Следы в сети. Как находить улики в открытых данных и не подставить себя
Следы в сети. Как находить улики в открытых данных и не подставить себя

Полная версия

Следы в сети. Как находить улики в открытых данных и не подставить себя

Настройки чтения
Размер шрифта
Высота строк
Поля
На страницу:
3 из 3

Если используете отдельный телефон, он должен жить отдельной жизнью. Без личной почты. Без семейных чатов. Без автозагрузки фото в облако. Без геолокации, если она не нужна. Без привычной домашней Wi-Fi сети, если задача требует отделения. После завершения работы данные архивируются по правилам или устройство очищается. Не потому что все вокруг преступники и шпионы. А потому что профессиональная работа должна быть проверяемой. Сегодня кажется, что ничего особенного. Через полгода понадобится доказать, кто имел доступ к материалам и что с ними делали.

Еще один слабый участок - язык. Человек может спрятать адрес, браузер и устройство, но выдать себя фразой. У каждого есть любимые слова, длина предложений, привычные ошибки, манера шутить, способ ставить точки. Если настоящая личность и персона пишут одинаково, связь можно найти. Не всегда, не мгновенно, но можно. Поэтому активная персона должна говорить так, как положено ее биографии. Не надо изображать другого человека слишком театрально. Достаточно убрать свои узнаваемые обороты и не переносить личные привычки в рабочий аккаунт.

То же касается времени активности. Если персона якобы живет в другой стране, но всегда появляется ровно в ваш обед и после вашей работы, это странно. Если она пишет только с понедельника по пятницу с 10 до 18 по вашему часовому поясу, это тоже след. Если она интересуется теми же редкими темами, что и вы, подписана на тех же людей и допускает те же орфографические ошибки, никакой VPN не поможет. Техника закрывает часть двери. Поведение открывает окно.

Многие недооценивают социальную инженерию против самого расследователя. Мы привыкли думать, что это мы собираем информацию. Но объект тоже может оказаться не дураком. Он может проверить новый профиль, задать вопрос, отправить ссылку, предложить файл, попросить перейти в другой мессенджер, выяснить деталь, на которой персона посыплется. В этот момент начинается не кино, а скучная проверка готовности. Есть ли у персоны история. Есть ли ответы на простые вопросы. Есть ли отдельная среда для открытия файлов. Есть ли правило не скачивать вложения на личный компьютер.

Файлы от неизвестных людей лучше считать грязными, пока не доказано обратное. Даже картинка может быть приманкой, документ - носителем макросов, архив - набором сюрпризов. Открывать всё это в основной системе нельзя. Нужна песочница, виртуальная машина, отключенные общие папки, аккуратные настройки. И еще нужен характер, чтобы не нажать «открыть» просто потому, что очень любопытно. В OSINT любопытство кормит работу, но оно же ломает безопасность, если не держать его за воротник.

Публичный Wi-Fi часто воспринимают как удобный способ раствориться в толпе. Кафе, аэропорт, гостиница - вроде бы кто там вас найдет. Но публичная сеть сама по себе может быть опасной. Трафик перехватывают, точки подделывают, названия копируют. Можно прийти за анонимностью и уйти с украденными учетными данными. Если уж используется такая сеть, нужен надежный защищенный канал, минимум личных входов и понимание, что место тоже оставляет след: камеры, чеки, время, маршруты. Иногда мобильный интернет через отдельную SIM-карту безопаснее, чем романтичная работа из кафе под шум кофемашины.

Есть еще вопрос хранения. Собранные материалы нельзя держать как попало. Скриншоты, ссылки, заметки, выгрузки, списки аккаунтов, технические индикаторы - всё это должно быть организовано. Иначе через неделю вы сами не поймете, что нашли, когда нашли, откуда взяли и можно ли этому верить. В хорошем деле запись так же важна, как находка. Время доступа, URL, контекст, снимок страницы, короткая пометка, почему источник важен. Без этого отчет превращается в набор красивых утверждений, которые трудно проверить.

При этом хранение не должно раскрывать лишнее. Названия файлов вроде «Иванов_мошенник_точно_нашел.docx» лучше не использовать. Папки с именами клиентов на рабочем столе - тоже плохая привычка. Если устройство попадет не в те руки, структура папок расскажет больше, чем вы планировали. Нормальные кодовые названия, шифрование, разграничение доступа, резервные копии, журнал действий - скучный набор. Зато он спасает, когда работа становится серьезной.

