут “предсказать будущие действия”, как они утверждают. Однако, базовая идея OSINT  – это сбор информации для последующего анализа отчетов об Объекте.

Анализ данных и погрешность/предвзятость

 Перед тем как обозначить инструменты и методы OSINT, следует рассказать о “Анализе”. Может так случится, что большая часть усилий будет потрачена на сбор информации, которая скорее сбивает с толку или попросту является “дезинформацией”. Необходимо уметь отсеивать факты, комментарии и другую информацию, а затем взять то, что было собрано и тщательно проанализировать на предмет ключевой информации. Необработанная информация должна быть проанализирована и аналитик должен решить что верно, а что нет, а также назначить каждому источнику информации свой коэффициент.

Главное – не быть предвзятым в своем мышлении при проведении OSINT анализа. По крайней мере, чтобы создать полную картину об Объекте анализа, необходимо сравнивать и сопоставлять  каждую собранную информацию и  назначать ей свой коэффициент. Важно сохранять широкий кругозор, и не позволять своему мышлению зацикливаться и плыть по течению. В противном случае, собранная информация, скорее всего будет не корректной.

Распутывая клубок

OSINT может быть связан как с лицами, так и с организациями. В тоже время, люди на деле могут являться частью движения или группы, что сопоставимо реальной компании, таким образом макро и микро исследования очень связаны.

Для подтверждения информации может пригодиться и непосредственное взаимодействие с Объектом. Процесс OSINT живой, и аналитик должен быть готов к такому взаимодействию. Надо следовать подсказкам, задавать вопросы, вести подробные записи, чтобы потом воспользоваться их содержимым. Ключевым является проверка данных и источников, подобно хорошим детективам и репортерам.

Google

Google Search может предоставить много информации для OSINT. Хотя надо стать адептом “Google Hacking”, чтобы использовать все возможности Google, т.е. научиться владеть ключами и запросами, которые позволяют получить более детальные результаты. Написано много книг по этой теме, вот несколько базовых запросов, которые могут быть полезны:

  • site:.gov | .mil inurl:/FOUO/ filetype:pdf
  • site:.mil | .gov “FOUO” filetype:pdf
  • site:.mil | .gov FOUO filetype:pdf
  • site:.mil | .gov //SIGINT filetype:pdf
  • Типы файлов могут быть различными: .xls .pdf .txt и т.д.

Тот же подход использует пентестер для поиска уязвимостей, доступных документов, позволяющих получить доступ к их системам.

Можно использовать Google Alerts для автоматизированного поиска по ключевым словам. Сервис информирует по почте о результатах при каждом новом обнаружении роботами. Удобно то, что результат приходит прямо в руки и нет необходимости осуществлять ручной поиск. Поиск применим не только для строк, но и для целых выражения (например в случае поиска плагиата).

Кэш

Google Cache предоставляет архивную информацию активных сайтов, архивы отключенных сайтов доступны на сайтах типа Wayback Machine (http://archive.org/web/), созданный для поиска информации по сайтам, владельцы которых не хотят больше публиковать свою информацию.

Поиск по социальным сетям

Twitter, Вконтакте, Facebook, и прочие социальные сети – это отличный источник информации, где люди, компании и организации выкладывают множество информации, которую не следовало бы размещать. Представленные ниже сайты собирают подобную информацию с помощью поисковых систем и предлагают ее (иногда в графической форме).

  • com
  • com
  • com
  • com
  • com
  • com
  • co.uk

WHOIS и подобные инстументы… ROBTEX

Владелец информации может попробовать скрыть факт владения доменом. Это мера может оказаться запоздалой, так как по информации о домене можно сказать довольно многое. Есть много соответствующих инструментов, они легко находятся Google’ом. Часть из них предоставляет связанную информацию, например Robtex.

Robtex хорош тем, что предоставляет информацию о домене, о IP-адресе, на котором находится ресурс, о владельце домена, а также о том, какие еще домены используют это же серверное пространство.

InfoSniper

InfoSniper – это поисковик с “геолокацией” для IP адресов и доменов, который может указать где сервер находится физически. Такой поиск становится важным в случае расследований, где важна юрисдикция.

Maltego

Maltego – это метапоисковая система и графическая\релационная утилита для анализа базы данных, которую называют швейцарским ножом для сбора данных и OSINT. С помощью каждодневных обновлений, можно получить множество данных, которые могут быть обработаны вплоть до готового результата.

Отличная штука в Maltego – это наличие маппинга информации в соответствии с ее коэффициентом (весом). Это позволяет смотреть на карту и видеть связи между данными, кто с кем взаимодействует и контактирует, как данные соотносятся между собой. Это то, к чему необходимо привыкнуть и использовать в OSINT.

Paterva “Casefile”

Новый продукт компании Paterva, что-то вроде “Maltego Light”, однако есть одно серьезное преимущество. Это цифровая белая доска или “доска убийств” как в фильмах о полиции. Можно прикрепить имена и фотографии, создать “case” файлы.

Итог

Ключевыми факторами для успешного анализа являются:

– четкое понимание целей анализа;

– непредвзятость;

– сбор информации с максимально возможного количества открытых источников;

– применение коэффициентов (веса) к каждой информации;

– грамотный анализ полученной информации.

 

Leave a Reply

Your email address will not be published. Required fields are marked *