Как изучать OSINT
Навигация
- Анонимность и безопасность
- Методология OSINT
- Поисковые системы
- Сбор информации о людях
- Бизнес разведка
- Сайты
- Работа с медиа
- Геолокация
- Отчётность в OSINT
Раздел «Как изучать OSINT» — это конспект основных тем, которые необходимо изучить, чтобы начать эффективно применять OSINT на практике. Так сказать, базовый (а может и не сильно базовый) минимум знаний практикующего осинтера. Если ты заинтересовался темой поиска и анализа информации, то этот раздел можно использовать для планирования изучения и систематизации уже изученного
Этот раздел есть в виде шаблона для Notion: Чек-лист «Программа изучения OSINT»
Более подробно и детально, тема изучения OSINT рассмотрена в статье: Как изучать OSINT. Пошаговый план для новичков
Анонимность и безопасность
В вопросах анонимности важен баланс между комфортом и безопасностью. При этом важно понимать, что в подавляющем большинстве ситуаций, наша задача просто не спалится, как самим так в том что мы интересуемся какой-то темой.
Темы для изучения:
- vpn и proxy
- сеть TOR
- способы блокировок и как с ними бороться
Статьи по теме:
Юридическая составляющая
Если ты планируешь, свои материалы кому-то показывать или где-то публиковать, то нужно иметь понимание юридической составляющей OSINT.
Темы для изучения:
- разобраться что такое персональные данные и конфиденциальная информация
- выяснить какая есть ответственность за их распространение в той юрисдикции где ты находишь и в той где твои материалы могут оказаться
- разработать для себя «политику публикаций» т.е. свод данных которые ты не передаешь и не публикуешь никогда *опционально
Статьи по теме:
Рабочее место
Подготовка рабочего пространства совмещает в себе как элементы безопасности, так и удобства. Общее правило тут: не смешивать личное и рабочее. Ещё одно правило: делай так чтобы тебе было комфортно и удобно.
Темы для изучения:
Виртуальные машины
Это очень важная тема, с которой нужно разобраться обязательно. Использование виртуалок позволяет разделить рабочие пространства под разные цели и задачи. Т.е. можно создать разные профили, личности, учётные записи и быть уверенным, что они случайно не пересекутся, при этом ещё и можно использовать разные VPN и/или proxy для каждой. Также можно хранить какую-то информацию на разных виртуалках, для удобства организации или для безопасности, предварительно зашифровав виртуальный диск. Кроме того виртуалку можно использовать в качестве песочницы, открывая там подозрительные файлы или ссылки.
Заметки осинтера
- Инструменты. С самого первого дня начинай создавать свою личную подборку инструментов. У всех свои методы, задачи и предпочтения. Потому не нужно рассчитывать на чужие подборки, их используй только как источник новых инструментов. А когда сам протестировал инструмент и понял, что он для тебя актуален — сохраняй в свою подборку. Для удобства можешь сделать себе в подборке, раздел со списком новых инструментов, которые нужно протестировать и добавляй туда то что заинтересовало, но ещё не проверил на практике
- Методы. При переходе к практической части советую, особенно на начальных этапах, записывать не только инструменты, но и какие именно действия дали нужный результат. Т.е. ты как-бы логируешь свои действия. Это очень помогает повторять изученное, что бы не перечитывать всякие мануалы, а просто просмотреть свои заметки. Этого достаточно чтобы освежить в памяти рабочие техники
- Архив расследований. Иногда может понадобится вернутся к прошлым материалам. Потому очень правильно с самого начала продумать и организовать хранение своих работ. Оптимальный вариант хранить не только финальные отчёты, но и данные собранные в процессе расследования
Аккаунты и профили
Они для рабочих задач нужны отдельные. Это касается как профилей браузера, так и акаунтов в социальных сетях и месенджерах. Тут запоминаем, просто на уровне аксиомы — для работы всегда используем фейковые аккаунты. Также нужно завести себе отдельный номер телефона и электронную почту, которую ты будешь использовать для регистраций.
