CC BY
40Криминалистика
Научная статья УДК 343.9
Тихая разведка OSINT как способ получения криминалистически значимой информации
Павел Андреевич Фаниев
Экспертно-криминалистический центр ГУ МВД России по Краснодарскому краю, Краснодар, Россия faniev_pavel@mail.ru
АННОТАЦИЯ. Введение. Посвящена изучению возможности сбора криминалистически значимых сведений в открытых источниках. Исследуются перспективы внедрения методов OSINT для сбора информации в сети Интернет.
Цель исследования заключается в анализе приемов и методов, используемых в OSINT, определении перспективности их использования для раскрытия преступлений и расследования уголовных дел. Для достижения поставленных целей определяется понятие и классификация методов OSINT. Указываются основные этапы сбора информации с использованием приемов OSINT, а также описываются критерии оценки полученной информации.
Сделан вывод о перспективности применения OSINT для сбора информации в сети Интернет. Наглядно демонстрируются некоторые «атакующие» и «защитные» приемы, используемые в OSINT.
КЛЮЧЕВЫЕ СЛОВА: открытые источники, разведка OSINT, сбор информации, методы OSINT, тихая разведка
ДЛЯ ЦИТИРОВАНИЯ: Фаниев П. А. Тихая разведка OSINT как способ получения криминалистически значимой информации // Научный портал МВД России. 2023. № 2 (62). С. 82-87.
Criminalistics
Original article
OSINT silent intelligence as a way to obtain criminally significant information
Pavel A. Faniev
Expert and Forensic Center Main Directorate of the Ministry of Internal Affairs of Russia across
the Krasnodar Territory, Krasnodar, Russia
faniev_pavel@mail.ru
ABSTRACT. Introduction. The article is devoted to the study of the possibility of collecting criminalistically significant information in open sources. The prospects for the introduction of «OSINT» methods for collecting information on the Internet are being investigated.
The purpose of the study is to analyze the techniques and methods used in «OSINT», to determine the prospects of their use for solving crimes and investigating criminal cases. To achieve the set goals, the concept and classification of methods of quiet intelligence «OSINT» is defined. The main stages of collecting information using OSINT techniques are indicated, as well as the criteria for evaluating the information received are described.
The conclusion is made about the prospects of using OSINT to collect information on the Internet. Some «attacking» and «defensive» techniques used in OSINT are clearly demonstrated.
KEYWORDS: open sources, OSINT intelligence, information gathering, OSINT methods, silent intelligence
FOR CITATION: Faniev P. A. OSINT silent intelligence as a way to obtain criminally significant information // Scientific portal of the Russian Ministry of internal Affairs. 2023. № 2 (62). P. 82-87 (In Russ.).
Кто владеет информацией - тот владеет миром. Это было сказано еще Натаном Ротшильдом, когда в далеком 1815 г. в результате оперативно поступившей информации о поражении Наполеона в битве при Ватерлоо им было зара-
© Фаниев П. А., 2023 82
ботано 40 млн фунтов стерлингов, и не потеряло своей актуальности до сих пор. Своевременное получение информации может вершить судьбу как одного человека, так и целых государств. Особенно это ощущается в наши дни. Все чаще
в масс-медиа звучат такие определения, как «информационная или гибридная война». Что же это такое? Многие полагают, что эти понятия идентичны, но они сильно отличаются друг от друга. Информационная война - это противоборство сторон посредством распространения специально подготовленной информации и противодействия аналогичному внешнему воздействию1. Гибридная война - вид враждебных действий, при котором нападающая сторона не прибегает к классическому военному вторжению, а подавляет своего оппонента, используя сочетание скрытых операций, диверсий, кибервойны, а также оказывая поддержку повстанцам, действующим на территории противника [1]. Исходя из этих определений мы видим, что в обоих случаях основным критерием является оперирование определенного рода информацией независимо от формы ее представления.
В современном обществе значительная часть информации находится в сети Интернет и по большей части является открытой для публичного ознакомления. Сегодня одна из повседневных задач современного человека - это систематическое изучение, анализ, резюмирование и последующее использование полученной информации для решения как личных, так и служебных вопросов. Одним из продуктивных способов работы с информацией в сети является OSINT.
OSINT (англ. «open source intelligence») -это приемы разведки, суть которого заключается в поиске, сборе и анализе информации на основе открытых источников2. Он зародился еще в 1941 г. в США. В 1947 г. аналитик ЦРУ (впоследствии -руководитель Бюро национальных разведок ЦРУ, «отец разведывательного анализа») Шерман Кент в одном из своих интервью сказал, что 80 % информации, необходимой для принятия решений, ЦРУ получает из открытых источников.
