Как OSINT разрушает анонимность
Когда анонимность нарушается, это не всегда означает техническое проникновение.
Анонимный аккаунт и человека за ним иногда можно связать, просто собирая публичную информацию.
Это нарушение анонимности через OSINT.
Даже если человек думает: «В этом посте я не написал настоящее имя», круг кандидатов может сузиться по прошлым соцсетям, изображениям, результатам поиска, архивам и профилям, если они сохранились.
Анонимные аккаунты связываются с прошлой информацией
Если смотреть только на анонимный аккаунт, настоящее имя может быть не видно.
Однако если содержание публикаций, иконки, имена пользователей, стиль письма или темы пересекаются с прошлой информацией под настоящим именем, они связываются.
Например, цепочка может выглядеть так.
- Анонимный аккаунт публикует материалы о профессиональной области
- Находится старый блог с тем же стилем письма
- В старом блоге есть тот же личный опыт
- В этом блоге остается старый профиль
- Из профиля становится понятно настоящее имя или регион
Даже если по одной информации ничего не понятно, при соединении фрагментов что-то становится видимым.
OSINT — это не особое проникновение
OSINT — это подход к сбору и анализу публичной информации.
Это не взлом паролей и не проникновение в устройства. Он связывает информацию, видимую извне: поисковые системы, соцсети, поиск по изображениям, архивы, публичные профили, сведения о вакансиях, страницы мероприятий, старые блоги и другие источники.
| Источник информации | Что может быть найдено |
|---|---|
| Поисковые системы | Старые блоги, профили, цитаты |
| Поиск в соцсетях | Старые ники, посты, ответы |
| Поиск по изображениям | Иконки, лица, фоны |
| Архивы | Прошлые состояния удаленных страниц |
| Страницы мероприятий | Участие, выступления, принадлежность |
| Страницы вакансий и организаций | Опыт работы, профессиональные области, регионы |
В OSINT важно то, что информация публична. Даже старая информация, о которой человек забыл, становится материалом для корреляции, если она видима извне.
Частые паттерны корреляции
| Паттерн корреляции | Что происходит |
|---|---|
| То же имя пользователя | Находятся прошлые аккаунты в нескольких сервисах |
| Та же иконка | Поиск по изображениям связывает с аккаунтом под настоящим именем |
| Тот же личный опыт | Связывается со старыми блогами или соцсетями |
| Тот же стиль письма | Похоже на публикации под другим именем |
| Та же региональная информация | Сужаются привычные места |
| Те же связи | Пересекается с отношениями на стороне настоящего имени |
В OSINT одного признака не всегда достаточно. Комбинируются несколько слабых признаков.
Ход действий у ищущей стороны
Когда анонимность нарушается через OSINT, ищущая сторона сужает круг кандидатов по шагам.
Сначала ищут имя пользователя. Затем изучают изображение иконки. Из содержания публикаций берут регион и профессиональную область. Сравнивают стиль письма и личный опыт со старыми блогами. Смотрят удаленные страницы и архивы.
Так переходят от одного признака к следующему.
| Этап | Что смотрят |
|---|---|
| 1 | Имя пользователя, отображаемое имя, профиль |
| 2 | Иконка, изображения, фон |
| 3 | Содержание публикаций, регион, профессиональные термины |
| 4 | Стиль письма, личный опыт, хронология |
| 5 | Прошлые соцсети, блоги, архивы |
| 6 | Связанные люди, подписки, ответы |
Защитная сторона использует этот ход в обратном направлении. Ищите себя сами и проверяйте, где возникает связь.
Удаленная информация тоже может оставаться
Даже если удалить старые публикации, они могут остаться в результатах поиска, скриншотах, перепубликациях и архивах.
Старые профили. Закрытые блоги. Удаленные посты в соцсетях. Старые изображения. Прошлые страницы вакансий или мероприятий.
Если они остаются, они могут связаться с текущей анонимной активностью.
«Я уже удалил, значит все в порядке» не всегда верно.
Текущие публикации тоже важно менять
Удалить всю прошлую информацию трудно.
Поэтому в защите важно не только «стереть прошлое», но и «не выпускать в текущей анонимной активности признаки, которые пересекаются с прошлой информацией».
Не используйте старые ники. Не используйте прошлые изображения. Не повторяйте тот же личный опыт. Не пишите о регионе или месте работы с той же степенью детализации. Избегайте того же стиля письма, что и на стороне настоящего имени.
| Текущее действие | Почему его стоит избегать |
|---|---|
| Повторное использование старого ID | Находятся прошлые аккаунты |
| Повторное использование прошлых изображений | Возникает связь через поиск по изображениям |
| Тот же личный опыт | Связывается со старым блогом |
| Та же профессиональная тема | Пересекается с профессией или принадлежностью |
| Те же связи | Отношения становятся видимыми |
Даже если прошлая информация остается, риск снижается, если она не связывается с текущей анонимной активностью.