*опционально — можно сделать отдельную учетную запись операционной системы только для рабочих задач. Идея рабочая, но на любителя, лично мне так не удобно, я предпочитаю виртуалки.
Хранение бэкапов
Бэкапы это элемент, о котором нельзя забывать и который касается всего что ты планируешь хранить. Будет очень обидно потерять собранную информацию, потому лучше сразу продумать как дублировать и где хранить резервную копию, на случай непредвиденных обстоятельств. Не самой плохой идеей будет иметь несколько бэкапов
Хранение данных аккаунтов
Помимо соцсетей, со временем, у тебя накопится большое количество сервисов где ты зарегистрировался. Потому хорошей идеей будет заранее продумать, как ты будешь хранить свои логины, пароли и другую информацию по ним. Делать это в заметках, в том же Notion например, это не самая лучшая идея. Оптимальный вариант это завести менеджер паролей, по типу KeePassXC
Статьи по теме:
Методология OSINT
Старая, всем известная, поговорка гласит: «Теория без практики мертва, практика без теории слепа». В нашем случае это означает, что необходим некоторый баланс знаний и навыков. Никто не любит вникать в теорию, но, если ты хочешь быть эффективным, подучить матчасть всё-таки придется, не обязательно врываться прям сразу во все направления, можно, и даже правильнее, в процессе дополнять знаниями те направления в которых есть пробелы.
Темы для изучения:
Декомпозиция задачи
Простыми словами это дробление конечной цели на подзадачи. Это важный элемент организации работы и самоконтроля. Методов существует много, но я советую обратить внимание на метод 5W1H. Он мне кажется оптимальным для применения в OSINT
Хранение собранной информации
После того как ты определился, как ты будешь фиксировать доказательства, нужно ещё продумать где и как ты будешь всё это хранить. Неплохой вариант если у тебя будет какой-то единый, или хотя-бы похожий, подход к хранению найденной информации. Например это может выглядеть так: для каждого нового расследования создаём в Notion отдельную страницу. И туда добавляем:
- страницу заметок, туда, просто в кучу, скидываем всю найденную информацию;
- таблицу, в которую фиксируем всех найденных людей, представляющих интерес;
- таблицу, только уже для юридических лиц;
- чек-лист, для фиксации задач и планирования своих действий;
- раздел для записи идей и каких-то важных моментов;
- галерею, в которую сохраняем важные фото / видео;
- раздел с результатами. В него добавляем всё то, что пойдёт в наш итоговый отчёт.
Доказательства в OSINT
Сама суть OSINT базируется на трёх направлениях: подтверждение, опровержение и фиксация. Обобщённо, суть этого процесса подразумевает получение доказательств. Для глубокого изучения подойдёт любой учебник по уголовному процессу. Там находишь и читаешь:
- что такое и какие бывают доказательства, способы фиксации доказательств;
- что такое причинно-следственные связи;
- построение версий, выдвижение гипотез и способы проверки всего этого.
Опционально, можешь ещё про матрицу вероятностей почитать, в разрезе оценки рисков. Будет не лишним.
Классификатор источников
Иногда, например если ты специализируешься на какой-то определенной тематике, есть смысл вести свой личный список и одновременно классификатор источников. Например, это может быть подборка источников по которым ты будешь собирать, дополнять и проверять информацию. Дополнительно их можно делить по степени надёжности и доверия т.е. те которые заслуживают доверия, те которые лучше перепроверить и те которые могут быть полезны, но нужно очень тщательно перепроверять
Шаблон для фиксации доказательств
Пока ты учишься и пока у тебя на уровне рефлексов не выработается свой личный алгоритм действий по фиксации доказательств, есть смысл разработать себе чек-лист как сохранять те или иные доказательства.
Пример: ты нашел страницу на которой есть нужная информация.
Алгоритм действий: сохраняем нужные данные в заметки — там же оставляем ссылку на источник — эту ссылку сохраняем в веб архив (на него ссылку тоже записываем) — далее делаем скриншот найденной страницы, так чтобы был виден адрес (можно выгрузить всю страницу если информации много).
