О создание OSINT отчетов

Год хочется открыть с размышлений об оформление отчетов, которые мы выдаем как результат всей нашей исследовательской деятельности используя разведку по открытым источникам.

В исследовательской и аналитической работе мы с коллегами часто обсуждаем важность контекста в процессе преобразовании найденных данных в полезную информацию. Ведь итог всей нашей работы должен выглядеть как набор четко структурированной информации, а не ворох всего того, что мы смогли найти касательно ответа на поставленный вопрос. 

Первый и основной раздел отчета должны предоставлять непосредственно ответ на поставленный перед нами вопрос, который задает наш заказчик, чтобы он смог сходу понять ключевые выводы без копания в дебрях всего отчета. При этом это ни коем образом не снимает с нас ответственности за обоснованность выводов. И именно тут правильный выбор источников становится важным средством поддержки основных выводов, при этом не перегружая читателя деталями, которые могут быть ему просто бесполезны.

Как человек, который не только сам пишет, но и который регулярно просматривает отчеты сотрудников, я хотел бы поделиться некоторым своим взглядом, а также некоторыми потенциальными смысловыми «ловушками», в которые мы можем загнать сами себя в результате проведения наших исследований. Конечно же это мое исключительно субъективное мнение и ваши отчеты могут отличаться из-за разницы контекста исследований, но надеюсь вы подчерпнете для себя много полезного. В любом случае будет очень интересным если вы поделитесь своим опытом в комментариях к этому посту.

И давайте для этого используем наиболее часто приходящий мне запрос в 20–22 годах - исследовать видимость самого заказчика, в контексте тех самых пресловутых открытых источников. Как оказалось, некоторые люди очень интересуются (и это на мой взгляд очень правильное желание) а что же можно нарыть о них в интернете? Ведь подобные данные могут очень сильно влиять не только на какие-то бизнес-интересы, но и банально влиять на личную безопасность, особенно в наше неспокойное время. И тут как раз могут возникнуть достаточно серьезные проблемы с верификацией данных из найденных источников и их документированием.

В ходе исследования в первую очередь мы будем искать мы будем искать учетные записи, идентификаторы и ссылки, такие как статьи и другие публикации, связанные с нашей целью. Эта информация как раз может быть вектором раскрытия персональных данных (тут как раз раздолье для телефонных и других дистанционных мошенников), компрометирующая информация - являющаяся вектором для разных репутационных атак из-за публикации третьих лиц или собственной активность заказчика в социальных сетях. 

Обычно мы перечисляем наиболее значимые результаты в начале отчета, после чего следует профиль с подробным описанием раскрытой критичной информацией. Но когда я просматриваю сторонние отчеты в глаза бросаются сразу 2 проблемы:

1.        Необходимая аннотация — источники данных и контекстные комментарии к найденной информации. 

2.        Разнообразие источников — исследователи используют ограниченное число источников (сделал запрос в ГБ - и уже можно считать себя настоящим ОСИНТером)

Суть первой проблемы очень проста: Заказчик должны иметь возможность проверить точность любых результатов в ваших исследовательских отчетах по открытым источникам путем проверки того, откуда вы взяли данные. Клиент не обязан слепо верить вашим выводам, так что аннотация должна дать простую возможность проверить ваши доводы. Любой фактоид, указанный в отчете, должен содержать точный URL-адрес наглядно показывающий, где он находился в сети во время нашего исследования. 

Существует много методов аннотирования отчетов для связи источников с предусмотренными выводами, и вот некоторые из наиболее распространенных:

Сноски — это один из наиболее распространенных способов включения источников в документацию. У этого есть дополнительные преимущества: выглядит это профессионально и интуитивно понятно. URL-адреса и ссылки перечислены внизу страниц отчета, благодаря чему описательные разделы остаются чистыми и легко читаемыми.

Таблицы упрощают организацию и связывание конкретных идентификаторов (учетная запись, имя пользователя и т. д.) с сайтами, на которых они расположены. Это наиболее распространенный метод отображения данных, когда нам нужно соотнести идентификаторы с источниками. Если ваш отчет предусматривает рейтингование (например критичность открытых данных), вы можете выделить ячейки цветом, включив цветовой ключ.

Встроенные ссылки. Встраивание ссылок в перечисленные идентификаторы является вариантом, но далеко не идеальным, поскольку это плохо подходит для печатных копий отчета. Также существует не иллюзорный риск того, что ваш клиент может, случайно кликнув открыть ссылку, что может создать проблему деанонимизации (встроенные логгеры практикуют многие агрегаторы данных - привет тому же ГБ) или открыть дополнительную уязвимость в компьютере клиента.

Комбинированный вариант — сноски могут быть включены в таблицу, или ссылки на источник могут быть перечислены непосредственно в таблице в зависимости от вашего чувства прекрасного. Включение встроенных ссылок в ваши таблицы вместе со сносками или полные URL — это вариант, который выбирают многие. Целесообразно убедиться, что любые встроенные ссылки не ведут вашего клиента на сомнительный сайт, как я писал выше.

Приложения. Приложение к вашему отчету может включать скриншот, фото, списки источников или и т. п. Если ваш клиент будет вынужден искать в приложение источник на какой-то из приведенных вами фактов, то скорей всего это будет для него совсем неудобно.

Вложенные файлы/дополнительная документация. Большие фрагменты необработанных страниц, изображений или видео могут быть предоставлены в виде папки с набором файлов или архива. И тут следует помнить, что это должно быть дополнением к определенному источнику в отчете, а не заменой этого самого источника. 

Вторая проблема с источниками менее очевидны: если вы используете лишь пару телеграмм ботов для получения первичной информации, вероятность того, что ваши выводы окажутся неточными или неполными или вообще ошибочными - чуть больше, чем до хрена. Любая полученная информация должна быть проверена еще в ряде альтернативных источников. 

Пример:

Если каждый указанный источник говорящий, например о username цели — Глаз Бога, то это плохая работа. Агрегатор подобные этому, не проверяют свои данные, и как следствие имеют большое количество ложных выдач как на связи имен людей с учетными записями, так и, например связи с мобильными телефонами. 

Если кто-то нанял вас для проведения OSINT-исследования, и вы предоставили ему то, о чем я писал выше, то этот кто-то может посчитать вашу работу тратой денег в пустую, а вас - очень ленивым и не компетентным.

И это та самая ментальная ловушка, свойственная даже опытным «поисковикам», которую легко исправить просто еще раз посмотрев на отчет. Проверьте все источники, относящиеся к конкретным выводам, и выделите те, которые приписываются к одному интернет-источнику. Проведите дополнительные исследование, чтобы, найти дополнительные источники тех же данных. 

Например, если вы указали адрес проживания своей цели, но нашли его только в информационном агрегаторе, таком как ГБ, следующим вашим шагом должно быть исследование этого адреса на наличие каких-либо дополнительных подтверждений, которые могут подтвердить ваш первоначальный вывод. Возможно, ваша цель заказывала на этот адрес доставку (утечки разных сервисов и магазинов) или возможно, этот адрес использовали для регистрации ИП или ООО (официальный гос. реестр) или же были упоминания в социальных сетях (прямые или косвенные - например изображения на фото). Для любых выводов, которые мы не можем дополнительно обосновать, мы можем добавить примечание, указывающее на низкий уровень достоверности из-за того, что они получены из одного источника.

Интересных исследований.