Реалии современного мира таковы, что наш собеседник\ клиент \ сотрудник \ вполне может оказаться совершенно не тем, за кого он себя выдает. К примеру, он может оказаться профессиональным мошенником, который стремится завладеть нашей информацией, деньгами или же собственностью. Как же обезопасить себя от подобных “контактов”? В этом нам помогут все те же реалии современного мира, а именно – открытые источники информации.
OSINT – это акроним Open Source Intelligence (англ. – разведка на основе открытых источников), который вошел в обиход в эпоху Интернета и простоты доступа к данным.
OSINT используется как в частном секторе, так и в военных и разведывательных службах в течении многих лет, подходы и источники информации были отобраны и упорядочены специалистами из Лэнгли.
Суть всего процесса OSINT заключается в поиске и анализе информации, полученной из открытых источников. Можно получить аналитическую информацию по заданной теме исследуя множество медиа и онлайн источников. Эта информация может быть экстраполирована в значимые сведения о компании, лицах, группах или странах, которые они возглавляют. Большинство таких подходов к сбору информации (harvesting) привязаны к онлайн движкам упреждающего анализа (Silobreaker.com и Basistech), которые якобы могут “предсказать будущие действия”, как они утверждают. Однако, базовая идея OSINT – это сбор информации для последующего анализа отчетов об Объекте.
Анализ данных и погрешность/предвзятость
Перед тем как обозначить инструменты и методы OSINT, следует рассказать о “Анализе”. Может так случится, что большая часть усилий будет потрачена на сбор информации, которая скорее сбивает с толку или попросту является “дезинформацией”. Необходимо уметь отсеивать факты, комментарии и другую информацию, а затем взять то, что было собрано и тщательно проанализировать на предмет ключевой информации. Необработанная информация должна быть проанализирована и аналитик должен решить что верно, а что нет, а также назначить каждому источнику информации свой коэффициент.
Главное – не быть предвзятым в своем мышлении при проведении OSINT анализа. По крайней мере, чтобы создать полную картину об Объекте анализа, необходимо сравнивать и сопоставлять каждую собранную информацию и назначать ей свой коэффициент. Важно сохранять широкий кругозор, и не позволять своему мышлению зацикливаться и плыть по течению. В противном случае, собранная информация, скорее всего будет не корректной.
Распутывая клубок
OSINT может быть связан как с лицами, так и с организациями. В тоже время, люди на деле могут являться частью движения или группы, что сопоставимо реальной компании, таким образом макро и микро исследования очень связаны.
Для подтверждения информации может пригодиться и непосредственное взаимодействие с Объектом. Процесс OSINT живой, и аналитик должен быть готов к такому взаимодействию. Надо следовать подсказкам, задавать вопросы, вести подробные записи, чтобы потом воспользоваться их содержимым. Ключевым является проверка данных и источников, подобно хорошим детективам и репортерам.
Google
Google Search может предоставить много информации для OSINT. Хотя надо стать адептом “Google Hacking”, чтобы использовать все возможности Google, т.е. научиться владеть ключами и запросами, которые позволяют получить более детальные результаты. Написано много книг по этой теме, вот несколько базовых запросов, которые могут быть полезны:
site:.gov | .mil inurl:/FOUO/ filetype:pdf
site:.mil | .gov “FOUO” filetype:pdf
site:.mil | .gov FOUO filetype:pdf
site:.mil | .gov //SIGINT filetype:pdf
Типы файлов могут быть различными: .xls .pdf .txt и т.д.
Тот же подход использует пентестер для поиска уязвимостей, доступных документов, позволяющих получить доступ к их системам.
Можно использовать Google Alerts для автоматизированного поиска по ключевым словам. Сервис информирует по почте о результатах при каждом новом обнаружении роботами. Удобно то, что результат приходит прямо в руки и нет необходимости осуществлять ручной поиск. Поиск применим не только для строк, но и для целых выражения (например в случае поиска плагиата).
Кэш
Google Cache предоставляет архивную информацию активных сайтов, архивы отключенных сайтов доступны на сайтах типа Wayback Machine (http://archive.org/web/), созданный для поиска информации по сайтам, владельцы которых не хотят больше публиковать свою информацию.
Поиск по социальным сетям
Twitter, Вконтакте, Facebook, и прочие социальные сети – это отличный источник информации, где люди, компании и организации выкладывают множество информации, которую не следовало бы размещать. Представленные ниже сайты собирают подобную информацию с помощью поисковых систем и предлагают ее (иногда в графической форме).
com
com
com
com
com
com
co.uk
WHOIS и подобные инстументы… ROBTEX
Владелец информации может попробовать скрыть факт владения доменом. Это мера может оказаться запоздалой, так как по информации о домене можно сказать довольно многое. Есть много соответствующих инструментов, они легко находятся Google’ом. Часть из них предоставляет связанную информацию, например Robtex.
Robtex хорош тем, что предоставляет информацию о домене, о IP-адресе, на котором находится ресурс, о владельце домена, а также о том, какие еще домены используют это же серверное пространство.
InfoSniper
InfoSniper – это поисковик с “геолокацией” для IP адресов и доменов, который может указать где сервер находится физически. Такой поиск становится важным в случае расследований, где важна юрисдикция.
Maltego
Maltego – это метапоисковая система и графическая\релационная утилита для анализа базы данных, которую называют швейцарским ножом для сбора данных и OSINT. С помощью каждодневных обновлений, можно получить множество данных, которые могут быть обработаны вплоть до готового результата.
Отличная штука в Maltego – это наличие маппинга информации в соответствии с ее коэффициентом (весом). Это позволяет смотреть на карту и видеть связи между данными, кто с кем взаимодействует и контактирует, как данные соотносятся между собой. Это то, к чему необходимо привыкнуть и использовать в OSINT.
Paterva “Casefile”
Новый продукт компании Paterva, что-то вроде “Maltego Light”, однако есть одно серьезное преимущество. Это цифровая белая доска или “доска убийств” как в фильмах о полиции. Можно прикрепить имена и фотографии, создать “case” файлы.
Итог
Ключевыми факторами для успешного анализа являются:
– четкое понимание целей анализа;
– непредвзятость;
– сбор информации с максимально возможного количества открытых источников;
– применение коэффициентов (веса) к каждой информации;
– грамотный анализ полученной информации.
Комментариев нет:
Отправить комментарий