Схемы связей. Полный гайд по схемам связей для OSINT
Привет, друг. Прошлый раз мы поговорили про ведение записей и заметок. И как ты помнишь, это не только элемент систематизации собранной информации, но и подготовительный этап, лежащий в основе создания какого-то финального документа с результатами нашей деятельности. Но есть ещё один элемент, без которого не возможно качественно оформить результаты любой аналитической работы. Это всякие графики, схемы и диаграммы. Они, помимо всяких скриншотов, являются визуальной составляющей документа.
В чём их ценность? Писательский скилл, это не очевидный, но необходимый навык, которым должен обладать осинтер. И при его наличии, абсолютно любую информацию можно передать достаточно доходчиво. Но, проблема в том, что мы пишем не художественную книгу. И как бы красноречиво и доходчиво ты не изложил собранную информацию и выводы из неё, если тебя зовут не Джоан Роулинг, скорее всего ты не сможешь сделать это так, чтобы читающий, не отрываясь поглотил все твои 10, 15 или больше, страниц текста. Тем более, большая часть этой информации, это не какой-то экшон или детектив, это констатация фактов и перечисление статистической информации. Что автоматические не добавляет занимательности этому чтиву. И знаешь как будет? Не всегда конечно, но в большинстве ситуаций.
Где-то, плюс-минус на третьей странице, читатель задолбается и просто начнёт просматривать по диагонали твой текст. Пропуская целые абзацы и теряя суть той идеи, которую ты хотел ему донести. И даже если ты вынесешь в последнем, финальном абзаце, основную идею в форме каких-то выводов, это всё равно будет не достаточно убедительно. Потому что он просто не уловит всю цепочку рассуждений и комбинацию причинно-следственных связей. Как итог, твоя работа будет воспринята как что-то посредственное и не убедительное, а значит к тебе больше не обратятся.
Помнишь я как-то говорил про одно из основных правил профессионального OSINT? То что любое, даже самое гениальное расследование, можно испортить корявым отчётом. Так вот визуальная составляющая имеет не меньшее значение чем грамотно написанный текст. Когда твой текст толково разбавлен скриншотами, схемами связей, таймлайнами, графиками и диаграммами, это кратно добавляет удобство восприятия, а значит убедительности. В идеале твоя визуализация должна быть такой, чтобы человек не читая текст, а просто просмотрев визуальные элементы, уже понял идею, хотя бы в общих чертах. И согласился с основными выводами, которые ты хотел ему донести. Ещё один, не очевидный, плюс такого подхода в том, что при наличии прикольной визуальной составляющей, снижаются требования к грамотному написанию текста.
Надеюсь этим долгим вступлением я смог донести важность умения визуально оформлять информацию. А потому в этой статье мы разберем инструменты которые нам смогут в этом помочь.
Схемы связей для визуализации информации
Визуализировать собранную информацию нужно не только для того чтобы убедительно доносить свои выводы. Это скорее финальное применение всяких схем и графиков. Но это также элемент оптимизации рабочего процесса. Потому что изучая что-то большое и комплексное, всегда нужно понять что с чем и как взаимосвязано. Проще всего это сделать набросав схему связей. Именно по этому инструменты визуализации, условно, можно разделить на две категории. Это те которые мы используем в процессе работы для анализа связей. И те которые мы используем для создания схем, которые пойдут в финальный документ.
Я так их разделил чтобы нагляднее было показывать примеры. На практике это всё очень индивидуально, и каждый делает так как ему удобнее. Ничего не мешает использовать рабочие схемы в отчётах. Ровно как и ничего не мешает проводить анализ, нарисовав схему в обычном редакторе, а не в специализированном приложении.
Начнём именно со специализированных переложений т.к. они помимо возможности рисовать схемы, также могут самостоятельно помогать искать информацию.
