The Internet Intelligence & Investigation Handbook [Конспект]

Перед изложением контента необходимо отметить, что данный документ разрабатывался с упором на методологию и нормативы британского разведывательного сообщества. Соответсвенно, многие вещи — лишь дань бюрократии. Я намеренно опустила вещи, которые не применимы в другом окружении, включая частную практику.

Здесь я приведу художественный перевод отрывков из текста данного пособия без авторских комментариев, если не будет сказано иного. Также не привожу иллюстрации из брошюры, уважая труд авторов. Все приведенные изображения – из открытых источников.

Разберемся на берегу

Авторы брошюры считают необходимым различать следующие два термина.

Internet Intelligence & Investigation (III) — это концепция, разработанная в разведывательном сообществе Великобритании и созданная организациями национальной безопасности и правоохранительными органами. Internet Intelligence & Investigation (III) может быть определено как сбор, оценка, анализ и распространение информации из Интернета либо в разведывательных целях, либо в качестве доказательств, помогающих в проведении расследований. Internet Intelligence & Investigation - это концепция, разработанная для замены термина OSINT (Open Source Intelligence), предлагающая более полное и точное описание использования Интернета для сбора разведданных и следственной работы, проводимой в Интернете полицией. Интернет-исследователь несет ответственность за сбор информации в Интернете из любого типа источника, включая как открытые, так и закрытые источники.

Разведка на основе открытых источников (OSINT) может быть определена как сбор, оценка, анализ и распространение общедоступной информация из интернета. Черты, которые отличают OSINT от III, заключаются в том, что информация должна быть свободно доступна для широкой публики и может поступать из ряда источников, а не только информация, хранящаяся в Интернете, тогда как III включает источники с закрытым и ограниченным доступом. Сбор данных OSINT проводился в правоохранительных органах и организациях Великобритании на протяжении десятилетий, однако устойчивый рост Интернета в последние годы обусловил необходимость адаптации подхода и профессиональных стандартов. Сбор оперативных данных с использованием Интернета в настоящее время осуществляется только в правоохранительных органах обученным специалистом по III, поскольку это гарантирует, что сбор осуществляется на законных основаниях, с соблюдением этических норм.

Тенденции развития

Сегодня мы начинаем видеть увеличение инвестиций в инструменты OSINT и разработку инструментов специалистами OSINT, многие из которых обладают навыками программирования, которых не было у предыдущих поколений исследователей OSINT.

В мире OSINT роль аналитика меняется, и в будущем будет уделяться гораздо меньше внимания обучению непосредственно сбору данных. Однако это может быть положительным шагом для OSINT-исследователей. Затрачивая меньше времени на сбор информации, аналитик может уделять больше времени этапу анализа.

Команда Intelligence with Steve определила четыре ключевых стратегических принципа будущего развития OSINT и III.

1. III/OSINT — жизненно важный инструмент для правоохранительных органов, органов национальной безопасности.
2. Государственно-частное сотрудничество имеет решающее значение.

Государственно-частное сотрудничество должно стать основой для будущего III, гарантируя, что частные компании, проводящие OSINT, смогут получать ценную информацию от правоохранительных органов. Частные компании в свою очередь могут принести инновации, финансовую поддержку и технологии.

3. Обмен знаниями имеет первостепенное значение.

Соблюдение GDPR жизненно важно, однако оно не должно быть препятствием для законного обмена информацией, когда это делается с целью предотвращения преступлений.

4. III не имеет границ.

Подход, принятый британскими лицами, принимающими решения, должен учитывать международный охват III и обеспечивать, чтобы любая деятельность, предпринимаемая интернет-расследователями, регулировалась таким образом, чтобы защищать их и права субъектов на международном уровне.

Парадигма источников информации

Существует четыре категории информации, которую можно получить через Интернет:

• Информация из открытых источников, которые можно найти в Интернете без оплаты или каких-либо ограничений доступа, например, в социальных сетях и общедоступных форумах. Необходимость создания учетной записи не является препятствием для доступа, поскольку это может сделать любой человек.
• Информация из квази-открытых источников, то есть информация, доступная любому человеку за плату без каких-либо дополнительных ограничений доступа, например такие системы данных, как Hooyu Investigate и GBG Connexus.
• Информация из квази-закрытых источников, то есть информация, которая имеет некоторые ограничения на доступ и обычно также оплачивается, однако есть возможности получить доступ к этим данным с правильными разрешениями, например, будучи правоохранителем. Например, PNC и портал государственного сектора Equifax. Это также могут быть закрытые группы в социальных сетях, которые требуют установления контакта с человеком для получения доступа.
• Информация из закрытых источников, то есть информация, к которой какая-либо организация имеет доступ, однако она недоступна для публичного использования, например, системы управления персоналом SAP и Salesforce.

Процесс III

1. Определите соответствующие источники.

