Сертифікований інструктор ISSP Training Center (Cisco, CEI) Юрій Самохвалов, про методи розвідки на основі відкритих джерел та можливості застосування OSINT у ході російсько-української війни.
З початком повномасштабного вторгнення, українців активно закликають бути обережнішими в соціальних мережах: не публікувати фото з місця влучання ракет, не писати деталей про обстріли, аби не коригувати вогонь ворога.
Застереження варто сприймати серйозно, оскільки навіть інформацію з відкритих джерел можна використати як розвіддані. Розвідка на основі таких даних має назву Open source intelligence або ж OSINT, і в російсько-українській війні вона відіграє не останню роль. Звісно, використовувати ці інструменти можна і для захисту. Давайте розбиратися, як працює OSINT і чому сфера її застосування обмежується не лише воєнними діями.
Від воєнних задач до бізнес-аналітики
Термін OSINT включає пошук, аналіз і використання загальнодоступної інформації для ухвалення рішень. Вперше збирати та аналізувати публічну інформацію розпочали під час Другої світової війни. Тоді у США створили службу моніторингу іноземного мовлення (FBMS) для аналізу інформації, яку видавали іноземні організації. З появою інтернету ключовими джерелами для OSINT-розслідувачів стали саме онлайн-джерела, включно з соцмережами.
Так, за даними Агентства оборонної розвідки, сьогодні близько 80% розвідувальних даних DIA надходять саме із відкритих джерел.
Бізнес-аналітика та інвестиції
Сфери застосування методик OSINT поширюються далеко за межами військової розвідки, зокрема і для аналізу подій у бізнес-індустріях. OSINT можна використовувати для попереднього аналізу контрагента, для конкурентного аналізу, або ж для вивчення реакції аудиторії на той чи інший продукт.
Застосовують OSINT також інвестори та венчурні фонди: перш ніж підписати угоду про фінансування проєкту, аналітики можуть збирати та досліджувати інформацію про фаундерів та ключових топ-менеджерів із відкритих джерел.
Юриспруденція та правоохоронна діяльність
Адвокатські фірми теж часто користуються техніками OSINT для розслідувань та підготовки справ, аналізуючи відкриті дані з соцмереж чи медіа.
Крім того, OSINT використовують для розслідування злочинів. За допомогою збору інформації з відкритих джерел, слідчі можуть розрахувати всі ризики спецоперації, визначити місце, де ховається зловмисник, передбачити перешкоди тощо. Такий аналіз також є корисним у створенні профілю злочинця – щоб мати краще уявлення про спосіб життя, звички тощо.
Правоохоронці використовують OSINT для дослідження даркнету. Вони сканують вебфоруми та магазини на предмет торгівлі незаконними товарами та послугами. Такі дослідження полегшують розслідування у сфері кібербезпеки, кібертероризму та кібервійн.
OSINT і кібербезпека
У кібері OSINT може використовуватись як для захисту, так і для нападу. Так, ці техніки можуть допомогти у виявленні витоку даних. Часто хакери після зламу систем публікують частину вкрадених даних у згаданому вже даркнеті, щоб продемонструвати «товар». Якщо компанія вчасно зреагує, вона може запобігти подальшому розповсюдженню і зберегти недоторканність чутливих даних, які не входили до «демонстраційного пакету».
Дуже часто OSINT-інструментарій дозволяє хакерам отримати корисну інформацію про ціль. Візьмемо для прикладу соціальну інженерію: таргетовані атаки не покладаються на «листи щастя», у яких обіцяють мільярдний спадок від загубленого родича. Зловмисники відправляють добре написані фішингові листи, розуміючи специфіку роботи конкретної жертви (з якими програмами людина працює, які контрагенти та контролюючі органи надсилають їй повідомлення), а також вивчаючи аспекти особистого життя. Звісно такий тип атаки передбачає набагато складнішу підготовку, адже вона є таргетованою, але тим не менш ви будете здивовані тим обʼємом інформації, яку можна знайти ледь не про будь-яку людину у відкритих джерелах. Детальніше про основні види фішингових атак та методи протидії за посиланням.
