Следы в сети. Как находить улики в открытых данных и не подставить себя
Следы в сети. Как находить улики в открытых данных и не подставить себя

Полная версия

Следы в сети. Как находить улики в открытых данных и не подставить себя

Настройки чтения
Размер шрифта
Высота строк
Поля
На страницу:
1 из 3

Адриан Нортвейл

Следы в сети. Как находить улики в открытых данных и не подставить себя

Введение

В какой-то момент интернет перестал быть местом, куда мы «заходим». Он стал местом, где мы живём кусками своей обычной жизни. Покупаем билеты, спорим с незнакомыми людьми, выкладываем фотографии, ищем работу, оставляем отзывы, платим налоги, читаем новости, ищем врача, поздравляем знакомых, забываем старые аккаунты и заводим новые. Всё это кажется разрозненными мелочами, пока кто-нибудь не собирает их в одну картину.

Вот тут и появляется OSINT. По-русски это обычно называют разведкой по открытым источникам. Звучит чуть официально, почти как табличка на двери ведомства. На практике всё проще и неприятнее: это умение смотреть на публичную информацию так, чтобы видеть в ней связи, ошибки, следы и последствия. Не взламывать. Не подбирать пароль. Не лезть туда, где дверь закрыта. А внимательно работать с тем, что уже лежит на виду.

Именно поэтому тема одновременно полезная и опасная. Полезная, потому что с её помощью можно защитить компанию, проверить подозрительное письмо, разобраться в утечке, понять, что о вас уже знают чужие люди. Опасная, потому что те же методы может использовать мошенник, шантажист, конкурент с грязными руками или просто человек, которому скучно и у которого нет тормозов.

Я пишу эту книгу не для того, чтобы сделать из читателя охотника за чужими секретами. Секреты, кстати, часто никто и не прячет. Их оставляют в подписи к фотографии, в старом резюме, в комментарии на форуме, в вакансии, в PDF-файле, в имени сервера, в привычке использовать один и тот же ник. Потом удивляются: «Откуда они узнали?» Из открытых источников. Из лени. Из повторяющихся мелочей.

У OSINT есть одна странная особенность. Снаружи он похож на поиск в интернете. Открыл поисковик, написал пару слов, пролистал результаты. На этом многие и заканчивают. Но настоящее исследование начинается дальше, когда появляется вопрос: зачем мне эта информация, можно ли ей верить, чем она подтверждается, что она меняет, где я могу ошибиться и кому наврежу, если сделаю поспешный вывод.

Информация сама по себе дёшева. Её слишком много. Ленты, статьи, реестры, карты, старые объявления, базы вакансий, профили, скриншоты, домены, публичные документы, архивы сайтов. Всё шумит. Всё кричит: «Я полезное». Но полезным оно становится только после отбора, проверки и нормального человеческого рассуждения. До этого это просто куча деталей на столе.

Представьте кухню после большого закупа. На столе мука, мясо, лук, специи, помидоры, сыр, рис, лимоны, пакет с чем-то зелёным, который вы уже не помните зачем купили. Это не ужин. Это набор возможностей. Можно приготовить нормальное блюдо, можно испортить продукты, можно перепутать соль с сахаром и гордо вынести на стол несъедобную катастрофу. С информацией то же самое. Сырые данные ещё ничего не доказывают.

В этой книге мы будем говорить о том, как из сырой публичной информации получается внятная картина. Не волшебная. Не абсолютная. Внятная. Такая, по которой можно принять решение или хотя бы перестать делать глупости.

Мне нравится мысль, что хороший OSINT-исследователь больше похож не на хакера из кино, а на занудного человека с блокнотом. Он не верит первому результату. Он записывает, откуда взял данные. Он хранит ссылки, время, скриншоты, контекст. Он не делает вывод по одному совпадению. Он умеет сказать: «Я не знаю». Это, между прочим, один из самых сильных навыков в расследовании. Гораздо сильнее, чем уверенно нести чепуху.

Мы начнём с основ. Что такое открытые источники. Чем информация отличается от разведданных. Почему пассивный сбор и активное взаимодействие нельзя путать. Где проходит граница между нормальным исследованием и поведением, за которое потом стыдно объясняться юристу. Потом перейдём к анонимности, инструментам, поисковым операторам, социальным сетям, метаданным, доменам, утечкам, картам, визуализации, отчётам и защите собственной цифровой тени.