Определите информацию, которая будет иметь отношение к вашему расследованию, в том числе: внутренние данные, банковские данные, социальные сети, форумы, утечки, deepweb, darknet.

2. Соберите информацию.

Соберите соответствующие данные, убедившись, что у вас есть автономная копия этой информации. Этот процесс может выполняться вручную или автоматически с использованием программного обеспечения, например Hanchly.

3. Сопоставьте информацию.

Обработайте собранную информацию, осмыслив информацию логическим способом, который поможет выстроить историю. На этапе сопоставления вы должны определить несколько источников, которые проверяют достоверность информации, которой вы владеете. Вы можете рассортировать данные с использованием матрицы 3x5x2, чтобы определить вероятность того, что имеющаяся у вас информация точна. На этом этапе вы можете обнаружить устаревшую или недостоверную информацию.

4. Проанализируйте информацию.

Проанализируйте сопоставленную информацию, чтобы определить связи, тенденции и паттерны. В процессе анализа вы разовьете свое понимание объекта исследования и сформулируете ваши гипотезы.

5. Представьте свой анализ.

Определите лучший способ представления результатов вашего исследования и анализа, который соответствует первоначальному запросу, вашему клиенту и вашим выводам, т. е. профайл или карту связей. По завершении презентуйте ваш отчет своему клиенту и будьте готовы ответить на любые вопросы. Обязательно собирайте любые отзывы, которые могут помочь вам улучшить ваши процессы.

Модели активности

Подход к оценке рисков для модели Panoptes Protocol представляет собой изменение в том, как деятельность OSINT может проводиться в Великобритании и, в большей степени, во всем мире. Традиционное обучение OSINT в значительной степени сосредоточено на абсолютной необходимости VPN и виртуальной машины в любое время, когда ведется какая-либо скрытая деятельность. Однако это требование привело к неэффективному использованию ресурсов: следователям в правоохранительных органах иногда приходилось ждать во время расследования, чтобы поделиться “Covert Machine” (виртуальными машины, настроенными под осуществление определенной деятельности - прим. перевод.) или приехать в место с “Covert Machine”, что было особенно актуально в 2020/2021 гг. во время коронавируса. На самом деле можно утверждать, что VPN и виртуальная машина не являются обязательными для всей скрытой деятельности OSINT и что эти меры, хотя и представляют собой абсолютную передовую практику, не всегда необходимы, если учитывать последствия этих правил в реальной жизни. Большинство пользователей социальных сетей не могут определить, какой компьютер использовался для просмотра их профиля в социальной сети, поскольку эта информация доступна только для самих социальных сетей.

Отмена требования к VPN и виртуальной машине в большинстве расследований обеспечивает более эффективное использование государственных ресурсов, устраняя необходимость в поездках к “Covert Machine” или совместному использованию таких устройств. Хотя VPN и виртуальная машина не нужны в социальных сетях для большинства исследователей, они остаются жизненно важными при попытке анонимного доступа к любым веб-сайтам, принадлежащим субъекту исследования, который может определить местоположение любого IP-адреса, обращающегося к их сайту. Точно так же виртуальная машина остается решающей в любых ситуациях, когда доступ к веб-сайту может представлять риск для машины, например, при выполнении действий в Darknet. Это представляет характер оценки риска модели Panoptes Protocol, гарантируя, что эффективные меры будут приняты, когда это необходимо, но не в ущерб скорости или качеству расследования.

Три модели деятельности можно резюмировать следующим образом:

ТРАДИЦИОННАЯ 5-УРОВНЕВАЯ МОДЕЛЬ ДЛЯ OSINT-РАССЛЕДОВАНИЯ

• Уровень 1 — Открытое исследование на основе открытых источников.
• Уровень 2 — Тайное, неповторяющееся исследование на основе открытых источников.
• Уровень 3 — Скрытое расширенное исследование на основе открытых источников и мониторинг целевых лиц (RIPA)
• Уровень 4 — Скрытое расширенное исследование групп лиц и и их связей на основе открытых источников (RIPA DSA).
• Уровень 5 - Онлайн-активность под прикрытием (RIPA CHIS).