Схемы связей. Maltego
Начнём с Maltego (https://www.maltego.com). Потому что это не просто рисовалка схем, а полноценная платформа для проведения расследований. Это если платная версия, у которой ценник, на секундочку, в 6000 евро. А бесплатная это как раз рисовалка схем, с небольшими бонусными функциями. В процесе объясню почему.
Тут нужно ещё отметить, что именно Maltego лучше использовать тогда, когда тебе нужно сделать полноценный анализ и разобрать какую-то сложную схему. В том числе что бы хранить в самой схеме кучу дополнительной информации, чтобы всё было в одном месте и в быстром доступе. Если же тебе нужно просто нарисовать какую-то схему, чтобы показать что с чем связано, наверно стоит выбрать что-то попроще. Я такие редакторы тоже разберу в этой статье.
У меня есть отдельная статья с обзором Maltego, кто не видел может перейти почитать. Там про интерфейс и основные возможности. Тот минимум которого достаточно для комфортного начала использования. А здесь мы разберемся с созданием схем связей, и некоторыми полезными нюансами с этим связанными.
Если ты только установил Maltego, то для начала нужно добавить некоторые наборы трансформаций. Конкретно в этой ситуации они нужны чтобы появились дополнительные значки и иконки. Например социальных сетей.
Поэтому переходим во вкладку Transforms и там жмём на кнопку «Maltego Data Hub». В открывшемся окне находим у устанавливаем модули: Social Links, CaseFile Entitles и PeopleMon. Для начала более чем достаточно. Если чего-то не хватит, всегда можно добавить потом.
Создание схемы связей
Теперь можем переходить к созданию самой схемы и наполнению её информацией. Для этого жмём кнопку New, и в открывшемся окне, первое что нужно сделать, это добавить какие-то стартовые элементы, с которых мы будет начинать заполнять нашу схему. И которые мы будем дополнять в процессе работы.
Для наглядности давай создадим схему на которой будет какая-то организация и несколько человек, которые там работают, ну и их данные, естественно.
Для этого на панеле палитры (слева) находим значки, которые подходят под те данные, которые у нас уже есть. И перетягиваем их на рабочую область. Допустим это будет сама компания, человек, его фото, почта и социальные сети. Для начала точно достаточно. А в процессе можно будет добавить ещё.
Тут есть нюанс. Если в тебе живёт лютый перфекционист, которому очень хочется покреативить, а имеющихся значков не достаточно, то у Maltego есть целая библиотека значков. И можно насоздавать своих элементов с нужными иконками. Для этого идём на вкладку Entites и жмём кнопку New Entity. Как-то рандомно заполняем, главное чтобы было понятно что это. И выбираем нужный значок. Можно также создать отдельную категорию, чтобы потом было легче ориентироваться. Значки не обязательно выбирать из библиотеки, можно добавить свои. Для этого, на той же вкладке Entites и жмём Manage Icons. Затем жмём плюсик и добавляем свои иконки.
Вернёмся к нашей схеме. Следующее, что логично сделать, это соединить связями те объекты которые мы уже добавили. Чтобы это сделать, зажимаем левую кнопку мыши и проводим от одного значка к другому. Появится стрелка.
Внешний вид стрелок тоже можно настраивать. Можно просто дважды клацнуть на стрелку и перейти в настройки. Там можно изменить цвет, внешний вид, например сделать её точками или пунктиром и выбрать толщину линий. Ну и подписать тоже можно, если нужно.
Свойства стрелки открываются при двойном нажатии. При этом сейчас мы можем их открыть, но не можем выделять сами стрелки. При попытке это сделать выделяются только значки.
Чтобы это изменить, нужно переключить режим выделения. Он переключается на вкладке Investigate. Нажимаем там где написано Entity Selection и режим изменится на Link Selection. А мы, соответственно, сможем выделять стрелки. При выделении, в окне Detail View мы будем видит какие объекты эта стрелка связывает и можем переходить к ним. А в окне свойств можем менять настройки отображения, добавлять название или описание. Это быстрее чем каждый раз клацать на стрелку.