Глобально все методы, используемые в OSINT, можно разделить:
1) на активные и пассивные;
2) атакующие (направлены на максимальный сбор сведений об объекте с целью получения наиболее полной личностной информации) и защитные (сбор данных ограничивается объемом, достаточным для обеспечения личной безопасности сотрудника).
1 См.: URL : ИПрзу/ги.шМресПа.огд/шМ/Информацион-ная_война (дата обращения : 23.02.2023).
2 См.: OSINT - что это такое и с чем его едят? URL : https://Carkstack.pro/surface-web/what-is-osint/ (дата обращения : 23.02.2023).
Активные методы подразделяются на три основных вида:
1) анкетирование и опрос. Данный способ состоит в получении информации об объекте из прямой беседы с самим объектом или кругом его общения. Интересующие вопросы прямо или завуалированно включаются в анкету либо задаются в ходе беседы;
2) прослушивание разговоров без прямого контакта с кругом общения либо непосредственно с объектом;
3) наружное наблюдение - этот метод позволяет изучить график работы объекта, предпочтительные маршруты и способы перемещения и т. д.
Преимущества активных методов заключаются в том, что есть возможность получить информацию высокого уровня достоверности и ценности, представляющую собой ранее нигде не обнародованных сведений. Недостатком является необходимость в большинстве случаев контактировать с объектом интереса. На практике активные методы используются для интернет-разведки гораздо реже. Для получения информации исследуется ^-инфраструктура, связанная с объектом интереса, и активное взаимодействие с компьютерами и машинами. Применяются продвинутые техники для получения доступа к открытым портам, сканирование уязвимостей и серверных веб-приложений. При таком подходе факт сбора информации может быть раскрыт, а сотрудник, осуществляющий сбор, - деанонимизирован.
Пассивные методы не подразумевают прямого контакта с объектом интереса или кругом его общения и в свою очередь также подразделяются на три категории:
1) сбор информации из открытых источников (СМИ, Интернет и т. д.);
2) пассивное наблюдение предполагает мониторинг конкретных свободных источников информации на протяжении определенного периода времени с целью получения максимально актуальной информации;
3) использование различных баз данных.
Всю получаемую информацию следует оценивать исходя из ряда критериев:
1) оперативность поступления - под ней понимается значимость сведений в тот или иной момент. В некоторых случаях актуальность может достигать нескольких секунд (например, геопозиция объекта в конкретный момент времени), соответственно подобную информацию необходимо получить в максимально короткие сроки, иначе она потеряет свою ценность;
2) объем - количество данных, получаемых из конкретного источника. Чем больше данных представляется возможным получить, тем более полноценный анализ возможно будет провести и впоследствии составить общую картину об объекте;
3) качество информации - сегодня в открытых источниках, особенно в сети Интернет, содержится большое количество недостоверных сведений, измененных как умышленно, так и неосознанно. Поэтому всю получаемую информацию необходимо проверять на достоверность и возможность умышленной фальсификации;
4) цена информации - означает, что затраты на получение информации не должны превышать ее значимости.
К основным этапам сбора информации, используя методы OSINT, относятся:
1) составление плана исследования или определение цели;
2) подготовка оборудования и программы, необходимых для решения поставленной задачи;
3) выполнение поиска по всем доступным идентификаторам;
4) сбор информации;
5) анализ полученных данных;
6) подготовка заключения и результатов;
7) архивирование или очистка оборудования.
Рассмотрим на практике некоторые из приемов OSIN для сбора информации. В первом случае осуществим проверку email-адреса отправителя письма, поступившего на электронную почту, на предмет благонадежности. Для этого выполним следующие действия:
1) откроем письмо, не переходя по вложенным ссылкам;
2) откроем исходный код письма;
3) изучим такие параметры, как SPF, DKIM, DMARC.
Эти параметры являются так называемыми ресурсными записями DNS - они связывают имя и служебную информацию о сервере, на который указывает это имя, и являются своего рода телефонной книгой Интернета. Рассмотрим каждый из параметров в отдельности:
SPF (Sender Policy Framework, инфраструктура политики отправителя) - это расширение указывает на то, что используемый домен разрешил отправку письма от своего имени;
DKIM (Domain Keys Identified Mail) является своего рода электронной подписью письма. Его наличие свидетельствует о том, что письмо не было перехвачено и видоизменено;
DMARK (Domain-based Message Authenti-
cation, Reporting and Conformance) - ключевой функцией является проверка аутентификации и отправка отчетов. Он проверяет, указан ли IP-адрес, email в разрешенных списках параметра SPF и удачно ли пройдена проверка параметра DKIM. Также он помогает отфильтровывать письма, в которых был подделан адрес отправителя либо имеется ссылка на подозрительный интернет-ресурс, созданный для «фишинга».
