什么是 OSINT
OSINT 是 Open Source Intelligence 的缩写。
它是一种收集公开信息,并推测人物、组织、地点、行为和关系的思路。
这里所说的“公开信息”,不是通过特殊黑客手段盗取的信息。 它指的是搜索结果、社交平台、个人资料、图片、博客、新闻、论坛、招聘信息、地图、存档、公开资料等。
在思考匿名性时,OSINT 之所以重要,是因为本人“以为已经隐藏”的信息,也可能与过去公开的信息或其他服务上的信息连接起来。
本文不是把 OSINT 作为攻击手法来介绍,而是把它整理为防御侧确认自身暴露情况的基础知识。
OSINT 会组合公开信息
OSINT 中重要的,并不只是某一条信息。
重要的是收集小信息,并把它们组合起来。
例如,即使匿名账号的发帖中没有真实姓名,也可能留下如下信息。
- 经常使用的用户名
- 过去使用过的头像
- 关于居住地区的话题
- 职业或专业领域
- 发帖时间的模式
- 图片背景
- 过去的博客或社交平台
每一项单独来看都是较弱的线索。 但是,多项重叠时,候选范围就会缩小。
| 信息源 | 能看到什么 | 匿名性上的注意点 |
|---|---|---|
| 搜索结果 | 姓名、过去发帖、个人资料 | 旧信息会留下 |
| 社交平台 | 交友关系、日常活动范围、 | 实名侧和匿名侧会连接起来 |
| 图片搜索 | 过去使用过的图片 | 头像或照片的重复使用会被发现 |
| 存档 | 已删除页面 | 以为已经删除的信息会留下 |
| 公开资料 | 所属、职位、活动经历 | 组织或职业会变得可见 |
OSINT 是公开信息之间的关联。
这里重要的是,公开信息并不只意味着“任何人都能看到的信息”。 搜索就能出现的信息、留在社交平台上的信息、通过图片搜索找到的信息、留在 PDF 中的信息、留在存档中的信息、会员注册后才能看到的信息等,公开程度有不同层级。 攻击者或调查者会跨越这些信息进行查看。
匿名性的失败,不一定只由一条强信息引起。 多条弱信息聚集,并指向同一方向时,也会发生。 如果把 OSINT 作为防御来学习,就需要关注“如何组合起来”,而不只是关注单条信息。
与匿名性的关系
要保护匿名性,只看“现在的发帖里有没有真实姓名”是不够的。
过去的自己发布过的信息。 其他账号的个人资料。 残留在搜索结果中的旧页面。 通过图片搜索找到的照片。 留在存档中的已删除页面。
这些内容与当前的匿名活动连接起来时,匿名性就会变弱。
匿名性不仅由当前操作决定,也由它与过去信息之间的关系决定。
例如,假设匿名账号没有写出真实姓名。 但是,过去的博客中使用过同一个网名。 那个博客里有学校名。 图片搜索中出现了同一个头像。 发帖时间与实名社交平台重叠。
这样,即使没有直接的真实姓名,也会因为关联而缩小候选范围。 OSINT 是一种理解匿名性“并不只由当前发帖本身完结”的思路。
OSINT 中容易被看到的信息
作为防御侧应确认的信息,包括以下内容。
| 确认对象 | 查看理由 |
|---|---|
| 真实姓名和网名 | 可能找到过去账号或个人资料 |
| 电子邮件地址 | 会与多个服务连接起来 |
| 用户名 | 重复使用会与过去信息相连 |
| 图片 | 会发现头像或照片的重复使用 |
| 职业或所属 | 会成为缩小候选范围的材料 |
| 地区或日常活动范围 | 会导致地点关联 |
| 过去发帖 | 文体或个人经历会留下 |
OSINT 对策的第一步,是确认自己从外部看起来是什么样子。
但是,如果把真实姓名、旧姓、电子邮件地址、脸部照片、未公开图片、高风险资料原样输入或上传到搜索引擎、人脸搜索服务、外部 AI,那么确认行为本身可能成为日志或新的暴露。确认时,应把搜索的信息控制在最小范围,并以不把未公开资料交给外部服务为前提来思考。
确认时,不只要把平时使用的名字作为对象,也要把过去的名字作为对象。包括旧姓、罗马字写法、昵称、游戏 ID、旧电子邮件地址、社交平台用户名、作品名、社团名、活动名。图片方面,也要确认已经公开的头像、作品、宠物、房间、风景、截图是否会连接到过去账号。
| 搜索的内容 | 查看理由 |
|---|---|