Но сначала надо договориться о главном. OSINT не делает человека умнее автоматически. Инструменты не заменяют голову. Красивый граф связей в программе не превращает догадку в факт. Скриншот из соцсети не становится истиной только потому, что на нём стоит дата. Сервис проверки IP не объясняет мотивы человека. Поисковик не думает за вас. Он просто выдаёт то, что смог найти и посчитал подходящим.

Это звучит скучно, зато спасает от больших ошибок. В открытых источниках легко почувствовать себя слишком уверенно. Нашёл старый аккаунт, совпал ник, рядом похожая фотография, в комментариях тот же город. Рука уже тянется написать: «Мы установили личность». Нет, не установили. Вы нашли набор совпадений. Иногда этого достаточно для гипотезы. Иногда вообще ни для чего. Разница между этими двумя состояниями и есть профессиональная работа.

Отдельно придётся говорить об этике. Не в виде плаката на стене, где все честные, красивые и соблюдают правила. В реальной работе этика нужна не для красоты. Она нужна, чтобы не разрушить чужую жизнь плохим выводом, не подставить себя, не испортить расследование и не превратить защитную работу в охоту на людей. Когда вы собираете данные о человеке или организации, у вас в руках не игрушка.

Открытая информация не означает «можно делать что угодно». То, что человек сам когда-то выложил фотографию, не даёт вам права использовать её как попало. То, что документ индексируется поисковиком, не отменяет закон, договор, внутренние правила компании и обычную порядочность. Да, звучит занудно. Зато в этой занудности обычно и проходит граница между специалистом и неприятным типом с набором ссылок.

Эта книга будет практичной, но не будет инструкцией по причинению вреда. Мы будем разбирать методы так, чтобы их можно было использовать для защиты, анализа, проверки, обучения и законной исследовательской работы. Там, где приём легко превращается в злоупотребление, я буду об этом говорить прямо. Лучше немного притормозить на странице, чем потом объяснять, зачем вы полезли туда, куда не должны были.

Есть ещё одна вещь. OSINT часто представляют как набор сайтов: вот этот сервис для доменов, вот этот для карт, вот этот для соцсетей, вот здесь утечки, вот тут метаданные. Список полезен, спору нет. Но список стареет быстрее, чем чашка кофе остывает на столе. Сервисы закрываются, меняют правила, режут бесплатный доступ, ломают интерфейс, вводят ограничения. Если вы строите навык только на списке инструментов, через год будете грустно смотреть на половину неработающих ссылок.

Поэтому лучше учиться не кнопкам, а логике. Что я хочу узнать? Где это может проявиться? Кто мог оставить след? Какой источник ближе к первичным данным? Что можно проверить независимо? Как зафиксировать результат? Как не выдать себя раньше времени? Как не перепутать человека с однофамильцем? Как не принять старую информацию за свежую? Эти вопросы переживают любые сервисы.

Возможно, вы пришли к теме из кибербезопасности. Тогда OSINT быстро станет вашим обычным рабочим инструментом. Фишинговое письмо, подозрительный домен, странная инфраструктура, утечка учётных данных, новая группа вымогателей, следы в кодовом репозитории, вакансии конкурента, по которым видно технологический стек. Всё это требует умения собирать картину из открытых кусков.

Возможно, вы журналист, юрист, аналитик, предприниматель, студент или просто человек, которому надоело быть беспомощным в цифровом шуме. Вам тоже есть что взять. Проверка фактов, анализ публичной репутации, поиск первоисточника, понимание того, как данные о вас расползаются по сети. Это не экзотика. Это обычная грамотность в мире, где почти каждый шаг оставляет запись.

Я буду иногда говорить резко. Не ради эффекта. Просто некоторые ошибки в этой сфере настолько повторяются, что мягко про них уже не получается. Люди используют личный аккаунт для исследования подозрительных групп. Открывают вредные ссылки с рабочего компьютера. Скачивают документы и отправляют их коллегам без проверки. Публикуют выводы без подтверждения. Делают скриншот, но не сохраняют URL и время. Верят одному источнику, потому что он красиво оформлен. Потом удивляются.

