Что такое OSINT
OSINT — это сокращение от Open Source Intelligence.
Это способ мышления, при котором собирают публично доступную информацию и делают выводы о людях, организациях, местах, поведении и связях.
Здесь «публично доступная информация» не означает сведения, украденные с помощью специального взлома. Это результаты поиска, социальные сети, профили, изображения, блоги, новости, форумы, сведения о вакансиях, карты, архивы, публичные материалы и подобные источники.
OSINT важен при размышлении об анонимности, потому что даже информация, которую человек считал «скрытой», иногда может связываться с прошлой публичной информацией или сведениями из другого сервиса.
В этой статье OSINT рассматривается не как метод атаки, а как базовые знания для защитной стороны, которая проверяет собственное раскрытие.
OSINT комбинирует публично доступную информацию
В OSINT важен не только один отдельный фрагмент информации.
Важно собирать маленькие сведения и комбинировать их.
Например, даже если в публикациях анонимного аккаунта нет настоящего имени, могут остаться следующие сведения.
- Часто используемое имя пользователя
- Иконка, использовавшаяся в прошлом
- Рассказы о регионе проживания
- Профессия или специализированная область
- Паттерны времени публикаций
- Фон изображений
- Прошлые блоги или социальные сети
Каждый из этих признаков по отдельности слабый. Но когда несколько признаков накладываются друг на друга, круг кандидатов сужается.
| Источник информации | Что видно | Замечание для анонимности |
|---|---|---|
| Результаты поиска | Имя, прошлые публикации, профили | Старая информация остается |
| Социальные сети | Связи, привычные места, стиль письма | Реальная и анонимная стороны связываются |
| Поиск по изображениям | Изображения, использованные в прошлом | Обнаруживается повторное использование иконок или фотографий |
| Архивы | Удаленные страницы | Информация, которую считали стертой, остается |
| Публичные материалы | Принадлежность, должность, история деятельности | Становятся видны организация или профессия |
OSINT — это корреляция публично доступной информации.
Здесь важно, что публично доступная информация не означает только «информацию, которую может увидеть кто угодно». Есть уровни публичности: информация, которая появляется при поиске; информация, оставшаяся в социальных сетях; информация, найденная поиском по изображениям; информация, оставшаяся в PDF; информация, оставшаяся в архивах; информация, видимая после регистрации. Злоумышленники и исследователи сопоставляют такие сведения из разных источников.
Нарушение анонимности не всегда происходит из-за одной сильной информации. Оно может произойти, когда несколько слабых сведений собираются вместе и указывают в одном направлении. Если изучать OSINT как защиту, нужно смотреть не только на отдельные сведения, а на то, «как они комбинируются».
Связь с анонимностью
Чтобы защищать анонимность, недостаточно проверять только, «есть ли в текущей публикации настоящее имя».
Информация, которую вы выпускали в прошлом. Профили в других аккаунтах. Старые страницы, оставшиеся в результатах поиска. Фотографии, найденные поиском по изображениям. Удаленные страницы, оставшиеся в архивах.
Когда все это связывается с текущей анонимной активностью, анонимность ослабевает.
Анонимность определяется не только текущими действиями, но и отношениями с прошлой информацией.
Например, допустим, анонимный аккаунт не раскрывает настоящее имя. Но тот же ник использовался в старом блоге. В том блоге было название школы. Та же иконка появилась в поиске по изображениям. Время публикаций пересекалось с социальными сетями под настоящим именем.
Так даже без прямого настоящего имени круг кандидатов сужается через корреляцию. OSINT помогает понять, что анонимность «не замыкается только на текущей публикации».
Информация, которую легко увидеть через OSINT
С защитной стороны стоит проверять следующие сведения.
| Что проверять | Зачем смотреть |
|---|---|
| Настоящее имя и ник | Можно найти прошлые аккаунты или профили |
| Адрес электронной почты | Связывается с несколькими сервисами |
| Имя пользователя | Повторное использование соединяет с прошлой информацией |
| Изображения | Обнаруживается повторное использование иконок или фотографий |
| Профессия или принадлежность | Становится материалом для сужения кандидатов |
| Регион или привычные места | Ведет к корреляции мест |
| Прошлые публикации | Остаются стиль письма и личные истории |
Первый шаг в мерах против OSINT — проверить, как вы выглядите снаружи.
Однако если вводить или загружать настоящее имя, прежнюю фамилию, адрес электронной почты, фотографию лица, неопубликованные изображения или материалы высокого риска прямо в поисковые системы, сервисы поиска лиц или внешний ИИ, само действие проверки может стать журналом или новым раскрытием. При проверке минимизируйте сведения, которые ищете, и исходите из того, что неопубликованные материалы не следует передавать внешним сервисам.
При проверке включайте не только имя, которым обычно пользуетесь, но и прошлые имена. Это прежняя фамилия, запись латиницей, прозвища, игровые ID, старые адреса электронной почты, имена пользователей в социальных сетях, названия работ, названия кружков или групп, названия мероприятий. Для изображений также проверяйте, не связываются ли уже опубликованные иконки, работы, питомцы, комнаты, пейзажи и скриншоты с прошлыми аккаунтами.
| Что искать | Зачем смотреть |
|---|---|
| Настоящее имя и прежняя фамилия | Проверить базовое раскрытие |
| Ник | Посмотреть связи с прошлыми аккаунтами |
| Адрес электронной почты | Проверить повторное использование в нескольких сервисах |
| Изображения | Найти повторное использование иконок или фотографий |
| Специализированная область и регион | Посмотреть пересечение содержания публикаций с внешней информацией |
Изучать для защиты, а не для атаки
OSINT может использоваться во вред.