Зачастую в письмах из источников, не вызывающих доверия (например, спам-рассылок), параметры DKIM и DMARC будут отсутствовать. Кроме того, будет не лишним проверить параметр Received. В нем указывается IP-адрес всех узлов, через которые проходит письмо, прежде чем попасть к конечному адресату. Классическая структура этого вида заголовка выглядит следующим образом: (Received: from ... by ... for ...). После from указан IP-адрес и имя хоста, от которого получено сообщение. После параметра «by» указывается информация о том, кем получено сообщение. После «for» - информация об email-адресе, кому было отправлено письмо. В результате, имея IP-адрес, можно установить, откуда и кем было направлено сообщение. Следует отметить, что возможность подделать значение параметра «Received» технически существует, однако далеко не всегда злоумышленник может это сделать ввиду недостаточной квалификации или вследствие личной неосмотрительности.
Рассмотрим вышесказанное на примере двух электронных писем, поступивших на электронный почтовый сервер mail.ru.
В первом случае объектом изучения является письмо, поступившее из доверенного источника (в нашем случае - торговая online-площадка «Steam»).
На рассматриваемом фрагменте кода имеются вышеописанные признаки, изучив которые, можно сделать следующие выводы:
метка № 1 - «spf=pass» - домен steampowered. com разрешил отправку письма от своего имени;
метка № 2 - «dkim=pass» - указывает, что на протяжении всего пути письмо осталось неизмененным (исключается факт подделки письма либо внедрения вредоносного кода на стадии пересылки);
метка № 3 - «dmarc=pass» - подтверждает действительность меток «dkim» и «spf» и, кроме того, свидетельствует о том, что имеющиеся в письме ссылки на сторонние источники безопасны, а адрес отправителя не имеет признаков подделки.
Delivered-To: variag999gmail.ru Return-path: <rtoreply@steampowered. com>
Received-SPF: pass (mx325.i.mail.ru: domain of steampowered.com designates 208.64.202.3? as Received: from smtp-01-tukl.5teampowered.com ([208■64.202.37]:54408)
by mx325.i.maii.ru with esmtp ;envelope-from <norepiyffsteampowered,com>) id lpj>xtX-M2liOJ-4x
for variag999gniail.ru; Fri, 17 Feb 2023 12:40:50 +0300 DKIM-Signature: v«lj a=rsa-sha256; q«dns/txt; crelaxed/relaxed;
d=steampowered . com; s=smtp; h=Date:Message-Id¡Content-Type¡Subject: MIME-Version:Reply-To:From:To:Sender:Cc:Content-Transfer-Encoding¡Content-10: Content-Description¡Resent-Date¡Resent-From:Resent-Sender:Resent-To:Resent-Cc ¡Resent-Message-ID:In-Reply-To¡References:List-Id:List-Help¡List-Unsubscribe: List-Subscribe:List-Post:List-Owner:List-Archive;
bh-y3/ylarbM4tAxiLXx+McGtxu0FDKsX+bHzgqjSifb8g=; b-DFT/x6Hnu37pKYkNpijzAoz9Xj ewp3gBS0yHNv/3rFrlaQmfrDlltL+tIwKlCtDdfXemDZOk7S2gcp0rf86iS4hgD8Dnq5EwKXoiYH/9 dwU77xcRqtxoFcCQNmlmBGoiTe2HWdydHeMmX+FHVhxbEWkXTD5edB8Pi2B/o5SlM5B0=; Received: from [208 ■ 7S ■ 167.81] (helo«valvesoftivare. com)
by SMtp-01-tukl.steampoviered.com with smtp (Exim 4.93) ^efweSp^^roS^Tnoreply^stealripovrered. cofn>) id lpSxEU-003KuX-Rc
for variae999j8niiail.ru; Fri, 17 Feb 2023 $1:40:46 -0800 To: variag999@mail.ru
X-Hrss: Ok X-Spam: undefined
Authentication-Results: mxs.mail.ru; spf-pass (mx325.i.mail.ru: domain of steampoivered.com designates
2 ----^ dkim=£ass^ header. header. from= noreply^steampowered . com
X-Senderinfo: 1451 X-Mailru-Intl-Transport: d,eb411S7
Рис. 1. Фрагмент исходного кода письма, поступившего из доверенного источника
метка № 4. Изначально письмо было отправлено с IP-адреса 208.78.167.81 с хоста valvesoftware.com, предназначалось для получателя variag999@mail.ru, поступило в промежуточный узел smtp-01 -tukl .steampowered. com. Дата отправки письма: 17 февраля 2023 г. 01 ч 40 мин 45 сек.