Не надо так.

Лучше медленнее, но чище. Лучше меньше находок, но с нормальной проверкой. Лучше честный отчёт с ограничениями, чем эффектный доклад, где половина построена на догадках. Хороший OSINT не обязан быть театром. Чаще он похож на аккуратную работу в мастерской: проверить, зачистить, приложить, измерить, снова проверить.

В книге будет много простых примеров. Фишинговое письмо. Утечка. Публичный профиль. Домен. Файл с метаданными. Вакансия, которая рассказывает больше, чем отдел безопасности хотел бы признать. Фотография, где на заднем плане видно лишнее. Карта, которая помогает подтвердить место. Старый ник, который тянется за человеком через годы. Эти примеры нужны не для драматизма, а для привычки смотреть на детали.

Если после чтения вы начнёте осторожнее относиться к собственным публикациям, это уже хороший результат. Если вы научитесь проверять информацию перед выводами, ещё лучше. Если сможете объяснить коллеге, почему нельзя проводить исследование с личного профиля и рабочего ноутбука, совсем хорошо. А если в вашей компании после этого перестанут выкладывать лишнее в открытый доступ, я буду считать, что мы не зря разговаривали.

Теперь можно переходить к первой части. Начнём с самого простого вопроса, который на деле быстро перестаёт быть простым: что именно мы называем открытой разведкой и почему «лежит в интернете» не равно «понятно, достоверно и безопасно».

Глава 1. Секреты, которые никто не прятал

Открытая разведка начинается с неприятного признания: почти всё, что нужно для первого понимания цели, часто уже где-то опубликовано. Не в секретной базе, не за бронированной дверью, не на флешке у человека в капюшоне. В обычных местах. На сайте компании. В старых пресс-релизах. В профилях сотрудников. В вакансиях. В доменных записях. В презентациях, которые кто-то загрузил на конференционный сайт и забыл. В фотографиях с корпоративного праздника, где на заднем плане видна доска с планом релиза.

Иногда это звучит как паранойя. На практике это рутина. Люди оставляют следы не потому, что они глупые. Просто они заняты. Им надо быстро отправить резюме, выложить новость, нанять администратора, похвастаться проектом, показать красивую стойку с оборудованием, поделиться скриншотом. Каждый отдельный след кажется безобидным. Проблема начинается, когда следы складываются.

OSINT как раз и занимается этим складыванием. Но не всякое складывание полезно. Если вы просто набросали в документ двадцать ссылок, это ещё не исследование. Это куча ссылок. Исследование появляется там, где есть вопрос, метод, проверка и вывод с оговорками.

Вопрос задаёт направление. Без него вы будете бродить по сети до вечера и в конце гордо принесёте мешок случайных находок. Вроде много, а применить нечего. Хороший вопрос звучит конкретно: кто управляет этим доменом, связан ли этот адрес с компанией, когда впервые появился подозрительный файл, какие публичные признаки указывают на фишинговую инфраструктуру, какие данные о сотрудниках доступны извне, можно ли подтвердить место съёмки фотографии.

Метод нужен, чтобы не прыгать хаотично. Сначала одно, потом другое, потом проверка, потом фиксация. Например, при подозрительном письме вы не начинаете с бурного поиска имени отправителя в соцсетях. Сначала смотрите заголовки письма, домен, ссылки, вложения, время, цепочку доставки, репутацию инфраструктуры. Потом уже переходите к внешним источникам. И всё время держите в голове: одно совпадение не делает историю доказанной.

Проверка нужна потому, что открытые источники врут. Иногда намеренно, иногда случайно, иногда по старости. Старый кэш, переехавший сайт, чужая фотография, однофамилец, автоматическая страница, ошибочная база, новостная заметка без первоисточника. В интернете не существует таблички «это правда». Её придётся собирать самому, по кускам.

Вывод с оговорками нужен из уважения к реальности. В нормальном отчёте есть не только «мы нашли», но и «мы не смогли подтвердить», «вероятно», «требует дополнительной проверки», «источник вторичный», «данные устарели». Это не слабость. Это честность. Слабость как раз в том, чтобы притвориться всезнающим.

