CC BY
0
Фаниев Павел Андреевич
Использование расширенных возможностей поисковой строки Google для сбора криминалистически значимой информации
в сети Интернет
Рассматриваются возможности использования поисковых операторов Google для сбора информации в Интернете. Объясняются основные принципы работы с поисковыми операторами, даются практические советы по использованию различных техник для получения релевантных результатов.
Ключевые слова: Google Dorks, операторы Google, поисковый запрос, криминалистически значимая информация, сбор информации.
Using the advanced capabilities of the Google search bar to collect criminally significant information on the Internet
This article discusses the use of Google operators to search information on the Internet. The author explains the basic principles of working with search operators, provides practical advice on using various techniques to obtain relevant results.
Keywords: Google Dorks, Google operators, search query, criminally significant information, information collection.
Борьба с киберпреступлениями является одной из главных задач современного информационного общества. Согласно данным интерактивной карты киберугроз, разработанной лабораторией Кас-перского [1], каждый день в мире происходят сотни тысяч кибератак на частные компьютеры, организации и государства. Поэтому борьба с данным видом преступности стала важной частью работы правоохранительных органов, а также неотъемлемой составляющей информационной безопасности в коммерческих и бюджетных организациях. Кроме получения несанкционированного доступа к пользовательской информации, к киберпреступлениям можно отнести деяния, связанные с распространением контента деструктивной направленности, такого как продажа наркотиков, детская порнография, пропаганда идеологии нацизма и т.д. В подавляющем большинстве цивилизованных стран подобные деяния преследуются на законодательном уровне. Так, например, в Российской Федерации за изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних предусмотрена уголовная ответственность в соответствии со ст. 242.1 УК РФ [2].
В 2018 г. были созданы первые казачьи кибердружины для борьбы с «группами смерти» в сети Интернет [3]. 11 октября 2022 г. Указом Президента РФ от 30 сентября 2022 г. № 688 «О внесении изменений в некоторые акты Президента Российской Федерации» в структуре Министерства внутренних дел Российской Федерации для борьбы с киберпреступления-ми было создано Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий (УБК МВД России) [4]. В числе основных задач УБК МВД России названы предупреждение, выявление, пресечение и раскрытие преступлений и иных правонарушений в сфере ^-технологий, а также координация этой деятельности в системе МВД России, анализ данных, содержащихся в информационно-телекоммуникационных сетях, в целях выявления запрещенного контента и противодействия преступности [5].
Реализации указанных задач может способствовать использование различных современных технологий, таких как машинное обучение, анализ больших данных, а также методов специализированных прикладных дисциплин. Одной из таких дисциплин является OSINT -сбор данных по открытым источникам, т.е. по-
81
иск, сбор и анализ информации, полученной из общедоступных источников.
Основной принцип OSINT - использование различных источников информации, поскольку каждый отдельный источник может дать фрагментарную информацию, и только комбинация множества источников позволяет получить полную картину. Например, информация из социальных сетей может дать представление о взглядах и интересах конкретного человека, а сведения из открытых баз данных, например об операциях с криптовалютами и их перемещении между кошельками, - о проводимых им финансовых операциях. Подобный подход можно применять для расследования преступлений, поиска подозреваемых, анализа деятельности организованной преступной группы и др. Кроме того, изучение различных источников может предоставить ценные сведения, которые могут помочь не только в расследовании, но и в профилактике преступлений.
Зачастую для сбора необходимой информации в сети Интернет используются различные поисковые сервисы, например Яндекс, Yahoo, Mail и т.д. Но самым популярным остается Google. Это связано с тем, что в нем реализован широкий функционал, делающий его удобным для пользователей. Следует отметить, что Google постоянно улучшает свои поисковые алгоритмы, чтобы обеспечить наиболее точные результаты выдачи. Однако его использование не всегда приводит к ожидаемым результатам. Это связано с особенностью алгоритма поиска информации в Интернете, используемого в Google, - PageRank.
Этот алгоритм был разработан основателями Google и предназначен для оценки важности веб-страниц. Порядок поисковой выдачи Google напрямую зависит от рейтинга страницы, который определяется не только количеством ссылок на нее, но и их качеством. Страницы с большим количеством ссылок считаются более важными. При этом не все ссылки равнозначны. Каждая конкретная ссылка оценивается исходя не только из ее собственной важности, но и важности «родительской» страницы. Таким образом, страницы, на которые существует много ссылок из источников с высоким рейтингом, будут иметь более высокий ранг, чем страницы с множеством менее релевантных ссылок.
Для повышения качества найденной информации в OSINT широко используются так называемые Google Dorks.
Google Dorks (или Google Hacking Dorks) -это техника, которая использует специальные
наборы команд и операторов для поисковой строки Google, чтобы уточнить запрос и получить доступ как к специфической информации (например, кэшированные копии страниц), так и к информации в определенной форме (например, документы в формате .pdf). Такие наборы команд помогают конкретизировать работу стандартных алгоритмов ранжирования Google, отсортировать информацию и найти то, что в противном случае было бы сложно или невозможно обнаружить. Например, с их помощью можно выявить файлы, которые доступны для скачивания на определенных сайтах, пароли к сайтам или другую конфиденциальную информацию.