Опционально: записываем способ каким была найдена страница. Иногда бываю ситуации когда нужно зафиксировать не только результат, но и процесс его получения. В такой ситуации можно просто сделать запись экрана или использовать софт, логирующий действия пользователя. В любом случае, это должно выглядеть так что бы другой человек мог повторить
Статьи по теме:
Поисковые системы
При изучение самого процесса поиска информации, самое первое с чем нужно разобраться, это использование поисковых систем. В первую очередь это конечно же google.com. Фишка в том, что он, практически в любом кейсе закрывает процентов 80 всех задач. А значит, это наш основной инструмент, который мы будем использовать везде и всегда.
Темы для изучения:
- принципы работы Google т.е. как он индексирует информацию, как он обрабатывает запрос и как определяет что показывать в результатах;
- эффективные способы поиска, в основном это использование поисковых операторов и дополнительных инструментов поиска, в том числе расширенного поиска;
- по такому же принципу, нужно разобраться с использованием ya.ru и startpage.com
В качестве отработки практических навыков использования поисковых систем, можно потренироваться искать информацию о конкретных людях, компаниях или событиях. Также стоит отработать навыки поиска какого-то конкретного вида информации, например новостей, фотографий, файлов, аккаунтов и т.д.
Статьи по теме:
Сбор информации о людях
Одна из самых распространённых задач в OSINT это сбор информации о человеке. Это ещё и отличная тема для перехода от теории к практике.
Темы для изучения:
Сбор персональных данных
Ты можешь подготовить себе шаблонную табличку со списком тех данных которые будешь собирать по конкретному человеку. Так будет легче ориентировать чего ещё не хватает. Общий принцип здесь очень простой — чем больше тем лучше.
Поиск по фото
Отрабатываем способы поиска информации о человеке по его фотографии. Это может быть поиск других его аккаунтов, поиск связанных людей, поиск упоминаний в публикациях или, как вариант, поиск мест где он бывает
Поиск аккаунтов и контактов
Ищем телефоны, почты, никнеймы, социальные сети, и, при необходимости, профили на других ресурсах. По всем найденным данным тренируемся искать дополнительную информацию. Т.е., например, если нашли почту, то по ней пробуем искать дополнительные данные
Характеризующая информация
Собрав всю выше перечисленную информацию, могут быть ситуации, когда нам ещё и придётся её проанализировать, чтобы составить профиль личности. Как правило это всё что даёт понимание о том что этот человек из себя представляет. Это могут быть его увлечения, интересы, данные об образе жизни и материальном положении, часто посещаемые места и информация об имуществе. Итоговый список того что нам необходимо зависит от конечной цели.
Поиск и анализ связей
По найденным профилям тренируемся искать и анализировать связи. Это могут быть как другие люди так и другие профили изучаемого человека. Все выявленные связи нужно дополнительно анализировать т.е. определять какое отношение друг к другу они имеют. Это могут быть как родственники, так и круг общения, в том числе деловые контакты
Статьи по теме:
Бизнес разведка
Не менее актуальное направление в OSINT это бизнес разведка. Т.е. сбор и изучение информации о компании и обо всём что с ней связано или имеет отношение. Это очень объёмное направление, с почти бесконечным количеством вариантов действий.
Темы для изучения:
Виды данных о компании
Подразумевается, что нужно понимать какая информация присуща каждой компании — это всякие числовые идентификаторы, адреса регистрации, руководство и владельцы, продукция компании, филиалы и представительства
Связи компании
Как сама компания так и её представители могут иметь отношение к другим компаниям или людям. Выявление таких связей это очень распространённая задача. А потому нужно отдельно потренироваться находить и фиксировать такие связи
Где искать данные
Изучая виды данных о компании, параллельно нужно разбираться где эти данные можно брать. Это могут быть реестры компаний тех стран по которым планируется работать, а также агрегаторы реестров, собирающие данные по большому количеству стран. Сюда же относятся реестры судебных решений, информация об участии в тендерах и закупках, реестры интеллектуальной собственности, информация о лицензиях и патентах. И обязательно вся отчётность компании, которую получится найти
Продукция
В большинстве случаев отдельного изучения требует то, что компания производит. Начиная от того кто, где и как это продаёт, заканчивая цепочками поставок как товара, так и сырья. Сюда же относится информация о контрагентах компании, потому как это почти всегда имеет значение
Статьи по теме:
Сайты
Следующая тема, в которой стоит разобраться, это изучение сайтов. Это то с чем так или иначе придется пересекаться постоянно. Можно, а иногда достаточно, просто руками потыкать по самому сайту. Но это не всегда даёт результат. Поэтому нужно, хотя бы что-то понимать про основные технологии, которые могут дать полезную информацию и про основные способы получения информации с самих сайтов.