Примечание: время отправки указывается в зависимости от времени, установленного на сервере отправителя, что в ряде случаев позволяет сделать вывод о часовом поясе отправителя;
метка № 5. Впоследствии письмо было отправлено из промежуточного узла с IP-адреса 208.64.202.37 с хоста smtp-01 -tuk1. steampowered.com, предназначалось для по-
лучателя variag999@mail.ru, поступило в промежуточный (в нашем случае - конечный) узел mx325j.mail.ru. Дата отправки (в нашем случае -поступления) письма: 17 февраля 2023 г. 12 ч 40 мин 50 сек.
По аналогии рассмотрим письмо, поступившее в результате спам-рассылки:
метка № 1 - «spf=pass» - домен таМ168. atl121.mcsv.net разрешил отправку письма от своего имени;
метка № 2 - «dkim=pass» - свидетельствует о том, что на протяжении всего пути письмо осталось неизмененным. В данном случае примечателен тот факт, что проверка <^кт» подтверждается сразу двумя доменами (исходя из
Return-path: <bounce-mc.usllj.84442046.6216300-9dfblfl058grnaill68.atll21.mcsv.net> Authentication-Results: mxs.mail.ru; spf=pass fmx296.i.¡nail.ru; domain of maill68.atll21.mcsv.net < i J dkim=pass header.d=kasedogames.com; — 1
' gkirr=cass header.i=communitygkasedogames.com
Received-SPF: pass (mx296.i.mail.ru: domain of maill68.atll21.ricsv.net designates 198.2.131.168 as Received: from maill68.atll21.mcsv.net ([198.2.131.168]:44894)
by mx296.i.mail.ru with esmtp (envelope-from <bourice-mc.usll_184442046.6216300-9dfblfl05&gi "id ipUAnt-009t2Z-92
for variag999gmail.ru; Mon, 20 Feb 2023 21:22:04 +0300 DKIM-Signature: v=l; a=rsa-sha256; c=relaxed/relaxed; d=kasedogames.com; Received: from localhost flocalhost [127.0.0.1])
by maill68.atll21.mcsv.net (Mailchimp) with ESMTP id 4PL9f344mnr4fP17Z for <varias999gmail.ru>; Hon, 20 Feb 2023 18:18:35 +0000 (6HT) Subject: =?ttf-8?Q?=D0=92=D0=B0=Dl=88=20=Dl=88=D0=B0=D0=8D=Dl=81=20=O0=62=Dl=8B=D0=B8=D0=B3=Ol=80=CN
Рис. 2. Фрагмент исходного кода письма, поступившего в результате спам-рассылки
их названии можно сделать вывод, что они, вероятно, принадлежат одноИ и тоИ же организации);
метка № 3. Изначально письмо было отправлено с IP-адреса 127.0.0.1 с локального хоста, предназначалось для получателя variag999@mail. ru, поступило в промежуточный узел mail168. atl121.mcsv.net. Дата отправки письма: понедельник 20 февраля 2023 г., 18 ч 18 мин 35 сек;
метка № 4. Впоследствии письмо было отправлено из промежуточного узла с IP-адреса 198.2.131.168 с хоста mail168.atl121.mcsv.net, предназначалось для получателя variag999@ mail.ru, поступило в промежуточный (в нашем случае - конечный) узел mx296.i.mail.ru. Дата отправки (в нашем случае - поступления) письма: 20 февраля 2023 года 21 ч 22 мин 04 сек.
В данном письме имеется два примечательных момента. Во-первых, IP-адрес первоначального отправителя. В нашем случае IP-адрес 127.0.0.1 может свидетельствовать о том, что данное письмо отправляется роботизированной вирусной программой, которая, вероятно, пытается либо замаскировать свой IP-адрес, либо отправка письма осуществляется напрямую через localhost, минуя подключение к почтовому серверу. Во-вторых, несмотря на то что были пройдены проверки SPF и DKIM, проверка DMARC не была пройдена, а значит, либо одна из проверок SPF и DKIM не является подлинной, либо была предпринята попытка маскировки адреса отправителя. Этих признаков зачастую достаточно, чтобы сделать вывод о том, что письмо является СПАМ-рассылкой (как в нашем случае) либо может быть имитацией какого-либо письма из доверенных источников и содержать в себе вредоносное программное обеспечение.