Там же рядом расположены кнопки позволяющие быстро выделять какие-то отдельные части графика. На небольших схемах все эти манипуляции с выделениями не имеют смысла, но если элементов станет, например, несколько десятков, всё это сразу обретёт смысл и поможет сильно упростить анализ.
Так, например, при выделении нескольких элементов, в окне Datail View мы будем видеть список выделенных объектов, с краткой информацией о них. Также каждому объекту можно добавить закладку определенного цвета, а потом, используя кнопку Select Bookmarked, выделить все объекты помеченные соответствующей закладкой.
Добавление информации
После добавления объектов и связей, наша схема уже приобрела какой-то рабочий вид. А вот чтобы появился ещё и рабочий смысл, нуждо всё это наполнить информацией.
На этом этапе нужно точно определится с какой целью мы используем Maltego. Если только для создания схемы, то можно просто подписать нужные объекты. Если мы планируем использовать трансформации т.е. собирать дополнительную информацию, то нужно добавлять соответствующие данные, которые нужны для работы модулей.
Давай заполним данные на примере Telegram. Это делается одинаково для любых объектов, разница только в том, что будут отличаться поля свойств. У каждого объекта могут быть свои.
Дважды клацаем на нужный значок и переходим на вкладку свойств. Здесь вписываем данные которые у нас уже есть. Например имя, ссылка на профиль и User ID. Также можно перейти на вкладку Summery и добавить фотографию, а также здесь можно писать заметки. Здесь же есть кнопка Google Me. При нажатии откроется браузер, с поиском в гугле по имени которое мы вписали. Кроме того на вкладке Attachments можно добавить файлы или ссылки, которые относятся именно к этому объекту. Это очень актуально, например для юридических лиц. Туда можно сгрузить все файлы которые относятся именно к этой компании и к ним будет очень удобно возвращаться. Точно ничего не пропустишь и не перепутаешь.
После того как мы заполнили свойства, в какой-то момент может случится необходимость вынести одно или несколько свойств в отдельный объект на схеме. Делать это руками не нужно, потому что это не удобно. Проще сделать это использовав трансформации. Жмём правой кнопкой на значок и в списке трансформаций, находим «Extract Property To Another Entity» и запускаем её. В открывшемся окне выбираем свойство, которое нужно извлечь. В следующем окне выбираем тип сущности, который будет присвоен новому объекту. От этого зависит какой будет значок и какие будут доступны трансформации.
Ещё может случится ситуация, когда ты добавил на рабочую область объект, а потом решил изменить его тип на другой.
Не нужно ничего удалять и пересоздавать. Жмешь правой кнопкой на него и внизу будет кнопка Change Type. Нажимаешь и выбираешь на что хочешь поменять. Изменится и значок и поля свойств. А также доступные трансформации, они будут соответствовать новому типу.
На этом этапе наша схема уже имеет какой-то рабочий вид. И дальнейшие действия я думаю понятны. А именно. В процессе получения и сбора информации, добавляем нужные данные на рабочую область, при этом сразу фиксируя связи т.е. что к чему имеет отношение. Одновременно добавляем или обновляем информацию в уже имеющихся объектах. В идеале лучше фиксировать всю найденную по теме информацию, потому что никогда не знаешь что ещё может пригодится через время.
Созданную схему можно экспортировать в виде обычной схемы, а можно сгенерировать отчёт. В нём помимо самой схемы, будет вся добавленная нами информация по каждому объекту, в том числе то что мы вписывали в поля свойств.
Трансформации
Если вдруг захотелось, а тебе захочется, позапускать трансформации. Это действительно рабочий инструмент, который может давать результат и существенно экономить время. Проблема только в ограничениях бесплатной версии Maltego. И одно из ключевых это не более 12 результатов на трансформацию.
Это то ограничение, из-за которого по сути теряется смысл использования Maltego как полноценного инструмента для расследований. Потому что почти любой запуск трансформации потенциально может дать больше чем 12 результатов. Но сколько их всего, мы не узнаем. При этом есть большая вероятность, что там будет что-то важное.
