Как изучать OSINT. Пошаговый план для новичков

Привет, друг! Давай представим ситуацию, что ты недавно узнал про OSINT. Возможно, ты посмотрел какие-то расследования и увидел как разрозненные куски информации обрастаю деталями и подробностями, постепенно превращаясь в какую-то интересную историю, вскрывая чьи-то грязные секретики. Тебя эта тема заинтересовала и ты решил научится также.

Поэтому, в этой статье, я постараюсь максимально облегчить путь начинающего осинтера и дать пошаговый план как бы я изучал OSINT. Ну и уберечь от граблей на которые я давно наступил. Тут, конечно же, можно было просто предложить сходит ко мне в Telegram канал Pulse и записаться на обучение, чтобы не заморачиваться, но так я делать не буду, а рассмотрю вариант самостоятельного изучения. Это немного сложнее, потому как требует некоторой самодисциплины, но вполне реально.

План обучения OSINT

Как бы занудно это не прозвучало, но любая учёба будет эффективнее если придерживаться конкретного плана обучения. Этот план должен содержать не только то что мы хотим выучить, но и то как мы будем это учить. Это нужно чтобы контролировать процесс и оценивать результаты. Что, в свою очередь, делает процесс системным и последовательным, а значит эффективным.

Собственно эта статья это и есть подобный план, с небольшими пояснениями и советами. Для удобства можно записать всё это в Notion (статья про Notion) и там отмечать что уже изучено, записывать результаты, ну и начинать составлять свой список инструментов. А чтобы тебе было ещё легче, я уже сделал шаблон для Notion с конспектом этой статьи и чек-листом для самостоятельного изучения. Там ты можешь контролировать свой прогрес, отмечая изученные темы. Там же есть ссылки на мои статьи, которые помогут тебе глубже погрузится в некоторые темы. Просто добавь себе в Notion дубликат и используй.

Теперь переходим к самому процессу обучения.

Личная безопасность и удобство

Прежде чем начинать что-то искать, или учится искать, нужно подумать о личной безопасности. OSINT, как правило, не подразумевает наличия каких-то серьёзных рисков, но это не повод расслабляться. Потому как эти самые риски имеют неприятное свойство появляться там где их не ждёшь. Потому, хотя бы минимально, озаботится вопросами безопасности себя и своей работы всё-таки стоит.

Анонимность

Первый вопрос, в котором нужно разобраться, это соблюдение правил анонимности и безопасности в сети. Только не нужно упарываться в крайности и превращаться в адепта культа «Неуловимого Джо». Это я так называю тех кто, пытаясь заанонимится так, будто его ищет ЦРУ, проклинает любого, кто хотя бы допускает возможность использования проприетарного ПО. Это маразм, а OSINT, как процесс, требователен к присутствию здравого смысла. Потому в вопросах анонимности важен баланс между комфортом и безопасностью. При этом важно понимать, что в подавляющем большинстве ситуаций, наша задача просто не спалится, как самим так в том что мы интересуемся какой-то темой.

Ещё одна полезность от использования средств анонимизации это обход всяких ограничений и блокировок. Вот с этим придется сталкиваться регулярно, потому, будет совсем не лишним, эту тему проработать отдельно.

Под словом «разобраться» я подразумеваю, что ты должен базово понять что это такое, зачем оно нужно и как его можно использовать. На этом этапе, если нету, то уже можно купить себе, хотя бы, VPN.

Далее, если ты планируешь, свои материалы кому-то показывать или где-то публиковать, то нужно иметь понимание юридической составляющей OSINT. Программа минимум в этом вопросе:

• разобраться что такое персональные данные и конфиденциальная информация;
• выяснить какая есть ответственность за их распространение в той юрисдикции где ты находишь и в той где твои материалы могут оказаться;
• опционально, но не бесполезно на начальных этапах, разработать для себя «политику публикаций» т.е. свод данных которые ты не передаешь и не публикуешь никогда. Это имеет смысл т.к. находить подобные данные ты будешь в любом случае. Более того, как правило, собирать их необходимо т.к. это вопрос точной идентификации.