Не забывайте поиск по изображениям и архивы
В OSINT важен не только обычный текстовый поиск, но и поиск по изображениям и архивы.
Та же иконка, фотографии, использованные в прошлом, изображения профиля из блога и фотографии с мероприятий могут находиться через поиск по изображениям. Удаленные страницы тоже могут оставаться в архивах.
| Что проверять | Причина |
|---|---|
| Изображение иконки | Связывается с прошлыми аккаунтами |
| Фотография лица | Связывается с профилями под настоящим именем или фотографиями мероприятий |
| Фоновая фотография | Показывает привычные места или место работы |
| Старый блог | Оставляет профиль или стиль письма |
| Архив | Оставляет удаленную информацию |
Не делайте вывод о безопасности только потому, что текстовый поиск ничего не показывает. Проверяйте также изображения и прошлые страницы.
Защита от OSINT — это не только удаление
Говоря о мерах против OSINT, люди часто думают только об удалении прошлой информации.
Однако есть информация, которую удалить нельзя. Это публикации других людей, цитаты, скриншоты, архивы, кэш результатов поиска, страницы мероприятий и тому подобное.
В таком случае важно не выпускать те же признаки в текущей анонимной активности.
| Мера | Цель |
|---|---|
| Удалить | Сократить контролируемую вами видимость |
| Запросить удаление из результатов поиска | Сократить видимые входные точки |
| Обобщать текущие публикации | Затруднить связь с прошлой информацией |
| Изменить имена и изображения | Избежать корреляции с прошлыми аккаунтами |
| Проверять регулярно | Замечать новую появившуюся информацию |
Защита от OSINT — это и работа по удалению прошлого, и работа по снижению текущей корреляции.
Проведите OSINT по себе
Перед началом анонимной активности проверьте свою публичную информацию в безопасных пределах.
Сосредоточьтесь на текстовой информации, уже видимой извне: настоящем имени, старых никах, опубликованных ID в соцсетях, прошлых блогах, публичных профилях. Сами поисковые запросы тоже могут становиться записями на стороне сервиса, поэтому не повторяйте проверки высокого риска из аккаунта под настоящим именем или из повседневного браузера. Избегайте прямого ввода или загрузки адресов электронной почты, номеров телефона, фотографий лица, неопубликованных изображений, материалов до сообщения о нарушении и похожих данных во внешние поисковые сервисы или сервисы поиска лиц.
Если поиск по изображениям все же необходим, используйте только изображения, которые уже опубликованы, и исходите из того, что поисковый сервис может сохранить изображения или историю поиска. При поиске из аккаунта под настоящим именем история поиска может оставаться, поэтому обращайте внимание и на среду расследования.
| Что искать | На что смотреть |
|---|---|
| Настоящее имя | Профили, школы, места работы, мероприятия |
| Старые ники | Прошлые соцсети, форумы, игровые ID |
| Опубликованные адреса электронной почты и контакты | Прошлые регистрации и сведения об утечках |
| Опубликованные изображения | Иконки, лица, фоны |
| Характерные тексты | Старые блоги и публикации |
Информацию, которую можете найти вы сами, могут найти и третьи лица.
Что должна смотреть защитная сторона
Чтобы предотвратить нарушение анонимности через OSINT, проверяйте свою информацию извне.
- Ищите свое настоящее имя
- Ищите старые ники
- Проверяйте, не связываются ли опубликованные контакты с прошлой информацией
- Ищите имена пользователей, которые часто используете
- Проверяйте, не связываются ли опубликованные иконки и фотографии с прошлой информацией
- Проверяйте прошлые блоги и соцсети
- Проверяйте, не осталось ли что-то в архивах
Безопаснее выполнять эту проверку до анонимной активности. Даже если после начала активности спешно удалить данные, их уже могли увидеть.
Осторожно относитесь и к сохранению результатов проверки в облаке под настоящим именем или в обычных заметках. Сами заметки расследования могут стать записью, которая связывает анонимную активность со средой настоящего имени.
Итоги
Анонимность нарушается через OSINT потому, что публичная информация связывается.
Даже если в анонимном аккаунте нет настоящего имени, круг кандидатов сужается, когда пересекаются имена пользователей, иконки, стиль письма, личный опыт, региональная информация и прошлые публикации.
Удаленная информация тоже может оставаться в результатах поиска и архивах.
Чтобы защищать анонимность, нужно проверять не только текущие публикации, но и то, как выглядит прошлая публичная информация.
Связанные инструменты
Wayback Machine
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://web.archive.org/
Google Search removal tools
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
OSINT Framework
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
Google Lens
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://lens.google/
Have I Been Pwned
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
ExifTool
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://exiftool.org/
MAT2
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.