Это частично фиксится разбитием объекта на несколько отдельных. Например если это сайт, то мы можем вынести в отдельные объекты его домен, IP, DNS записи ну и так далее. А потом применять трансформации отдельно к каждому объекту. С одной стороны это повысит охват полученной информации, а с другой добавит хаоса в нашу схему. И потом придется её чистить, удаляя не нужное. Но такой подход всё равно не гарантирует, что мы не упрёмся в этот лимит и не пропустим какие-то важные данные.
Почему я рассматриваю только бесплатную версию? Потому что тот кто уже занёс шесть тонн европейских денег за лицензию, а потом ещё две-три, а может больше, за какие-то полезные API дополнительных сервисов, наверное предварительно разобрался как это всё работает и как его можно использовать.
Итого. Maltego, даже в бесплатной версии, очень крутой инструмент для накопления и систематизации информации. А также для удобного визуального представления собранной информации. Особенно в каких-то больших и замороченных проектах, где нужно сначала собрать, а потом обмозговать какие-то значительные объёмы информации.
Схемы связей. Osintracker
Следующий инструмент который мы рассмотрим это osintracker.com. Как понятно из названия это тоже инструмент для OSINT. Соответственно тут тоже можно визуально систематизировать собранную информацию, но при этом есть и дополнительные полезные фишки. Ну и плюсы в том, что во-первых всё происходит в браузере, а во-втрых это бесплатно.
Поэтому идём на сайт osintracker.com и запускаем приложение. В открывшемся окне нужно перейти в раздел Investigations. Здесь будут хранится все созданные нами расследования. Их, кстати, можно также хранить локально у себя на компьютере.
Начать нужно с добавления нового расследования. Жмём кнопку ADD и вписываем название и, если хочется, описание.
Откроется пустое рабочее пространство с предложением добавить первый объект. Тот с которого мы будем стартовать. Жмём туда и откроется окно добавления. Можно сразу всё заполнить, а можно добавить информацию потом.
В этом окне, там где value, вписываем название. Это обязательный пункт. Ссылку, описание и картинку добавляем, если есть такая необходимость. Также нужно выбрать к какому типу данных относится добавляемый объект. Например человек, компания, сайт, аккаунт в соцсети, ну и так далее. Там в списке довольно много вариантов. От этого выбора зависит какая будет иконка у добавленного объекта и какой список инструментов будет предложен для работы с ним.
Если добавить фотографию, то её миниатюра тоже будет видна на схеме. Ещё можно присвоить объекту какой-то цвет. Это нужно не только чтобы он выделялся на схеме, но и чтобы потом сразу выбирать все объекты определенного цвета. Короче типа фильтр такой.
Здесь же можно выбрать страну к которой относится объект. Флаг этой страны появится на значке объекта. Больше это ни на что не влияет. Также можно добавить дополнительный значок-метку. Ну и выбрать размер значка. А в правом верхнем углу есть переключатель с восклицательным знаком. Если его включить создаваемый объект будет по контуру обведен красным цветом. Типа это что-то важное.
Все последующие объекты добавляются нажатием кнопки Entity, слева вверху. А сам процесс добавления всегда одинаковый. Все созданные объекты будет появляться на схеме, и в списке в окне справа. Если в этом списке выбрать какой-то объект, то мы также переместимся к нему на схеме.
Чтобы добавить связи т.е. стрелочки, там же слева вверху жмём кнопку Relationship. И начинаем таскать курсор от одного объекта к другому. Каждый раз, при добавлении связи, он будет предлагать нам дополнить информацию о ней. А именно вписать название (оно отобразится на схеме), описание, добавить даты, выбрать цвет и толщину линии. Ещё можно добавить ссылки и инфу о источниках, откуда мы это взяли. Но это всё не обязательно заполнять. Можно просто добавить стрелку, а можно позже заполнить информацию, если будет такая необходимость.