Рабочее место

• Виртуальные машины. Это очень важная тема, с которой нужно разобраться обязательно. Использование виртуалок позволяет разделить рабочие пространства под разные цели и задачи. Т.е. можно создать разные профили, личности, учётные записи и быть уверенным, что они случайно не пересекутся, при этом ещё и можно использовать разные VPN и/или proxy для каждой. Также можно хранить какую-то информацию на разных виртуалках, для удобства организации или для безопасности, предварительно зашифровав виртуальный диск. Кроме того виртуалку можно использовать в качестве песочницы, открывая там подозрительные файлы или ссылки.
• Аккаунты и профили. Они для рабочих задач нужны отдельные. Это касается как профилей браузера, так и акаунтов в социальных сетях и месенджерах. Тут запоминаем, просто на уровне аксиомы — для работы всегда используем фейковые аккаунты. На эту тему у меня есть статься про фейковые аккаунты в OSINT, там эта тема раскрыта детально и подробно. Также нужно завести себе отдельный номер телефона и электронную почту, которую ты будешь использовать для регистраций.
  • опционально — можно сделать отдельную учетную запись операционной системы только для рабочих задач. Идея рабочая, но на любителя, лично мне так не удобно, я предпочитаю виртуалки.
• Хранение данных аккаунтов. Помимо соцсетей, со временем, у тебя накопится большое количество сервисов где ты зарегистрировался. Потому хорошей идеей будет заранее продумать, как ты будешь хранить свои логины, пароли и другую информацию по ним. Делать это в заметках, в том же Notion например, это не самая лучшая идея. Оптимальный вариант это завести менеджер паролей, по типу KeePassXC (статья про пароли и KeePassXC).
• Заметки осинтера. OSINT это работа с информацией во всех возможных видах. И чем системнее будет организовано её хранение — тем удобнее. И этим вопросом нужно начинать заниматься с самого начала. Тут нужно выделить направления:
  • Инструменты. С самого первого дня начинай создавать свою личную подборку инструментов. У всех свои методы, задачи и предпочтения. Потому не нужно рассчитывать на чужие подборки, их используй только как источник новых инструментов. А когда сам протестировал инструмент и понял, что он для тебя актуален — сохраняй в свою подборку. Для удобства можешь сделать себе в подборке, раздел со списком новых инструментов, которые нужно протестировать и добавляй туда то что заинтересовало, но ещё не проверил на практике.
  • Методы. При переходе к практической части советую, особенно на начальных этапах, записывать не только инструменты, но и какие именно действия дали нужный результат. Т.е. ты как-бы логируешь свои действия. Это очень помогает повторять изученное, что бы не перечитывать всякие мануалы, а просто просмотреть свои заметки. Этого достаточно чтобы освежить в памяти рабочие техники.
  • Архив расследований. Иногда может понадобится вернутся к прошлым материалам. Потому очень правильно с самого начала продумать и организовать хранение своих работ. Оптимальный вариант хранить не только финальные отчёты, но и данные собранные в процессе расследования. В статье про ведение записей и заметок я разобрал как это делать эффективно и удобно, используя Notion.

Ещё один момент, о котором нельзя забывать и который касается всего что ты планируешь хранить, это бэкапы. Будет очень обидно потерять собранную информацию, потому лучше сразу продумать как дублировать и где хранить резервную копию, на случай непредвиденных обстоятельств. Не самой плохой идеей будет иметь несколько бэкапов.