Прежде чем рассматривать некоторые из возможных приемов Google Dorks на практике, следует уточнить ряд моментов, касающихся работы Google поиск в целом:
1. Регистр букв в поисковом запросе не имеет значения.
2. Пробел воспринимается алгоритмами Google как логическая связка «и». Это значит, что при написании, к примеру, фразы для поиска «Поисковый сервис Google» поиск будет осуществляться как по всей фразе в целом, так и в отдельности по каждому слову. Чтобы этого избежать, необходимо поисковый запрос заключать в кавычки.
3. Google имеет встроенную функцию склонения слов в запросах, поэтому изменять склонение в каждом из запросов не имеет смысла.
4. Google формирует результаты выдачи по релевантности.
5. Поиск осуществляется на том языке, на котором был сформирован запрос. То есть в случае написания запроса на русском языке шанс получить в результатах сайт на английском не слишком велик. Поэтому наиболее верным будет использовать в запросе тот язык, на котором желательно получить результат.
6. На результаты выдачи влияет история ранее осуществленных запросов. Ввиду этого целесообразно использовать различного рода средства анонимизации, режимы инкогнито и т.д. Наиболее подходящим вариантом будет использование «чистой» виртуальной машины с каким-либо специализированным браузером, например Venator, LibreWolf и т.д.
7. На результаты выдачи также влияет геопозиция. Поэтому следует использовать IP той страны (или региона), по которому осуществляется поиск информации.
Принимая во внимание изложенное, рассмотрим принципы работы некоторых поисковых операторов Google:
82
1) site: позволяет искать информацию только на конкретном домене или сайте; например, site:example.com покажет результаты только для веб-сайта example.com;
2) filetype: предоставляет возможность поиска файлов определенного типа; например, filetype:pdf покажет результаты, которые являются PDF-файлами;
3) intext: ищет страницы, содержащие определенные ключевые слова в тексте; например, intext:password покажет результаты, которые содержат слово "password" в тексте страницы;
4) inurl: обнаруживает веб-сайты, содержащие определенные слова в URL-адресе; например, inurl:admin покажет результаты, которые содержат слово "admin" в URL-адресе страницы;
5) intitle: выявляет страницы, заголовки которых содержат определенные ключевые слова; например, intitle:"index of" покажет результаты, где в заголовке страницы содержится фраза "index of";
6) related: позволяет найти веб-сайты, которые связаны с указанным в запросе веб-сайтом; например, related:wikipedia.org покажет сайты, связанные с Wikipedia;
7) cache: позволяет просмотреть кэши-рованную версию веб-страницы, которую Google хранит в своей базе данных; например, cache:wikipedia.org покажет кэшированную версию главной страницы Wikipedia.
Используя эти операторы в поиске Google, можно создавать мощные Dorks для поиска различных типов информации. Сейчас уже сформирована достаточно большая база dork-запросов, которая размещена на сайте https:// www.exploit-db.com/google-hacking-database. На момент написания статьи на сайте имелось 7 824 сформированных dork-запроса. Однако этот список не является исчерпывающим, поскольку каждый dork необходимо формировать, исходя из потребностей.
Рассмотрим некоторые из уже сформированных запросов:
1) site:xakep.ru "OSINT" - выдачей на этот dork будет список статей, в которых имеется слово "OSINT", во всех статьях журнала «Хакер», размещенного по адресу xakep.ru; при этом если в запросе после слова OSINT внутри кавычек мы добавим какой-нибудь текст, то в выдаче, соответственно, будут все страницы, содержащие слово "OSINT + какой-либо текст";
2) «Иванов Иван Иванович» -инженер - при такой формулировке запроса Google вернет нам все сайты, на которых имеется информация про Иванова Ивана Ивановича, за ис-
ключением тех, где есть слово инженер; важно обратить внимание, что «-» перед словом «инженер» в запросе ставится без пробела, в противном случае оператор «-» не сработает;
3) site:xakep.ru "5 утилит для *" - в данном случае Google вернет нам также список статей с сайта журнала «Хакер», в тексте которых будет содержаться словосочетание «5 утилит для + какое-то слово», что обусловлено применением оператора «*», который подменяет собой одно любое слово (такая конструкция удобна, когда мы не знаем точную формулировку искомой информации);
4) участники site:*.gov.ru filetype:pdf - этот запрос вернет в результатах выдачи список страниц, содержащих в себе файлы в формате .pdf, которые расположены на домене .gov.ru и содержат в своем тексте слово «участники», при этом оператор «*», используемый в имени сайта, позволяет найти подобные файлы на всех сайтах, использующих домен .gov.ru, например rosstat.gov.ru или digital.gov.ru;
5) cache:rosstat.gov.ru - позволяет увидеть версию страницы, сохраненную в кэше Google, при этом можно увидеть время и дату кэширо-ванной версии страницы;
6) allinurl:fedorov - покажет все сайты, в URL-адресе которых имеется слово «fedorov»; примечательно, что этот оператор самостоятелен и комбинировать его с другими нельзя, по такому же принципу работают операторы «intitle: allintitle: - поиск по заголовкам страницы», «intext: allintext: - поиск по содержимому сайта».