На любой объект который мы добавили на схему, в том числе на стрелки, можно нажать, выбрав его таким образом. При этом, в окне справа, откроются его параметры.
Здесь будет несколько вкладок. Первая это характеристики. Их можно отредактировать или дополнить те данные, которые мы вписывали при добавлении.
Следующая это инструменты. Сам Osintracker искать не умеет, он только предлагает какие инструменты можно использовать для сбора информации. В этом же списке можно отмечать какие ресурсы мы уже проверили.
Две следующие вкладки это объекты к которым, выбранный нами, имеет отношение. Другими словим это те объекты от которых и к которым ведут стрели выбранного объекта. Ну и последняя вкладка это заметки, как бы очевидно это не было, но там можно что-то писать.
Важный момент. Когда редактируешь какие-то данные, не забывай нажимать кнопку сохранения. Она будет подсвечена красным если есть несохраненные данные. А то, по своему опыту скажу, что слегка пригорает, когда выделяешь что-то и осознаёшь что забыл сохранить изменения в предыдущем объекте. Потому что предупреждение о потере несохраненных данных пока что не завезли.
Созданную схему можно сохранить в виде картинки, нажав на кнопку Export. Так же в правом верхнем углу есть три точки, нажав на которые можно сгенерировать отчёт. Это будет таблица со всеми введенными нами данными по каждому объекту. Там же можно сохранить себе всё расследование.
Итого. В принципе, это весь функционал Osintracker. Выглядит, конечно, не так жирно как Maltego, но всегда ли оно в таком объёме нужно? Но тут, опять же, это всё дело вкуса. Вывод в том, что Osintracker это вполне рабочий инструмент, который можно продуктивно использовать.
Схемы и диаграммы
Мой рассказ будет не полным, если я не расскажу про приложения заточенные чисто под создание схем и диаграмм. Такие тоже нужны и использовать их, с большой вероятностью, тоже придётся. Они, конечно же, не имеют функций заточенных под OSINT. Но во-первых не факт что эти функции нам всегда нужны, а во-вторых у них есть другие плюсы. Хотя бы то, что у них функционал заточен под создание визуализации, а значит это удобнее. И там гораздо больше возможностей именно в создании всяких визуально приятных и информативных схем.
Соответственно, если нам нужно просто наглядно показать связь чего-то с чем-то, при этом оформив это как-то так, чтобы было приятно глазу, то гораздо удобнее и быстрее использовать именно рисовалки.
Таких приложений существует, мягко говоря, не мало. И так как мне эти схемы приходится рисовать, скажем так, частенько, я какое-то время скитался между разными вариантами, в поиске идеального решения. Идеального для меня конечно же. Поэтому сначала перечислю то, что опробовал. Достойные внимания варианты.
В целом очень достойно. Интерфейс максимально понятный, но при этом, с кучей настроек и возможностей. Любой элемент можно изменять и подгонять под свои хотелки Большой плюс в том, что есть приблизительно миллион всяких блоков, стрелок, значков и прочих заготовок, что позволяет создавать очень замороченные схемы. Причём тут есть целые наборы заготовок, которые можно добавить себе в быстрый доступ. Ну и естественно есть набор шаблонов, если лень креативить.
Тоже очень неплохой вариант. Есть куча заготовок под блоки, таблицы, списки и так далее. Всё это можно соединять, комбинировать, менять форму и цвет. Если стандартных форм не хватает, можно добавить из библиотеки другие наборы. Также есть какое-то нереальное количество готовых шаблонов, где всегда можно позаимствовать какие-то комбинации блоков.
Ещё один вариант. И он самый скромный с точки зрения наличия количества доступных элементов, которые можно добавлять на схему. По сравнению с остальными вариантами, блоков, элементов и настроек здесь сильно меньше. Но тут фишка в другом. В простоте и стиле. Сам принцип построения организован так, что схемы выглядят вроде просто, но одновременно с этим наглядно и информативно.