Методология OSINT

А на самом старте есть смысл разобраться с методологией. Это помогает более широко видеть картину и рациональнее планировать свою работу. Основные направления с которыми стоит ознакомится это:

• Декомпозиция задачи. Простыми словами это дробление конечной цели на подзадачи. Это важный элемент организации работы и самоконтроля. Методов существует много, но я советую обратить внимание на метод 5W1H. Он мне кажется оптимальным для применения в OSINT.
• Доказательства. Сама суть OSINT базируется на трёх направлениях: подтверждение, опровержение и фиксация. Обобщённо, суть этого процесса подразумевает получение доказательств. Для глубокого изучения подойдёт любой учебник по уголовному процессу. Там находишь и читаешь:
  • что такое и какие бывают доказательства, способы фиксации доказательств;
  • что такое причинно-следственные связи;
  • построение версий, выдвижение гипотез и способы проверки всего этого.

Опционально, можешь ещё про матрицу вероятностей почитать, в разрезе оценки рисков. Будет не лишним.

По поводу фиксации доказательств есть ещё документы разработанные специально под OSINT. Смысла в них вникать нет вообще никакого, потому как писали их лютые бюрократы. Реальная польза в том, что ты в отчёте можешь писать что он подготовлен в строгом соответствии с этими нормами:

• Протокол Беркли — если бы меня попросили описать его одной фразой, это была бы фраза “апогей словоблудия”. Почти 100 страниц настолько очевидных вещей, большую часть которых любой адекватный человек соблюдает на уровне инстинктов. Если в Протоколе Беркли оставить только хоть сколько-нибудь полезную информацию, итоговый документ займёт наверное страниц 5-7. 
• Стандарт разведывательного сообщества ICS 206–01 — сильно короче и намного конкретнее, с вполне логичными требованиями к оформлению и фиксации доказательств.  Оформлять именно так, как там написано особого смысла нет, если конечно ты не сотрудник какой-то из американских разведок. Но упомянуть на титулке можно, добавит пафосу.

Доказательства в OSINT

Как ты понял, доказательства это крайне важная штука, по сути самая важная, потому сразу тренируйся правильно с ними работать. Для этого, с самого начала, нужно продумать свою систему. Оптимальный набор подходов, который неплохо работает в большинстве случаев, это:

1. Шаблон для фиксации доказательств. Пока ты учишься и пока у тебя на уровне рефлексов не выработается свой личный алгоритм действий по фиксации доказательств, есть смысл разработать себе чек-лист как сохранять те или иные доказательства. Пример: ты нашел страницу на которой есть нужная информация. Алгоритм действий: сохраняем нужные данные в заметки — там же оставляем ссылку на источник — эту ссылку сохраняем в веб архив — на него ссылку тоже записываем — далее делаем скриншот найденной страницы, так чтобы был виден адрес (можно выгрузить всю страницу если информации много). Опционально: записываем способ каким была найдена страница. Иногда бываю ситуации когда нужно зафиксировать не только результат, но и процесс его получения. В такой ситуации можно просто сделать запись экрана или использовать софт, логирующий действия пользователя. В любом случае, это должно выглядеть так что бы другой человек мог повторить.
2. После того как ты определился, как ты будешь фиксировать доказательства, нужно ещё продумать где и как ты будешь всё это хранить. Неплохой вариант если у тебя будет какой-то единый, или хотя-бы похожий, подход к хранению найденной информации. Например это может выглядеть так: для каждого нового расследования создаём в Notion отдельную страницу. И туда добавляем:
   — страницу заметок, туда, просто в кучу, скидываем всю найденную информацию;
   — таблицу, в которую фиксируем всех найденных людей, представляющих интерес;
   — таблицу, только уже для юридических лиц;
   — чек-лист, для фиксации задач и планирования своих действий;
   — раздел для записи идей и каких-то важных моментов;
   — галерею, в которую сохраняем важные фото / видео;
   — раздел с результатами. В него добавляем всё то, что пойдёт в наш итоговый отчёт.
3. Иногда, например если ты специализируешься на какой-то определенной тематике, есть смысл вести свой личный список и одновременно классификатор источников. Например, это может быть подборка источников по которым ты будешь собирать, дополнять и проверять информацию. Дополнительно их можно делить по степени надёжности и доверия т.е. те которые заслуживают доверия, те которые лучше перепроверить и те которые могут быть полезны, но нужно очень тщательно перепроверять.