Давайте разберёмся с базовой разницей между информацией и разведданными. Информация: в профиле сотрудника написано, что он работает системным администратором и любит выкладывать фотографии рабочего места. Разведданные: по нескольким его публикациям, вакансиям компании и техническим следам можно предположить, какие системы используются, где есть риск раскрытия деталей, какие темы стоит включить в обучение персонала и какие публичные материалы лучше убрать или обезличить.

Информация лежит. Разведданные работают.

Сырая информация может быть яркой, но бесполезной. Например, вы нашли фотографию серверной. Видно стойку, кабели, наклейку на оборудовании. Красиво. Можно ли из этого сделать вывод о безопасности организации? Нет. Можно ли отметить риск раскрытия инфраструктурных деталей? Да. Можно ли проверить, не повторяется ли это в других публикациях? Да. Можно ли предложить правило для внешних фотографий? Да. Вот так находка превращается в полезный результат.

У OSINT есть цикл. Сначала постановка задачи. Потом сбор. Потом очистка и отбор. Потом анализ. Потом представление результата тем, кто принимает решение. После этого появляются новые вопросы, и круг начинается снова. Ничего мистического. Просто дисциплина.

Сбор без задачи превращается в коллекционирование. Очистка без понимания цели превращается в механическое удаление всего, что кажется лишним. Анализ без проверки превращается в гадание. Отчёт без нормального языка превращается в документ, который никто не дочитает. А если отчёт никто не понял, считайте, что вы почти зря работали.

Теперь о пассивном и активном сборе. Это место, где многие спотыкаются. Пассивный OSINT похож на наблюдение издалека. Вы изучаете то, что доступно публично, не вступая во взаимодействие с объектом исследования. Не пишете человеку. Не добавляетесь в друзья. Не подписываетесь с подозрительного аккаунта, если это может быть замечено и изменить поведение цели. Не нажимаете кнопки, которые отправляют уведомления. Не оставляете цифровых следов там, где можно обойтись без этого.

Активный OSINT начинается, когда вы взаимодействуете. Заходите в закрытое сообщество. Пишите сообщение. Оставляете комментарий. Создаёте аккаунт, который должен казаться настоящим. Отправляете запрос. Проверяете форму на сайте так, что владелец может увидеть вашу активность. Иногда это законно и нужно. Иногда это рискованно. Иногда это уже не OSINT в чистом виде, а отдельная операция, где нужны разрешения, правила и запись каждого шага.

Разница не академическая. Если вы расследуете фишинг и просто проверяете репутацию домена, это одно. Если вы переходите по ссылке из письма, вводите что-то в форму или провоцируете отправителя на ответ, это другое. Во втором случае вы можете выдать интерес к объекту, заразить систему, нарушить внутренний регламент или испортить доказательную ценность материала.

Поэтому перед активными действиями нужен простой вопрос: кто разрешил, зачем мы это делаем, как фиксируем результат, какие риски, как остановимся, если что-то пойдёт не так. Если ответов нет, не надо изображать смелость. Смелость в этой работе часто выглядит как пауза.

В цифровую эпоху OSINT важен не потому, что модный. Он важен потому, что публичных данных стало слишком много, а злоумышленники давно научились ими пользоваться. Они читают вакансии, чтобы понять технологии компании. Смотрят LinkedIn, чтобы выбрать сотрудников для фишинга. Изучают пресс-релизы, чтобы попасть в повестку. Проверяют домены, сертификаты, старые поддомены, утёкшие адреса, забытые тестовые страницы. Они не всегда начинают с взлома. Часто они начинают с чтения.

Защитникам приходится делать то же самое раньше них. Не для любопытства, а чтобы убрать лишнее и подготовиться. Если внешний мир уже видит, что ваша компания ищет администратора с опытом конкретной системы, публикует скриншоты панели, держит старый поддомен и использует предсказуемый формат почты, лучше узнать это самим. До того, как узнает человек с плохими намерениями.

Бизнес тоже использует открытые источники. Анализ рынка, конкурентов, отзывов, судебных документов, патентов, изменений в руководстве, активности поставщиков. Журналисты используют их для проверки фактов. Юристы для подготовки материалов. Исследователи для изучения общественных процессов. Некоммерческие организации для мониторинга кризисов. Обычный человек для проверки сомнительного предложения о работе или странного продавца.