Теперь о балансе. OSINT легко превращается в занятие для человека, которому всё интересно и ничто не кажется лишним. Но профессионал не собирает всё подряд. Он собирает то, что связано с задачей. Это касается и приватности других людей, и собственной безопасности. Если цель - проверить фишинговое письмо, не надо копаться в личной жизни всех однофамильцев отправителя. Если нужно понять цифровой след организации, не надо тащить в отчет фотографии детей сотрудников. Открытость данных не делает любое использование разумным.

Этика здесь не украшение для предисловия. Она нужна, чтобы работа не развалилась в суде, у клиента, внутри компании и в собственной голове. Когда вы заранее ограничиваете сбор, фиксируете цель, не лезете туда, куда не имеете права, и не провоцируете людей на действия, вы защищаете не только объект. Вы защищаете себя и результат. Информация, добытая грязно, часто становится бесполезной. Ее нельзя показать, нельзя использовать, нельзя объяснить без красного лица.

Хороший практический тест звучит так: сможете ли вы спокойно описать свои методы руководителю, юристу или клиенту? Без шепота, без «ну мы там чуть-чуть», без надежды, что никто не спросит подробности. Если нет, остановитесь. Может быть, метод слишком рискованный. Может быть, нужно разрешение. Может быть, достаточно пассивного сбора. Может быть, задача вообще поставлена криво. OSINT не обязан быть опасным спектаклем. Часто лучшая работа выглядит тихо: человек сидит, проверяет источники, ведет записи, не делает лишних движений.

Есть полезная привычка - перед началом любой работы составлять маленькую карту риска. Не красивую таблицу на двадцать страниц, а честный черновик. Куда будем заходить. С каких устройств. Какие аккаунты нужны. Какие данные могут раскрыться. Что запрещено. Как чистим файлы. Где храним материалы. Кто имеет доступ. Когда останавливаемся. Такой черновик занимает меньше времени, чем потом объяснения после ошибки.

Еще одна привычка - репетиция. Если персона должна зайти на площадку, сначала проверьте окружение на нейтральных сайтах. Как выглядит IP. Что показывает проверка браузерного отпечатка. Не потянулись ли личные куки. Не всплыло ли автозаполнение. Не подставился ли настоящий часовой пояс. Не открывается ли домашняя страница с вашим именем. Это как проверить карманы перед выходом. Ничего героического, просто меньше шансов выглядеть глупо.

В работе с анонимностью нельзя обещать абсолют. Абсолют любят продавцы чудо-сервисов и люди, которые еще не получали по рукам. Можно снизить риск. Можно разделить роли. Можно убрать очевидные следы. Можно сделать атрибуцию дорогой и неудобной. Но нельзя стать невидимым для всех и всегда. Поэтому задача не в фантазии про полное исчезновение, а в трезвой модели угроз. От кого прячемся? От владельца сайта? От рекламных сетей? От любопытного администратора форума? От организованной группы? От государства? Ответы будут разными, инструменты тоже.

Если вы просто читаете открытые новости, одно окружение. Если исследуете фишинговую инфраструктуру, другое. Если мониторите закрытые криминальные площадки по разрешенному заданию, третье. Если готовите учебную демонстрацию для сотрудников, четвертое. Ошибка начинается там, где один набор инструментов пытаются натянуть на любую задачу. Молоток полезен, но им не надо чинить часы.

Отдельно скажу про обновления знаний. Угрозы меняются, сервисы меняют правила, браузеры меняют поведение, социальные сети закрывают одни дырки и открывают другие, инструменты устаревают. То, что работало год назад, сегодня может выдать вас с головой. Поэтому человек, который занимается OSINT, должен читать не только про новые красивые инструменты, но и про провалы. Утечки, деанонимизацию, ошибки операторов, судебные истории, разборы инцидентов. Чужая ошибка - дешевый урок. Своя обычно дороже.