Изучение OSINT

С подготовительной частью закончили, теперь переходим к самому OSINT. На этом этапе, с учётом всех предыдущих пунктов, у тебя уже есть основа для изучения конкретных направлений. Потому пройдёмся по этим основным направлениям с которых стоит начинать, также разберем на что там обращать внимание.

Поисковые системы

А значит, это наш основной инструмент, который мы будем использовать везде и всегда. Соответственно на этом этапе мы изучаем:

• принципы работы Google т.е. как он индексирует информацию, как он обрабатывает запрос и как определяет что показывать в результатах;
• эффективные способы поиска, в основном это использование поисковых операторов и дополнительных инструментов поиска, в том числе расширенного поиска.

Есть отдельная статья про использование Google и дорков, там все эти вопросы раскрыты детально.

Кроме Google, по такому же принципу, нужно разобраться с использованием ya.ru и startpage.com. Для начала этого полностью достаточно.

В качестве отработки практических навыков использования поисковых систем, можно потренироваться искать информацию о конкретных людях, компаниях или событиях. Также стоит отработать навыки поиска какого-то конкретного вида информации, например новостей, фотографий, файлов, аккаунтов и т.д.

Наиболее удачные поисковые запросы и комбинации дорков, можно записывать, чтобы фиксировать то что даёт оптимальные результаты.

Сбор информации о людях

• сбор персональных данных. Ты можешь подготовить себе шаблонную табличку со списком тех данных которые будешь собирать по конкретному человеку. Так будет легче ориентировать чего ещё не хватает. Общий принцип здесь очень простой — чем больше тем лучше.
• поиск аккаунтов и контактов. Ищем телефоны, почты, никнеймы, социальные сети, и, при необходимости, профили на других ресурсах. По всем найденным данным тренируемся искать дополнительную информацию. Т.е., например, если нашли почту, то по ней пробуем искать дополнительные данные.
• поиск и анализ связей. По найденным профилям тренируемся искать и анализировать связи. Это могут быть как другие люди так и другие профили изучаемого человека. Все выявленные связи нужно дополнительно анализировать т.е. определять какое отношение друг к другу они имеют. Это могут быть как родственники, так и круг общения, в том числе деловые контакты.
• поиск по фото. Отрабатываем способы поиска информации о человеке по его фотографии. Это может быть поиск других его аккаунтов, поиск связанных людей, поиск упоминаний в публикациях или, как вариант, поиск мест где он бывает.
• характеризующая информация. Собрав всю выше перечисленную информацию, могут быть ситуации, когда нам ещё и придётся её проанализировать, чтобы составить профиль личности. Как правило это всё что даёт понимание о том что этот человек из себя представляет. Это могут быть его увлечения, интересы, данные об образе жизни и материальном положении, часто посещаемые места и информация об имуществе. Итоговый список того что нам необходимо зависит от конечной цели.

Бизнес разведка

• какие бывают данные о компании. Тут подразумевается, что нужно понимать какая информация присуща каждой компании — это всякие числовые идентификаторы, адреса регистрации, руководство и владельцы, продукция компании, филиалы и представительства;
• где искать данные. Изучая виды данных о компании, параллельно нужно разбираться где эти данные можно брать. Это могут быть реестры компаний тех стран по которым планируется работать, а также агрегаторы реестров, собирающие данные по большому количеству стран. Сюда же относятся реестры судебных решений, информация об участии в тендерах и закупках, реестры интеллектуальной собственности, информация о лицензиях и патентах. И обязательно вся отчётность компании, которую получится найти. Про сбор данных компании можно почитать в статье: «Бизнес разведка. Как узнать всё про компанию«.
• продукция. В большинстве случаев отдельного изучения требует то, что компания производит. Начиная от того кто, где и как это продаёт, заканчивая цепочками поставок как товара, так и сырья. Сюда же относится информация о контрагентах компании, потому как это почти всегда имеет значение.
• связи компании. Как сама компания так и её представители могут иметь отношение к другим компаниям или людям. Выявление таких связей это очень распространённая задача. А потому нужно отдельно потренироваться находить и фиксировать такие связи. О том как готовить схемы связей можно почитать в статье: «Схемы связей. Полный гайд по схемам связей для OSINT«.