Но чем шире применение, тем выше риск грязной работы. OSINT легко превратить в оправдание любопытства. «Я же просто смотрю открытые данные». Нет. Вопрос не только в том, откуда данные. Вопрос в том, что вы с ними делаете, зачем, кому показываете и какие последствия создаёте.

Представим простую ситуацию. Сотрудник получил письмо якобы от отдела кадров. В письме ссылка на форму обновления данных. Тон нормальный, логотип похож, подпись аккуратная. Раньше в такой момент многие просто нажимали. Теперь мы разбираем.

Сначала смотрим адрес отправителя. Не только имя, которое красиво отображается в почтовом клиенте, а настоящий адрес. Потом домен. Похож ли он на корпоративный или заменена одна буква? Когда зарегистрирован? Какие записи DNS? Есть ли у домена история? Куда ведёт ссылка? Совпадает ли текст ссылки с фактическим адресом? Что показывают сервисы репутации? Есть ли похожие письма у других сотрудников? Публиковалась ли информация о новой HR-системе, которой прикрываются мошенники?

Ни один пункт сам по себе может не дать ответа. Вместе они дают картину. Если домен зарегистрирован вчера, имитирует название компании, форма собирает пароль, а письмо пришло нескольким людям из отдела финансов, вывод становится понятнее. Но даже тогда нормальный специалист не пишет «атакующий установлен». Он пишет, что обнаружены признаки фишинговой кампании, указывает индикаторы, сохраняет артефакты, предлагает блокировки, уведомление пользователей и дальнейшую проверку.

Теперь другая ситуация: утечка данных. В сети появляется фрагмент базы. Кто-то выкладывает несколько строк и громко заявляет, что получил доступ к крупной организации. Плохая реакция: паника, репосты, обвинения, срочные заявления без проверки. Нормальная реакция скучнее. Сохранить образец так, чтобы не распространять лишние персональные данные. Проверить структуру. Понять, похожи ли записи на реальные внутренние форматы. Найти, где впервые появился фрагмент. Проверить, не старые ли это данные из другой утечки. Сопоставить с известными инцидентами. Подключить юридическую и техническую команды.

OSINT здесь помогает не потому, что раскрывает всё, а потому, что снижает туман. Он показывает, где искать дальше, какие гипотезы отбросить, какие признаки зафиксировать, кому передать материал. В хороших руках это не шумный прожектор, а фонарь с нормальной батарейкой. Светит не на весь мир, зато туда, куда надо.

Отдельная тема: источники. В OSINT их много, и каждый ведёт себя по-своему. Поисковики хороши для широкого входа, но они показывают не весь интернет и не всегда свежую версию. Социальные сети дают живой контекст, но полны позы, эмоций и чужих ролей. Публичные реестры могут быть точными, но сложными и неполными. Новости дают направление, но любят вторичность. Архивы сайтов помогают увидеть прошлое, но не всегда сохраняют всё. Метаданные файлов дают ценные детали, но могут быть удалены или подделаны.

Поэтому нормальная работа почти всегда опирается на несколько типов источников. Один нашёл, второй подтвердил, третий уточнил дату, четвёртый показал исключение. Когда два независимых источника говорят одно и то же, это лучше, чем один красивый сайт. Когда первичный документ противоречит пересказу в блоге, верить надо документу, а блог оставить как подсказку.

Инструменты полезны. Очень. Есть каталоги OSINT-ресурсов, поисковые операторы, сервисы для доменов, платформы для графов связей, анализаторы метаданных, карты, архивы, специализированные поисковики по коду, изображениям, патентам, научным публикациям. Но инструмент не знает вашей задачи. Он может выдать результат, который выглядит убедительно и всё равно не имеет отношения к делу.

Я видел отчёты, где человек вставлял скриншоты из десяти сервисов проверки домена, но не отвечал на главный вопрос: что это меняет для защиты? Да, домен связан с IP. Да, есть сертификат. Да, сервис показал низкую репутацию. И что дальше? Блокируем? Наблюдаем? Передаём в SOC? Связываем с письмом? Проверяем похожие домены? Если ответа нет, отчёт превращается в коллекцию открыток.