Темы для изучения:
Технические данные
Нужно знать что такое и как посмотреть:
— записи WHOIS, в том числе исторические;
— DNS записи и их виды;
— поддомены и как их искать;
— рекламные идентификаторы;
— разобраться с сертификатами и технологическим стеком сайта *опционально
Веб архив
Это не только способ делать снимки сайтов, но отличный инструмент для поиска удалённой информации. Потому обязательно нужно освоить способы работы с ним
Парсинг данных сайтов
Сайты могут содержать до неприличного большие объёмы информации. Лопатить всё это руками не всегда хорошая идея. Во-первых долго, во-вторых легко можно что-то пропустить. Поэтому стоит сразу проработать способы сбора с сайтов информации. Наиболее часто это:
— почты, телефоны, адреса, соцсети;
— товары и информация о них;
справочная информация и публикации;
— файлы. Они могут представлять интерес не только своим содержимым, но наличием метаданных. С которыми тоже, кстати, нужно научиться работать
Статьи по теме:
- Поиск владельца сайта. Websites OSINT
- Метаданные. Metagoofil. Что и как можно найти на сайте
- Разведка сайтов. Поиск каталогов и файлов. Dirb, Dirhunt, DirBuster
- Как искать и анализировать документы. Document OSINT
Работа с медиа
Ещё одно актуальное направление — это умение работать с медиа файлами: фото / видео / звук. На сколько глубоко нужно погружаться в эту тему, зависит от того в каком направлении ты планируешь работать.
Темы для изучения:
Поиск первоисточника
Здесь подразумевается, что получив медиа файл ты сможешь найти не только где ещё он публиковался, но и выявить первоисточник его появления. Следующий уровень здесь, это умение отслеживать цепочки и хронологию распространения
Метаданные
Нужно понимать какие бывают метаданные и как их извлечь и изучить
Верификация
Будет очень не лишним если ты разберешься хотя бы с основами определения фейковых или смонтированных медиа
Статьи по теме:
Геолокация
Геолокация — это обособленное направление, требующее отдельного обучения и тренировки. Но любой, кто занимается OSINT, рано или поздно столкнётся с необходимостью что-то геолоцировать. А потому понимание процесса и хоть какие-то навыки необходимы.
Темы для изучения:
Работа с ориентирами
Умение выявлять и идентифицировать отдельные ориентиры, с последующим сопоставлением их между собой для выдвижения гипотез
Проверка гипотез
Проверка своих гипотез, путем изучения карт и сопоставлением их с найденными ориентирами
Статьи по теме:
- Геолокация. Полный гайд по GEOINT для начинающих. Часть 1
- OSINT по картам. Основные инструменты
- Искусственный интеллект против поисковых систем. Геолокация местности по фото
Отчётность в OSINT
Ситуативный навык, который станет обязательным и одним из самых главных, если ты планируешь коммерческое использование своих навыков в OSINT. Правильно подготовит отчёт о расследовании это навык, которому придётся учится. Отчёт это не просто набор фактов и доказательств. Он должен иметь логичную структуру, должен быть соблюден хронометраж событий, нужно правильно передать причинно-следственные связи и оформить доказательства, сделав в итоге обоснованные выводы. Хороший отчёт — это когда любой посторонний человек, прочитав его, искренне поверит в те факты которые ты хотел до него донести.