8 інструментів OSINT, які використовують професіонали
Для пошуку двійників, реверс-інжинірингу, візуалізації звʼязків та автоматизації
Світ OSINT (Open Source Intelligence, або розвідки на основі відкритих джерел) набагато ширший, ніж простий пошук у Google. У професійних розслідуваннях, чи то в журналістиці, кібербезпеці, військовій справі, корпоративній розвідці, інструменти допомагають автоматизувати збір даних, аналізувати величезні масиви інформації та візуалізувати приховані зв'язки.
Раніше ми вже писали про саму професію OSINT-спеціаліста і про найгучніші кейси. В цій же статті розглянемо практичний бік професії — 8 інструментів, які є в арсеналі досвідчених аналітиків. Саме їх використовують, щоб викривати дезінформаційні кампанії, розслідувати воєнні злочини, аналізувати ринкових конкурентів та знаходити цифрові сліди, яких інші не помічають.
Maltego: Візуалізація зв'язків
Якщо OSINT — це складання величезного пазла, то Maltego — це інструмент, який не лише знаходить його частини, але й показує, як вони поєднані між собою. Це, мабуть, один із найвідоміших і найпотужніших інструментів для графічного аналізу, який використовується для візуалізації складних мереж і зв'язків між різними об'єктами.
Як це працює?
Maltego працює за принципом «трансформацій». Ви починаєте з одного фрагмента інформації (наприклад, доменне ім'я, нікнейм, email або номер телефону), а потім застосовуєте до нього трансформації — спеціальні запити до публічних джерел даних.
Інструмент автоматично збирає пов'язану інформацію: IP-адреси, профілі в соцмережах, записи DNS, файли, що належать компанії, імена співробітників тощо.
Головна перевага — у візуалізації. Всі знайдені дані представляються у вигляді інтерактивного графа, де кожен об'єкт (людина, компанія, сайт) є вузлом, а зв'язки між ними — лініями. Це дозволяє миттєво побачити повну картину: як пов'язані між собою різні люди, які компанії належать одній особі або яка інфраструктура стоїть за певним вебсайтом.
Джерело: Maltego
Shodan: Пошуковик для IoT
У той час як Google індексує вебсторінки, Shodan індексує пристрої, підключені до інтернету. Він сканує інтернет 24/7, збираючи інформацію про сервери, вебкамери, промислові системи керування (ICS), світлофори, домашні роутери та мільйони інших пристроїв.
Як це працює?
Shodan збирає так звані «банери» — метадані, якими пристрої «представляються» при підключенні. Ця інформація містить тип пристрою, програмне забезпечення, версію, географічне розташування, відкриті порти й потенційні вразливості. На відміну від звичайного пошуковика, ви можете шукати не за ключовими словами, а за технічними параметрами.
Наприклад, знайти всі вебкамери певної моделі в конкретному місті або сервери з певною версією програмного забезпечення, яка має відому вразливість.
Фахівці з кібербезпеки використовують Shodan для моніторингу власної інфраструктури на предмет вразливостей (Attack Surface Monitoring). Журналісти й розслідувачі можуть знаходити незахищені бази даних, відкриті системи керування та інші критичні точки, які свідчать про недбалість або потенційні загрози. Військові аналітики можуть використовувати його для картографування цифрової інфраструктури супротивника.
SpiderFoot: Автоматизація збору інформації
SpiderFoot — це інструмент для автоматизації процесу збору OSINT. Він збирає та структурує якомога більше інформації про задану ціль, чи то IP-адреса, домен, email, чи нікнейм. Такий пошук дозволяє скласти повний цифровий портрет об'єкта.
Як це працює?
Ви задаєте початкову точку, а SpiderFoot починає ланцюгову реакцію. Наприклад, ви вводите доменне ім'я. Інструмент знаходить його IP-адресу, потім сканує цю IP-адресу на наявність інших сайтів, шукає email-адреси, пов'язані з доменом, перевіряє ці адреси на наявність у базах витоків даних, шукає профілі в соцмережах, пов'язані з цими email тощо.
Джерело: Spiderfoot
Recon-ng: Фреймворк для розвідки
Recon-ng — це потужний та гнучкий фреймворк для веброзвідки, написаний на Python. Його інтерфейс і модульна структура дуже нагадують відомий інструмент для пентестерів Metasploit. Recon-ng створений для автоматизації рутинних завдань зі збору інформації з відкритих джерел.
