OSINT (czyli open- source intelligence) to tak zwany biały wywiad. Polega on na wykorzystaniu w śledztwie lub analizie wszelkich publicznie dostępnych narzędzi oraz źródeł informacji. Wbrew pozorom uzbrojeni w taki arsenał jesteśmy w stanie zrobić bardzo dużo. Niejednokrotnie różne agencje czy cyberanalitycy za pomocą OSINT-u identyfikują siatki trolli, łapią hakerów czy dochodzą do tego kto prowadzi propagandę na niektórych portalach.
Czy korzystanie z OSINT-u jest trudne? Niewątpliwie wymaga ono doświadczenia, znajomości paru istotnych technik, a niekiedy sporej ilości czasu. Analitycy często podpierają się narzędziami, które automatyzują ich prace, jednak nie zawsze jest to konieczne.
Siatki trolli
Ot weźmy chociażby przykład akcji promocyjnej rządowej aplikacji ProteGo, mającej pomóc w walce z koronawirusem. Po publikacji na jej temat i konferencji prasowej, na Twitterze pojawiło się wiele postów chwalących tę aplikację. Zdecydowana większość, jak zauważyła analityczka Anna Mierzyńska, okazała się być bardzo podobnej treści:
Jest to dla nas pierwsza lampka ostrzegawcza. Poza tym spora część tych kont powstała w tym samym miesiącu, w którym miejsce miała konferencja prasowa. Dalsza analiza kont wykazała bardzo podobne zainteresowania danych użytkowników. Dalej za pomocą OSINT-u jesteśmy w stanie sprawdzić np. czy dana osoba tytułująca się profesorem istnieje w stosownej bazie.
Kolejną wskazówką jest to, że konta trolli posiłkują się zdjęciami profilowymi ściągniętymi z internetu, jak to przeanalizował portal niebezpiecznik. Dane zdjęcie bardzo łatwo wyszukać w sieci choćby za pomocą strony https://images.google.com/
Również stosowne narzędzia automatyzujące OSINT wykazały zadziwiającą siatkę powiązań (tzw. followersów) owych kont. Jest to kolejny dowód na to, że konta prawdopodobnie są fikcyjne:
Podobną analizę, wykazującą setki powiązanych kont w popularnym serwisie wykop.pl przedstawiono niedawno na blogu ZaufanaTrzeciaStrona.pl. Tam również wykazano, iż niektóre polityczne posty były wyjątkowo chętnie „zakopywane” przez użytkowników serwisu będących prawdopodobnie botami.
Kto stoi za dezinformacją?
Inny przykładem zastosowania OSINT-u jest sprawdzanie powiązań danego portalu. I tak analitycy z EU DisinfoLab wzięli pod lupę francuską stronę ObservateurContinental.fr, która szerzyła dezinformację na temat COVID-19.
I tak już przejrzenie publicznie dostępnej bazy danych WHOIS dało pierwszą wskazówkę na temat korzeni strony:
Nie trzeba dodawać, że InfoRos to moskiewska agencja prasowa. Jej fizyczny adres brzmi „7-2 Krzhizhanovskogo,117218 Moscow”, natomiast w zakładce Technical Contact portalu ObservateurContinental.fr mamy:
Zadziwiająca zbieżność!
Jednak nie tylko Rosjanie próbują wpłynąć na francuską opinię publiczną. Ci sami badacze przyjrzeli się również innej stronie z kraju trójkolorowych, a mianowicie „France Libre 24” (znajdującej się pod adresem fl24.net), również szerzącej dezinformację. Tym razem pod lupę wzięto adres IP. Szybki rzut oka na publiczną bazę ujawnił ciekawy fakt:
Otóż owa strona dzieli swój adres IP z polską stroną wolnosc24.pl. Wcześniej pod tym adresem IP działała strona nczas.com założona przez Janusza Korwina-Mikke. Właścicielem tych dwóch polskich stron jest ta sama spółka S5 Media Sp. z o.o.
Z kolei internetowe archiwa archive.md posłużyły do znalezienia informacji o spółce, która jest właścicielem fl24.net:
Kolejne inwestygacje potwierdziły, że zarówno w S5 Media i S6 Media swoje udziały posiadają Tomasz S. i Krzysztof S. Z kolei inny udziałowiec S5 Media, Adam W., jest udziałowcem spółki Cat@Net, która wg śledztwa przeprowadzonego przez TheGuardian jest odpowiedzialna za tworzenie polskich farm trolli.
Haker złapany przez OSINT
OSINT ma też inne zastosowania. Za jego pomocą analitycy z firmy Checkpoint byli w stanie zidentyfikować personalia hakera ukrywającego się pod pseudonimem „VandaTheGod”.
VandaTheGod był bardzo aktywny w social mediach, gdzie często chwalił się zhakowanymi stronami. I to go zgubiło. W jednym z postów na Twitterze podzielił się ze społecznością cyberprzestępców swoim adresem e-mail:
Ponownie szybki rzut oka do bazy WHOIS pozwolił zidentyfikować, że osoba rejestrująca dane domeny pochodzi z Brazylii, a konkretnie z miasta Uberlandia:
Jeden ze screenshotów umieszczonych przez hakera na Twitterze ujawnił o nim kilka kolejnych ciekawych informacji:
Po pierwsze VandaTheGod utożsamia się z Brazilian Cyber Army (BCA). Po drugie w jednej z zakładek ma otwartego Facebooka z kontem „Vanda De Assis”. O ile samo konto nie zawiera osobistych informacji, o tyle jego zawartość potwierdza, że należy ono faktycznie do tego hakera.
Z kolei inny screenshot ujawnia prawdopodobne inicjały cyberprzestępcy:
To już pozwoliło zawęzić poszukiwania. Analitycy z Checkpointa przeszukali Facebooka pod kontem osób o inicjałach M R pochodzących z Uberlandii. Liczba kont wynikowych była na tyle mała, że można było je przeanalizować ręcznie. Jedno z nich umieściło na swoim profilu logo Brazilian Cyber Army. Bingo.
Pozostało już tylko się upewnić, że to faktycznie ta sama osoba. Porównano znalezione konto z kontem „Vanda De Assis”. Oprócz ujęć niewątpliwie tego samego pomieszczenia znalazły się również identyczne zdjęcia wrzucone do obu profili:
Pozostało zatem już tylko powiadomić stosowne władze.
OSINT to potęga
Nie zawsze hakowanie wiąże się z używaniem wysoko wyspecjalizowanych i płatnych narzędzi. Często wiele informacji można znaleźć za pomocą publicznie dostępnych stron i źródeł. Wystarczy tylko wiedzieć gdzie szukać. Istnieje wiele kursów i poradników z przydatnymi linkami do stron pomocnych do przeprowadzania OSINT-u. Warto zapoznać się z częścią z nich i wyrobić sobie opinie na temat ich przydatności, aby następnie móc w internecie prowadzić swoje prywatne, całkowicie legalne, śledztwa.
Jeżeli temat artykułu zainteresował Cię, zapisz się do naszego newslettera. Już wkrótce planujemy kolejny artykuł omawiający wykorzystanie technik OSINT-owych w audytach bezpieczeństwa i testach socjotechnicznych.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