Мне нравятся разборы старых провалов именно за их бытовую природу. Где-то забыли отключить синхронизацию. Где-то вошли в личный аккаунт. Где-то повторили никнейм. Где-то фотография содержала координаты. Где-то человек спорил на форуме под рабочей персоной теми же словами, что и в личном блоге десять лет назад. Никаких лазеров и секретных спутников. Просто след, еще след, еще один след. Потом кто-то терпеливый сложил их вместе.

Собственная цифровая гигиена нужна не только во время расследования. До него тоже. Поиск по своему имени, старым никам, телефонам, адресам почты, фотографиям - неприятное занятие, но полезное. Вы можете обнаружить старый профиль, забытое резюме, документ с номером телефона, комментарий на форуме, который лучше бы не висел в открытом доступе. Чем меньше лишнего болтается вокруг вашей настоящей личности, тем меньше материала для тех, кто решит посмотреть на вас в ответ.

Не надо делать из этого культ. Невозможно стереть себя из мира полностью, да и не нужно. Нужно убрать очевидные протечки: закрыть лишние профили, удалить старые документы, настроить приватность, включить многофакторную защиту, перестать использовать один пароль на всех сервисах, отделить рабочую почту от личной, не публиковать фотографии документов, билетов, экранов и рабочих мест. Да, звучит как советы из скучной памятки. Зато скучные памятки часто написаны кровью чужих инцидентов.

Многофакторная защита заслуживает отдельной фразы. Пароль давно не крепость, а скорее дверная ручка. Его могут украсть, подобрать, выманить, найти в старой утечке. Второй фактор не делает аккаунт неприступным, но сильно усложняет жизнь тем, кто идет по легкому пути. Для личных аккаунтов это обязательно. Для рабочих персон - тоже, если сервис позволяет. И лучше использовать не тот же телефон, на котором живет вся ваша настоящая жизнь.

В какой-то момент вы заметите, что анонимность - это не набор хитростей, а культура мелких отказов. Не войти в личную почту с рабочей машины. Не открыть вложение сразу. Не использовать любимый ник. Не писать фразу, по которой вас узнают. Не сохранять файл без проверки. Не идти активным путем, если пассивный дает ответ. Не спорить с правилами, потому что «я быстро». Эти маленькие «не» раздражают. Потом они начинают экономить нервы.

И еще: не путайте скрытность с секретничаньем. В нормальной работе внутри команды всё должно быть прозрачно для тех, кто отвечает за задачу. Какие аккаунты созданы, кто имеет доступ, где лежат пароли, какие действия совершались, когда персона использовалась, что было собрано. Иначе однажды коллега уйдет в отпуск, уволится или просто забудет пароль, а вместе с ним исчезнет половина операции. Анонимность направлена наружу. Внутри процесса нужен порядок.

Хорошая OSINT-работа похожа на тихую прогулку по снегу, после которой вы сами заметаете следы, но не уничтожаете карту маршрута. Снаружи не должно быть лишних отпечатков. Внутри должно быть понятно, где вы были и зачем. Это сложно только первые разы. Потом превращается в ремесло: отдельная среда, чистая сессия, проверенные инструменты, аккуратные записи, ясные границы, спокойная голова.

Когда человек только начинает, ему кажется, что главное - найти как можно больше. Через некоторое время он понимает: главное - найти нужное и не сломать задачу собственным присутствием. В этом и состоит взрослая часть OSINT. Не в списке сайтов, не в красивом графе связей, не в громком слове «разведка». А в способности работать так, чтобы информация оставалась полезной, методы - объяснимыми, а вы сами - не становились самым заметным объектом собственного расследования.

На следующем шаге уже можно говорить о методах сбора: поисковые операторы, специализированные базы, социальные сети, изображения, карты, кодовые репозитории, архивы. Но без дисциплины анонимности все эти методы похожи на набор острых ножей в руках человека, который размахивает ими в темной комнате. Рано или поздно он порежется. Поэтому сначала порядок, потом инструменты. Сначала отделяем себя от работы, потом идем искать чужие следы. И только так у нас появляется шанс не оставить по дороге свои.