Як це працює?
Фреймворк має модульну архітектуру. Кожен модуль відповідає за конкретне завдання: пошук субдоменів, збір email-адрес, пошук профілів у соцмережах, взаємодію з API різних сервісів (наприклад, Shodan або Google) тощо. Користувач створює «робочі простори» (workspaces) для кожного розслідування, куди складаються всі знайдені дані. Це дозволяє тримати інформацію впорядкованою та легко нею керувати.
theHarvester: Комбайн для збору даних
theHarvester — це ще один класичний інструмент для збору інформації на початкових етапах розслідування. Його основне завдання — зібрати email-адреси, імена співробітників, субдомени, віртуальні хости й відкриті порти з різноманітних публічних джерел.
Як це працює?
Інструмент використовує пасивні методи збору, тобто не взаємодіє напряму з цільовим сервером, що робить його непомітним. Він надсилає запити до популярних пошукових систем (Google, Bing, DuckDuckGo), а також до спеціалізованих сервісів, таких як LinkedIn, щоб знайти інформацію, пов'язану з певним доменом. Далі він формує зведений звіт, що дає змогу швидко оцінити цифровий слід організації.
Sherlock: Пошук цифрових двійників
У сучасному світі люди часто використовують один і той самий нікнейм на десятках різних платформ. Sherlock, власне, і створений для того, щоб знайти ці акаунти.
Принцип роботи Sherlock геніально простий. Ви надаєте йому один-єдиний аргумент — нікнейм. Далі він перевіряє сотні сайтів та соціальних мереж на наявність профілю з таким самим іменем. Результатом є список посилань на всі знайдені акаунти.
Джерело: Nixintel
Для розслідувача це золота жила. Знайшовши акаунти людини на різних платформах, можна скласти детальний психологічний та професійний портрет. Це допомагає зрозуміти інтереси особи, коло її спілкування, технічні навички та навіть політичні погляди. Sherlock — обов'язковий інструмент для деанонімізації та побудови цифрового досьє.
Ghidra: Аналіз того, щоб під капотом програм
Ghidra — це нетиповий OSINT-інструмент. Це фреймворк для зворотної розробки (реверс-інжинірингу), створений Агентством національної безпеки (АНБ) США та відкритий для загального доступу. Навіщо він потрібен в OSINT?
Ghidra дозволяє декомпілювати, тобто перетворювати машинний код програм назад у код, зрозумілий людині. Це дає змогу аналізувати те, як працює будь-який виконуваний файл, мобільний застосунок або навіть прошивка пристрою.
Уявіть, що під час розслідування ви знайшли підозрілий файл — наприклад, зразок шкідливого програмного забезпечення, який використовувався в атаці. За допомогою Ghidra аналітик може розібрати його на частини та зрозуміти його функціонал: куди він надсилає дані, як спілкується з командним центром, які вразливості використовує. Це дозволяє не просто зафіксувати факт атаки, але й атрибутувати її, тобто знайти докази, які вказують на конкретну групу зловмисників. Так само можна аналізувати прошивки пристроїв, знайдених через Shodan, щоб виявити приховані функції або вразливості.
FOCA (Fingerprinting Organizations with Collected Archives)
Назва цього інструменту говорить сама за себе. FOCA спеціалізується на пошуку та аналізі метаданих, прихованих у файлах, які компанії публікують у відкритому доступі.
Як це працює?
FOCA автоматично сканує вебсайти в пошуках документів (таких як .pdf, .docx, .xlsx) і витягує з них метадані. Ця, на перший погляд, невинна інформація може розкрити дивовижні деталі про внутрішню кухню організації. Метадані можуть містити:
- Імена користувачів, які створювали або редагували документ
- Назви їхніх комп'ютерів
- Версії програмного забезпечення
- Імена мережевих принтерів
- Внутрішні шляхи до файлів на серверах
Зібравши докупи ці фрагменти, аналітик може відтворити структуру внутрішньої мережі, ідентифікувати ключових співробітників та дізнатись, яке програмне забезпечення використовується в компанії. Це неоціненна інформація для фахівців з кібербезпеки, які планують здійснювати тестування на проникнення, або для корпоративної розвідки.