Он может использоваться для установления личности, домогательств, преследования, доксинга и социального давления.
Именно поэтому защитной стороне нужно его понимать.
Что появляется по вашему имени. Что появляется по старым никам. Что находит поиск по изображениям. Не связываются ли прошлые публикации с текущей анонимной активностью.
Если это можно проверить, риск перед публикацией можно снизить.
Защитный OSINT не занимается расследованиями, предназначенными для того, чтобы загнать кого-то в угол. Смотреть нужно на то, как вы, ваша организация, ваша деятельность и связанные люди выглядят снаружи. Проверяйте перед публикацией, уменьшайте сведения при необходимости, а если есть информация, которую нельзя удалить, меняйте текущую практику.
Когда вы изучаете OSINT, меры для анонимности становятся конкретными. Не просто «быть осторожнее», а принимать решения: «этот ник остался в старом блоге, поэтому я его не использую», «эта фотография находится поиском по изображениям, поэтому я ее не использую», «эта информация о регионе пересекается с прошлым профилем, поэтому я ее обобщаю».
Знать входные точки расследования
Когда нужно понять общую картину OSINT, полезно знать, какие источники информации становятся входными точками расследования.
Одна из типичных входных точек — OSINT Framework. OSINT Framework — это каталог, который по категориям упорядочивает источники информации и инструменты, используемые для расследования по публично доступной информации. Он позволяет в общем виде увидеть, какие виды информации, например имена пользователей, адреса электронной почты, изображения, домены, социальные сети, карты и публичные материалы, могут вести к каким видам расследования.
URL : https://osintframework.com/
Здесь важно не то, чтобы использовать все инструменты подряд. Защитной стороне нужно смотреть на то, «какие сведения обо мне могут стать входной точкой для какого расследования».
Например, старый ник становится входной точкой поиска на нескольких сайтах. Адрес электронной почты становится входной точкой к утекшим сведениям или сервисам, где была регистрация в прошлом. Изображение становится входной точкой для поиска по изображениям или поиска лиц. Домен или профиль в социальной сети становится входной точкой к принадлежности или истории деятельности.
Когда смотришь на список вроде OSINT Framework, становится понятно, что мир публично доступной информации довольно широк. Однако среди перечисленных внешних сервисов есть такие, где нужна регистрация, есть платные сервисы, а также сервисы, правила обращения с которыми различаются по странам и регионам. Журналы, загрузки, оплата, юридические и этические риски тоже различаются от сервиса к сервису. Если цель — защищать анонимность, исходное условие состоит в том, чтобы сначала использовать это для проверки раскрытия себя или организаций, которыми вы управляете, а не для отслеживания или доксинга других людей.
Понимать также ограничения OSINT
Поскольку OSINT работает с публично доступной информацией, он не всегда дает правильные выводы. Бывают полные тезки, похожие имена пользователей, одинаковые графические материалы и случайные совпадения времени публикаций. В выводах из публично доступной информации бывают ошибки.
Именно поэтому защитная сторона думает и о «возможности быть неправильно понятым». Даже информация, которая к вам не относится, снаружи может выглядеть связанной. Для защиты анонимности важно не только не быть правильно установленным, но и не быть втянутым из-за ложной корреляции.
Классифицировать найденную информацию
Когда вы нашли публично доступную информацию о себе, классифицируйте ее, прежде чем сразу переходить к удалению. Ответные действия меняются в зависимости от того, является ли это прямой персональной информацией, признаком привычных мест, связкой с прошлым аккаунтом или просто общей историей деятельности.
| Категория | Пример | Направление действий |
|---|---|---|
| Прямая информация | Адрес, номер телефона, фотография лица | Приоритизировать удаление или закрытие доступа |
| Связующая информация | Настоящее имя и ник есть на одной странице | Изменить текущее анонимное имя |
| Привычные места | Школа, место работы, местное мероприятие | Снизить детализацию публикаций |
| Информация изображений | Иконка, работа, фотография комнаты | Не использовать повторно |
| Историческая информация | Старые публикации, блог, выступление | Смотреть на пересечения с текущей публикацией |
Меры против OSINT не заканчиваются обнаружением информации. На основе найденной информации выбирайте удаление, исправление или изменение практики ведения.
Итоги
OSINT — это способ мышления, при котором собирают публично доступную информацию и делают выводы о людях, организациях, местах, поведении и связях.
Материалом становятся результаты поиска, социальные сети, изображения, архивы, публичные материалы и подобные источники.
Для анонимности важна не только текущая публикация, но и корреляция с прошлой информацией и сведениями из других сервисов.
Цель изучения OSINT — не расследовать кого-то. Она в том, чтобы знать, как вы выглядите снаружи, и уменьшать признаки перед публикацией.
Связанные инструменты
OSINT Framework
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.