Глава 3. Инструменты, которые задают вопросы

У всякого ремесла есть момент, когда человек перестает смотреть на инструменты как на волшебные предметы. Сначала хочется собрать их побольше. Открыть десяток сайтов, поставить пять расширений, скачать набор утилит с громкими названиями, завести папку «OSINT» и почувствовать, что теперь-то дело пойдет. Это нормальный первый порыв. Я сам через него проходил. Только довольно быстро выясняется, что инструменты не думают за нас. Они не знают, какой вопрос мы задаем. Они не понимают, где факт, где шум, где совпадение, а где след, за который стоит тянуть.

Хороший OSINT начинается не с инструмента, а с вопроса. Что именно нужно узнать? Кто стоит за доменом? Где была сделана фотография? Какие технологии использует компания? Связан ли один ник с другим? Есть ли признаки утечки? Что известно о сервере? Как менялся сайт за последние годы? Пока вопрос расплывчатый, любой инструмент будет приносить ворох случайных находок. Человек потом сидит перед экраном, смотрит на сотни строк и убеждает себя, что работа кипит. На деле он просто собирает пыль в цифровой кладовке.

Метод важнее скорости. Это звучит скучно, но лучше сразу привыкнуть. Если расследование строится на хаотичных поисках, оно разваливается при первой проверке. Сегодня вам кажется, что вы нашли связь. Завтра коллега спрашивает, откуда она взялась, и начинается неприятное: «кажется, видел где-то», «ссылка была в истории», «я потом найду». Нет, не найдете. Или найдете не то. Поэтому любое действие должно оставлять за собой понятный след внутри ваших записей: запрос, источник, время, результат, оценка надежности. Без этого OSINT превращается в коллекцию скриншотов с красивым видом, но без доказательной силы.

Первый большой участок работы - обычный веб. Не надо морщиться. Поверхностная сеть, которую индексируют поисковые системы, до сих пор полна полезных вещей. Люди выкладывают документы, забывают старые страницы, публикуют пресс-релизы, оставляют вакансии, пишут инструкции для подрядчиков, хвастаются технологиями, жалуются на сбои. Компании любят рассказывать о себе больше, чем думают их службы безопасности. Вопрос только в том, умеете ли вы искать не «примерно про тему», а точно туда, где может лежать ответ.

Поисковая строка - это не окно для желания. Это инструмент для формулировки гипотезы. Если вы пишете название компании и ждете чуда, получите новости, рекламу, официальные страницы и мусор. Если вы добавляете оператор site:, ограничиваете домен, ищете filetype:pdf, проверяете inurl:admin, intext:пароль, точные фразы в кавычках, вы уже не бродите по площади, а стучите в конкретные двери. Конечно, не каждая дверь откроется. И не каждая открытая дверь будет вашей. Но направление становится яснее.

Допустим, нужно понять, какие публичные документы организация оставила на сайте. Простой запрос по названию даст мало. А вот поиск по домену и типам файлов может показать презентации, инструкции, старые отчеты, прайс-листы, технические задания. В этих документах иногда есть имена сотрудников, названия внутренних систем, схемы, адреса почты, версии программ, даты проектов. Это не обязательно секреты. Часто это просто открытые куски мозаики. Но если их сложить вместе, картинка выходит гораздо полезнее, чем официальный раздел «О компании».

С поисковыми операторами есть ловушка. Они легко превращают взрослого человека в коллекционера фокусов. Сегодня он нашел список «лучших Google dorks», завтра весь день копирует запросы, послезавтра уже считает себя мастером. Но чужой запрос без понимания задачи - как чужой ключ без двери. Можно найти открытый каталог, старую панель входа, индексированную резервную копию. И что дальше? Если это не связано с вашим вопросом, вы просто отвлеклись. В OSINT любопытство нужно, но оно должно ходить на поводке.

Поисковики полезны еще и потому, что умеют помнить то, что люди уже убрали. Кэш, сниппеты, старые результаты, архивные копии - всё это помогает увидеть прошлую версию реальности. Сайт сегодня аккуратный, но три года назад на нем могли лежать страницы с именами разработчиков, тестовые поддомены, старые номера телефонов, PDF с внутренней структурой. Интернет плохо забывает. Точнее, забывает неровно. Одно исчезает без следа, другое торчит как гвоздь из старой доски.

Конец ознакомительного фрагмента.

Текст предоставлен ООО «Литрес».

Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.

Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.

Конец ознакомительного фрагмента
Купить и скачать всю книгу
На страницу:
3 из 3