| 真实姓名和旧姓 | 确认基本暴露 |
| 网名 | 查看与过去账号的连接 |
| 电子邮件地址 | 确认多个服务中的重复使用 |
| 图片 | 找到头像或照片的重复使用 |
| 专业领域和地区 | 查看发帖内容与外部信息的重叠 |
为防御而学习,而不是为攻击
OSINT 可能被滥用。
它可能被用于身份识别、骚扰、跟踪、公开曝光、社会压力。
正因为如此,防御侧需要理解它。
用自己的名字会出现什么。 用过去的网名会出现什么。 图片搜索会找到什么。 过去发帖与当前匿名活动是否会连接起来。
如果能够确认这些,就能在发布前降低风险。
防御侧的 OSINT 不处理为了逼迫某人而进行的调查。 应该看的,是自己、组织、活动、相关人员从外部看起来是什么样子。 发布前进行确认,必要时减少信息;如果有无法删除的信息,就改变当前的使用方式。
学习 OSINT 后,匿名性对策会变得具体。 不是停留在“要小心”,而是可以判断:“这个网名留在过去博客里,所以不用”,“这张照片会出现在图片搜索中,所以不用”,“这个地区信息与过去个人资料重叠,所以要模糊化”。
了解调查入口
把握 OSINT 全貌时,了解哪些信息源会成为调查入口是有帮助的。
代表性入口之一是 OSINT Framework。 OSINT Framework 是按类别整理公开信息调查中使用的信息源和工具的目录。 用户名、电子邮件地址、图片、域名、社交平台、地图、公开资料等,哪些种类的信息会通向哪些调查,可以通过它俯瞰。
URL : https://osintframework.com/
这里重要的,不是把工具从头到尾全部使用一遍。 防御侧应该看的,是“自己的哪些信息可能成为哪类调查的入口”。
例如,旧网名会成为多个网站上的搜索入口。 电子邮件地址会成为泄露信息或过去注册服务的入口。 图片会成为图片搜索或人脸搜索的入口。 域名或社交平台个人资料会成为所属或活动经历的入口。
查看 OSINT Framework 这样的列表,会发现公开信息的世界相当广。 但是,列出的外部服务中,有的需要注册,有的是付费服务,有的会因国家或地区不同而处理方式不同。每个服务的日志、上传、收费、法律和伦理风险也不同。 如果目的是保护匿名性,前提应是首先用于确认自己或自己管理的组织的暴露情况,而不是用于追踪或公开曝光他人。
也要理解 OSINT 的局限
OSINT 处理公开信息,因此并不总是能得出正确结论。 同名同姓、相似用户名、相同图片素材、偶然一致的发帖时间都可能存在。 从公开信息进行的推测会混入错误。
正因为如此,防御侧也要思考“可能被误解”的情况。 即使是自己看来无关的信息,从外部看也可能显得有关联。 要保护匿名性,重要的不只是避免被正确识别,也包括避免被错误关联卷入。
对找到的信息进行分类
找到关于自己的公开信息后,不要马上进入删除步骤,而是先分类。 它是直接的个人信息,还是日常活动范围的线索,还是与过去账号的连接,还是单纯的一般活动履历,处理方式会有所不同。
| 分类 | 例子 | 应对方向 |
|---|---|---|
| 直接信息 | 地址、电话号码、脸部照片 | 优先删除或转为非公开 |
| 关联信息 | 真实姓名和网名出现在同一页面 | 更改当前匿名名 |
| 日常活动范围 | 学校、工作场所、地区活动 | 降低发帖粒度 |
| 图片信息 | 头像、作品、房间照片 | 不再重复使用 |
| 履历信息 | 旧发帖、博客、登台发言 | 查看与当前发布的重叠 |
OSINT 对策并不会在找到信息时结束。 要根据找到的信息,选择删除、修正或改变使用方式。
总结
OSINT 是一种收集公开信息,并推测人物、组织、地点、行为和关系的思路。
搜索结果、社交平台、图片、存档、公开资料等都会成为材料。
在匿名性上,重要的不只是当前发帖,还包括与过去信息和其他服务信息之间的关联。
学习 OSINT 的目的,不是为了调查某个人。 而是为了知道自己从外部看起来是什么样子,并在发布前减少线索。
相关工具
OSINT Framework
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。