Хороший результат должен быть пригоден для действия. Не обязательно для немедленной атаки или блокировки. Иногда действие простое: убрать лишний документ с сайта, обновить инструкцию для сотрудников, закрыть старый поддомен, поправить шаблон вакансии, изменить правила публикации фотографий, провести проверку почтовых доменов, собрать дополнительные данные. Но действие должно быть видно.

Для этого надо вести записи. Не в стиле «где-то видел». А нормально. URL, дата и время доступа, краткое описание, скриншот, хэш файла при необходимости, кто собирал, какой инструмент использовался, какие настройки. Это кажется лишней бюрократией ровно до момента, когда источник исчезает или вам задают вопрос: «Откуда это взялось?» Если ответ «ну я вчера в браузере открывал» вас самого не устраивает, значит, надо фиксировать лучше.

Есть ещё одна ошибка: забывать о собственной безопасности. Исследователь тоже оставляет следы. IP-адрес, браузерный отпечаток, cookies, аккаунты, история переходов, загрузки файлов, DNS-запросы. Если вы изучаете обычную публичную страницу, это может быть не критично. Если вы работаете с подозрительной инфраструктурой, криминальными форумами, фишинговыми сайтами или чувствительными темами, ваша небрежность может выдать вас, организацию или клиента.

Пассивный сбор не означает невидимость. Сайт может записать ваш визит. Сервис может связать запросы. Социальная сеть может показать, что вы смотрели профиль. Браузер может отправить слишком много характеристик. Документ может попытаться загрузить внешний ресурс. Поэтому рабочая среда для OSINT должна быть отделена от личной жизни и обычной корпоративной работы. Отдельные устройства или виртуальные машины, отдельные аккаунты, контролируемые сети, понятные правила загрузки и открытия файлов. Звучит хлопотно. Зато меньше шансов потом бегать по комнате.

И тут мы подходим к цифровому следу. У каждого он есть. У компании тоже. Иногда люди думают, что след состоит из того, что они сами публикуют. На деле он шире. Вас упоминают другие. Сервисы сохраняют старые версии. Реестры обновляются с задержкой. Фотографии попадают в чужие альбомы. Документы расходятся по почте и потом всплывают на сайтах. Вакансии копируются агрегаторами. Старые домены остаются в базах. Удалить всё невозможно. Но можно понять, что видно, и снизить лишний риск.

Для личной безопасности полезно время от времени искать себя. Не из тщеславия. Из санитарных соображений. Имя, старые ники, почта, телефон, изображения, документы, упоминания в реестрах, утечки. Потом задаёте скучные вопросы: что можно удалить, что закрыть, где включить двухфакторную защиту, где сменить пароль, где попросить исправить данные, какие публикации раскрывают больше, чем нужно. Это не паранойя. Это уборка.

Для компании такая уборка должна быть регулярной. Внешняя поверхность меняется постоянно. Сегодня маркетинг выложил презентацию. Завтра HR опубликовал вакансию. Послезавтра инженер ответил на форуме и случайно назвал внутренний инструмент. Через неделю подрядчик поднял тестовый сайт. Никто не хотел зла. Но злоумышленнику всё равно, хотели вы или нет. Он просто читает.

Пока мы говорим об основах, стоит отдельно сказать о языке выводов. В OSINT нельзя путать «возможно», «вероятно», «подтверждено» и «доказано». Эти слова не украшения. Они задают уровень уверенности. Если вы нашли одно совпадение ника, пишите «возможно связан». Если есть несколько независимых подтверждений, можно повышать уверенность. Если есть первичный источник, фиксируйте его. Если источник сомнительный, так и пишите. Не надо натягивать уверенность ради красивого отчёта.

Люди любят уверенных докладчиков. Реальность любит аккуратных.

Теперь о любимой ловушке новичков: слишком широкий поиск. Человек садится «посмотреть компанию» и через два часа знает всё подряд: адрес офиса, фамилии руководителей, новости за пять лет, пару доменов, отзывы сотрудников, фотографии с конференций, какой-то старый PDF, три страницы вакансий. Голова гудит, структура отсутствует. Вроде много нашёл. А если спросить, какая задача решалась, наступает тишина.

На страницу:
1 из 3