4-УРОВНЕВАЯ МОДЕЛЬ ДЛЯ III ИССЛЕДОВАНИЯ

• Уровень 1 – Основное/Базовое использование Интернета
• Уровень 2 – Интернет-расследование
• Уровень 3 — Тайная Интернет-расследование
• Уровень 4 — Разрешенная деятельность под прикрытием

3-МОДЕЛЬ ДЛЯ III РАССЛЕДОВАНИЯ – МОДЕЛЬ «Panoptes Protocol»

• Уровень 1 – Открытая активность
• Уровень 2 – Тайная деятельность
• Уровень 3 – Деятельность под прикрытием

Модель 3х5х2

Оценка качества информации выражается числовыми значениями, чаще всего в Великобритании с помощью модели 3x5x2, однако существуют также модели 5x5x5 и 6x6x6. Числа в этих моделях представляют как информацию, так и оценку источника, оценивая надежность, достоверность и правила обработки и распространения. Общая система оценок в сообществах разведки и правоохранительных органов необходима для обеспечения обмена разведывательными данными между различными агентствами. Совместно используемая система позволяет сотрудникам каждой организации быстро понять качество любой информации и определить, какую значимость следует придавать ей. Во время процесса оценки должна иметь место “санитарная обработка”, когда личные данные источников удаляются, чтобы свести к минимуму потенциальный риск для источника. Выражая информацию и оценку источника в цифрах, нет необходимости включать личные данные источника, поскольку целостность информации уже была оценена.

Оценки производятся путем объединения числовой или алфавитной оценки в оценку из 3 символов, то есть оценка 1AP предполагает, что источник является надежным, информация известна непосредственно источнику и информация может быть передана. Модель 3x5x2 выражается следующим образом:

Советы по созданию аккаунтов

Наилучшая практика создания фейковой учетной записи зависит от веб-сайта, на котором вы эту запись создаете, и мер, которые этот веб-сайт принимает для обнаружения мошеннических аккаунтов, которые постоянно меняются. Следующие рекомендации в настоящее время считаются хорошей практикой для создания аккаунтов для большинства сервисов:

1. Купите новую сим-карту за наличные.

В Великобритании вы можете приобрести сим-карту Pay-As-You-Go в большинстве супермаркетов и магазинов на углу за бесплатно или за символическую сумму. Сим-карты без кредита обычно могут получать тексты для активирования учетные записи, однако некоторые сотовые операторы могут потребовать от вас пополнения сим-карты.

2. Поместите новую сим-карту в неатрибутированный телефон.

Можно использовать любой смартфон. По возможности используйте наличные или анонимную карту, когда вы купите телефон, чтобы убедиться, что телефон не привязан к вам. Сброс устройства до заводских настроек имеет право на существование, однако, рекомендуется приобрести новый телефон. Большинство объектов исследования не смогут атрибутировать телефон к исследователю, однако это будет возможно для государственных органов и другого ограниченного числа лиц.

3. Сгенерируйте фальшивый профайл с помощью генератора фальшивых имен.

Важно не придумывать образ самостоятельно, так как вы можете ненароком раскрыть информацию, которая может ссылаться на вас. Убедитесь, что вы записываете все данные фейкового аккаунта, чтобы восстановить ваш деактивированную учетную запись, а также в качестве доказательства.

4. Создайте пароль, используя генератор случайных слов и генератор случайных чисел.

Важно не создавать пароль самостоятельно, так как вы можете непреднамеренно раскрыть информацию, которая ссылается на вас. Вы можете использовать один и тот же пароль для разных учетных записей в социальных сетях для одного и того же поддельного пользователя, однако убедитесь, что вы никогда не используете один и тот же пароль для разных лиц, поскольку идентичные или похожие пароли могут использоваться для связи ваших скрытых учетных записей после утечки данных. Убедитесь, что вы сохранили пароль, который используете для каждой скрытой учетной записи.

5. Настройте новый адрес электронной почты, используя менее распространенный домен, например ProtonMail или Tutanota.

6. Настройте учетные записи в социальных сетей, используя новый адрес электронной почты и, когда/если будет необходимо, новый номер телефона.

Телефонный номер делает фейковую учетную запись более реалистичной, поэтому используйте его, когда это возможно. Убедитесь, что все службы VPN отключены при создании фейковой учетной записи на Facebook. VPN можно использовать после создания учетной записи, однако во время создания это считается подозрительным и наиболее вероятно, что ваша учетная запись будет деактивирована. Другие сервисы также могут начать рассматривать подключение VPN как «подозрительное». Некоторые VPN-сервисы можно использовать при настройке фейковый учетных записей, если они предлагают маскировку VPN, в результате чего VPN-трафик будет выглядеть как обычный.

7. Используйте фотографию предмета или животного для фотографии своего профиля, а не фотографии, созданные Al, такие как те из thispersondoesnotexist.com, которые часто помечаются как подозрительные.

8. Настройте двухфакторную аутентификацию (2FA), например Authy.

Это помогает установить, что ваша фейковая учетная запись похожа на учетную запись, принадлежащую «настоящему» пользователю.

9. Войдите на другие веб-сайты, используя свою фейковую учетную запись, когда это возможно, как еще один способ показать, что ваш аккаунт как «настоящий», например Strava.

10. Возможно необходимо создать сразу несколько фейковых учетных записей и деактивировать все, кроме одной. Деактивированные учетные записи с меньшей вероятностью будут удалены.

11. Рассмотрите возможность использования специального менеджера паролей для ваших фековых учетных записей, например LastPass.