Ну и создаются они максимально быстро, просто потому что вариантов не много, а потому не приходится заморачиваться. Принцип работы максимально прост. Берем заготовку, выбираем цветовую схему, добавляем нужное количество веток и подтем. Если нужно объединяем это в группы. Всё это подписываем и готово. Поэтому если нужно по быстрому замутить какую-то прикольную, но простую схему, то Xmind это лучший вариант.
Создание схем в Miro
Ну, а теперь вариант который близок к идеальному и который мне нравится намного больше других.
Его фишка в том, что он идеально подходит не просто для создания какой-то схемы, это можно делать и в предыдущих редакторах, а в том что он позволяет наглядно визуализировать какой-то большой объём информации. При этом понятно и логично связав её части между собой. Чтобы понять насколько это может быть замороченной затеей, нужно хоть раз попробовать сделать обзорную схему связей по досье, объёмом страниц на 80.
Как и в любом подобном редакторе здесь есть куча шаблонов и заготовок. Можно начать с них, ну или просто подсмотреть там идеи для организации схемы. Либо можно начать с пустой рабочей области и сделать всё самостоятельно.
Я не вижу смысла перечислять стандартные функции. Я думаю не тяжело разобраться как добавлять квадратики, кружочки, стрелочки, вписывать текст, ну и так далее. Поэтому покажу только отдельные специфические моменты, которые помогут просто сэкономить время.
Сам процесс максимально прост и интуитивно понятен. На панели слева расположены элементы которые можно добавлять на рабочее пространство. При чём это не все элементы которые есть в наличии, ну и саму панель инструментов можно настроить под свои нужды. Для этого внизу панели есть кнопка с плюсиком. При нажатии на неё откроется меню инструментов, можно выбирать их отсюда. Или закрепить их на самой панели инструментов для быстрого доступа.
Кроме прочего из этого же меню можно добавлять отдельные блоки информации. Например тактовые документы, таблицы, таймлайны или диаграммы. Они появятся на рабочей области и их, как и любой другой элемент можно редактировать, в том числе менять размер или добавлять связи с чем-то другим. Полезная фишка в том, что их можно отдельно открывать и редактировать. Т.е. если это таблица то откроется табличный редактор, если текст то текстовый редактор.
Кроме того в Miro есть встроенный Adobe Express. Это такой Photoshop на минималках. Тем не менее он может быть иногда очень полезным. Можно прям тут подрезать фотку, изменить размер, удалить фон, добавить текст на фото, ну и так далее.
Ещё одна очень полезная фишка это фреймы. Для них тоже есть библиотека заготовок, но можно создавать свои. Фреймы это отдельное рабочее пространство, встроенное в основную рабочую область. Т.е. тот же принцип что и с текстовыми или табличными блоками. При добавлении внутрь фрейма какого-то объекта, он становится его частью. При этом его можно точно также редактировать, а если мы переместим фрейм, то все его объекты переместятся с ним. Также любой объект можно переместить из фрейма и он станет самостоятельным. Короче это удобно, чтобы группировать и выделять какие-то отдельные блоки информации.
Из полезного здесь ещё есть библиотека всяких иконок и логотипов. На панели жмём кнопку «Images and Icons» и можно выбрать нужный значок. Правда листать руками можно задолбаться, потому проще написать в поиске что мы хотим. Например пишем telegram и он предложит 100500 вариантов соответствующих значков. От стандартных до рисованных и просто каких-то кастомных.
Всё созданное можно экспортировать в pdf или в виде картинки, просто выбрав нужную часть рабочего пространства.
Итого
В принципе всего перечисленного с головой достаточно чтобы создавать достойные схемы связей для полноценной и качественной визуализации. Что конкретно использовать в какой-то отдельной ситуации это уже решать тебе. Что удобней и что больше нравится то и используй. А у меня на этом всё.
Твой Pulse.