Сайты

• технические данные. Нужно знать что такое и как посмотреть:
  • записи WHOIS, в том числе исторические;
  • DNS записи и их виды;
  • поддомены и как их искать;
  • рекламные идентификаторы;
  • опционально, но совсем не лишним будет разобраться с сертификатами и технологическим стеком сайта;
• веб архив. Это не только способ делать снимки сайтов, но и отличный инструмент для поиска удалённой информации. Потому обязательно нужно освоить способы работы с ним.
• парсинг данных сайтов. Сайты могут содержать до неприличного большие объёмы информации. Лопатить всё это руками не всегда хорошая идея. Во-первых долго, во-вторых легко можно что-то пропустить. Поэтому стоит сразу проработать способы сбора информации с сайтов. Наиболее часто это:
  — почты, телефоны, адреса, соцсети;
  — товары и информация о них;
  — справочная информация и публикации;
  — файлы. Они могут представлять интерес не только своим содержимым, но наличием метаданных. С которыми тоже, кстати, нужно научиться работать.

В сегодняшних реалиях, в большинстве случаев, очень неплохо помогает ИИ. Он вполне справляется со сбором данных с сайта, ещё и может это оформить в каком-то нужном виде.

Для изучения темы можно почитать статьи про работу с сайтами:

⨠Поиск владельца сайта. Websites OSINT
⨠Разведка сайтов. Поиск каталогов и файлов. Dirb, Dirhunt, DirBuster
⨠Метаданные. Metagoofil. Что и как можно найти на сайте?

Работа с медиа

Ещё одно актуальное направление — это умение работать с медиа файлами: фото / видео / звук. На сколько глубоко нужно погружаться в эту тему, зависит от того в каком направлении ты планируешь работать. Но, в любом случае, базовый набор навыков необходим:

• поиск первоисточника. Здесь подразумевается, что получив медиа файл ты сможешь найти не только где ещё он публиковался, но и выявить первоисточник его появления. Следующий уровень здесь, это умение отслеживать цепочки и хронологию распространения;
• метаданные. Нужно понимать какие бывают метаданные и как их извлечь и изучить;
• верификация. Будет очень не лишним если ты разберешься хотя бы с основами определения фейковых или смонтированных медиа.

Геолокация

Геолокация — это обособленное направление, требующее отдельного обучения и тренировки. Но любой, кто занимается OSINT, рано или поздно столкнётся с необходимостью что-то геолоцировать. А потому понимание процесса и хоть какие-то навыки необходимы:

• умение выявлять и идентифицировать отдельные ориентиры, с последующим сопоставлением их между собой для выдвижения гипотез;
• проверка своих гипотез, путем изучения карт и сопоставлением их с найденными ориентирами.

Отчётность в OSINT

Он должен иметь логичную структуру, должен быть соблюден хронометраж событий, нужно правильно передать причинно-следственные связи и оформить доказательства, сделав в итоге обоснованные выводы. Хороший отчёт — это когда любой посторонний человек, прочитав его, искренне поверит в те факты которые ты хотел до него донести.

План на который можно ориентироваться при изучении, ты только что прочитал. Ссылки на статьи где подробнее раскрыты некоторые темы я тоже оставил. Дальше всё зависит от тебя.

Твой Pulse.