Наряду со сбором информации о физических и юридических лицах, использование Google Dorks позволяет решать довольно широкий спектр практических задач. Например, они могут использоваться для локализации утекших данных. Решение данной проблемы, как правило, осуществляется в несколько этапов:
1. Определение цели поиска: сначала следует определить, какой тип утекших данных нужно найти. Это могут быть персональные данные, внутренние документы, доступ к административным панелям и т.д.
2. Формирование запросов: составление списка запросов Google Dorks, которые могут помочь найти нужную информацию. Например, чтобы найти утекшие документы организации, можно использовать запросы типа site:mmarket.com filetype:pdf"confidential".
3. Анализ результатов: после выполнения запросов анализируются полученные результаты.
4. Документирование: в процессе поиска осуществляется документирование всех найден-
83
ных утекших данных, например, путем изготовления скриншотов, создания копии страницы с обязательным отображением URL-адреса или сохранения копии самой информации, найденной в ходе поиска.
Также поисковые операторы могут применяться для предупреждения и профилактики преступлений. Например, использование оператора "index of /" дает техническую возможность осуществления анализа открытых ftp-серверов различных организаций с целью выявления преступлений, предусмотренных ст. 272 УК РФ. При этом необходимо подчеркнуть, что сбор и
1. Интерактивная карта киберугроз в реальном времени [Электронный ресурс]. URL: https://cybermap.kaspersky.com/ru/stats#country =213&type=OAS&period=w
2. Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ (в ред. от 04.08.2023; с изм. и доп., вступ. в силу с 12.10.2023) [Электронный ресурс]. URL: https://www.consultant.ru/document/cons_doc_ LAW_10699/
3. На Кубани создают первую казачью ки-бердружину [Электронный ресурс]. URL: https://www.kuban.kp.ru/online/news/3028664/
4. О внесении изменений в некоторые акты Президента Российской Федерации [Электронный ресурс]: указ Президента Рос. Федерации от 30 сент. 2022 г. № 688. URL: http://publication.pravo.gov.ru/Document/ View/0001202209300029
5. URL: https://mvdmedia.ru/news/official/ v-strukture-mvd-rossii-sozdano-upravlenie-po-organizatsii-borby-s-protivopravnym-ispolzovaniem-infor/
использование информации с помощью Google и других поисковых систем должны строго соответствовать требованиям действующего законодательства и этическим нормам.
Подводя итоги, можно утверждать, что Google Dork - мощный инструмент для расследования и профилактики киберпреступлений, позволяющий искать информацию более точно и эффективно, обнаруживать скрытые данные. Однако важно помнить, что информация, найденная с помощью поисковых операторов, может быть устаревшей, неточной и требует проверки и подтверждения.
1. Interactive map of cyber threats in real time [Web resource]. URL: https://cybermap.kaspersky. com/ru/stats#country=213&type=OAS&period=w
2. The Criminal Code of the Russian Federation d.d. June 13, 1996 No. 63-FZ (as amended on 04.08.2023; with additions from 12.10.2023) [Web resource]. URL: https://www.consultant.ru/ document/cons_doc_LAW_10699/
3. The first Cossack cyberdrug is being created in the Kuban [Web resource]. URL: https://www. kuban.kp.ru/online/news/3028664/
4. On Amendments to Certain Acts of the President of the Russian Federation [Web resource]: decree of the President of the Russian Federation d.d. Sept. 30, 2022 No. 688. URL: http://publication.pravo.gov.ru/Document/ View/0001202209300029
5. URL: https://mvdmedia.ru/news/official/ v-strukture-mvd-rossii-sozdano-upravlenie-po-organizatsii-borby-s-protivopravnym-ispolzovaniem-infor/
СВЕДЕНИЯ ОБ АВТОРЕ
Фаниев Павел Андреевич, адъюнкт кафедры судебно-экспертной деятельности Краснодарского университета МВД России; эксперт организационно-методического отдела ЭКЦ ГУ МВД России по Краснодарскому краю; e-mail: faniev_pavel@mail.ru
INFORMATION ABOUT AUTHOR
P.A. Faniev, Adjunct of the Department of Forensic Expert Activity, Krasnodar University of the Ministry of the Interior of Russia; Expert of the Organizational and Methodological Department of the Expert and Forensic Center, Main Directorate of the Ministry of the Interior of Russia across the Krasnodar Territory; e-mail: faniev_pavel@mail.ru
84