Більш того, відповідно до більшості прийнятих методологій, OSINT є першою ланкою в чи не найпопулярнішому виді тестувань з кібербезпеки — тестах на проникнення (Penetration Test або скорочено Pentest).
Водночас, цю ж техніку використовують для того, аби убезпечити дані працівників та компанії. Виявивши слабкі точки, фахівці можуть покращити безпеку захисту персональних даних.
OSINT та російсько-українська війна
Якщо говорити про OSINT у контексті війни, то до уваги береться військова, політична, економічна та інша релевантна інформація. За допомогою отриманих даних і висновків військово-політичне командування може ухвалювати більш зважені рішення у сфері національної оборони та безпеки. А ворог тим часом використовує ті ж інструменти і методи для пошуку цілей і більш руйнівних обстрілів.
Одним з останніх ефективних прикладів використання OSINT видання explainer називає запобігання спробам росіян приховати вбивства в Бучі. Коли російські війська відступили з Київської області, вони намагались приховати та заперечити заподіяну шкоду та вбивства. Американська компанія Maxar Technologies, яка займається супутниковим зніманням Землі, надала знімки тіл, виявлених у Бучі до виходу росіян з території міста. На знімках було видно, що тіла лежать на тих самих місцях, де їх пізніше знайшли українські військові. Відтак, співставивши різні дані, можна було довести, що росіяни вкотре збрехали про свою невинуватість.
Спеціалізовані облікові записи у Twitter, такі як Intel Crab, Caliber Obscura та Aurora Intel використовуючи відкриті джерела аналізували ключові напрямки російського вторгнення у перші місяці війни та передбачали відведення російських військ.
Окреме значення OSINT відіграє у піднятті морального духу українців. В статті American Security Project, йдеться про те, що завдяки аналізу кількості невдач російських військових та успіхів українських, фахівці змогли донести інформацію до громадян України таким чином, аби зміцнити моральний дух на початку війни. Враховуючи справжню ейфорію у соцмережах, яка мала місце після вдалого контрнаступу ЗСУ на Харківщині, роль OSINT видається вкрай важливою. Можливо, саме тому коли російська сторона це помітила, одразу ж посилилось число фейків в українських соцмережах.
OSINT-аматори vs професіонали
Є два підходи до вивчення OSINT. Якщо ви маєте достатньо часу, можна проходити онлайн-курси, читати статті і ґайди, слухати короткі лекції в Youtube, а потім застосовувати нові навички на практиці, шліфуючи майстерність.
Отриманих самостійно і нашвидкуруч навичок не вистачить для того, щоб працювати у розвідці чи готувати детальні звіти для великих компаній. Проте навіть такі базові знання і вміння дозволять вам долучитись до OSINT-спільноти і допомагати журналістам-розслідувачам — як міжнародних проєктів, таких як Bellingcat, так як і українських - InformNapalm чи Bihus.Info.
Якщо ж йдеться про більш глибоке опанування інструментарію і подальше його використання для комерційних проєктів, державної чи військової служби, краще пройти ґрунтовне навчання. Це може бути як офлайн, так і онлайн-курс чи тренінг, але з практичними вправами і зворотним зв’язком від викладача. ISSP Training Center допоможе вам отримати професійні навички з OSINT методологій для подальшої роботи у сфері кібербезпеки.
А перспективність цієї сфери як професійного напрямку роботи буде тільки зростати. Згідно з дослідженням Global Market Insights, ринок OSINT-розвідки за результатами 2020 року вже перевищив 5 млрд доларів та до 2027 року може зрости ще на 25%. Наприклад, у Німеччині OSINT став основною технологією очищення, упорядкування та аналізу величезних обсягів даних та приніс близько 42,66 млн доларів доходу в 2020 році. Це означає, що навички, які українці сьогодні отримують для ведення «інформаційної» війни, в майбутньому стануть в пригоді і для виконання мирних задач: бізнесових, правових, журналістських тощо.
17-18 жовтня відбудеться курс I-OSINT Level 1 | Розвідка на основі відкритих джерел (Open-source Intelligence) в ISSP Training Center.