Еще одним приемом OSINT является поиск информации в поисковых системах Google и Яндекс с использованием переменных языка запросов. Казалось бы, для чего нужно использовать какие-то «переменные» для поиска информации, если поисковый сервис прекрасно справляется со своей задачей и без них. Ответ кроется в принципе работы указанных сервисов. Изначально самым первым интернет-поисковиком был Yahoo, который являлся в большей степени метака-талогом.
Справочно: метакаталог - это механизм, позволяющий синхронизировать данные между различными хранилищами [2]. С использованием специальных алгоритмов, в нем осуществляется поиск требуемой информации по различным цифровым меткам, например заголовки, метаданные и т. д.
В созданном впоследствии поисковом сервисе Google используется альтернативная технология PageRank, принцип ранжирования информации в зависимости от «важности» страницы, которая зависит от количества и качества ссылающихся на нее страниц. Иными словами, чем больше ссылок ведет на страницу, тем более важной она признается и тем ближе она будет в очередности в выводе ответа на поисковый запрос. С целью облегчения поиска в Google была реализована возможность поиска информации с использованием специальных поисковых запросов. В настоящий момент используется 2б поисковых команд, из них 9 относятся к категории простых операторов и 17 - к категории документальных операторов. Рассмотрим некоторые из них.
Site (пример запроса site:ru.wikipedia.org), -используя эту команду, можно просмотреть не только информацию, находящуюся на самом сайте, но и информацию, обнаруженную на серверах, обслуживающих этот сайт.
Filetype (пример запроса filetype:pdf) - позволяет искать документы в строго определенном формате. Согласно технической документации Google может обрабатывать веб-страницы и файлы практически любого формата. К наиболее распространенным из них относятся следующие:
Adobe PDF (.pdf); Adobe PostScript (.ps); Google Планета Земля (.kml, .kmz); GPS exchange Format (.gpx); Hancom Hanword (.hwp); HTML (.htm, .html и другие расширения файлов); Microsoft Excel (.xls, .xlsx); Microsoft PowerPoint (.ppt, .pptx); Microsoft Word (.doc, .docx); презентации OpenOffice (.odp); таблицы OpenOffice (.ods); текстовые файлы OpenOffice (.odt); Rich Text Format (.rtf); масштабируемая векторная графика (.svg); TeX/LaTeX (.tex); текстовые файлы (.txt, .text и т. д.), в том числе исходный код распространенных языков программирования: исходный код Basic (.bas); исходный код C/C++ (.c, .cc, .cpp, .cxx, .h, .hpp); исходный код C# (.cs); исходный код Java (.java); исходный код Perl (.pl); исходный код Python (.py); язык разметки для беспроводных устройств (.wml, .wap); XML (.xml)3.
Intext (пример: intext:apple) - эта команда позволяет найти страницы, содержащие определенное слово где-то в содержании. Искомое слово указывается после intext:.
3 См.: Техническая документация Google. URL : https:// developers.google.com/search/docs/crawling-indexing/ indexable-file-types?hl=ru (дата обращения : 23.02.2023).
Allintext: (пример allintext:apple iphone) - эта команда позволяет найти страницы, содержащие определенную устойчивую комбинацию слов где-то в содержании. Искомая фраза указывается после allintext:.
Related (пример related:apple.com) - позволяет найти все сайты, связанные с указанным доменом.
Allintitle (intitle) (пример allintitle: демонтаж двигателя Лада; тШ^биткоин цена 2022) -эти операторы используются для поиска страниц, содержащих заданную фразу в заголовке. Allintitle - учитывает все слова, введенные после оператора, intitle учитывает только первое слово, введенное после оператора.
Вышеперечисленные рассмотренные операторы и приемы являются примером лишь малой части возможностей сбора информации в сети Интернет. Умело комбинируя и анализируя полученные сведения, можно получить информацию,
как имеющую важное значение для расследования преступлений, так и носящую превентивный характер. Например, сочетая оператор intitle: и значение «index of /», можно получить доступ к папкам сайта (или ftp-серверам), предоставление доступа к которым третьим лицам изначально не предполагалось в связи с наличием сведений, представляющих оперативный интерес. В сочетании с оператором site: (например, intitle: «index of /» site:yoursite.com) можно осуществить проверку конкретного ресурса на наличие вышеописанных материалов.
Использование всех вышеперечисленных приемов может способствовать получению криминалистически значимой информации при раскрытии преступлений, совершенных с использованием IT-технологий, экономических преступлений, преступлений против основ конституционного строя и безопасности государства, расследовании уголовных дел.
СПИСОК ИСТОЧНИКОВ
1. Popescu, Nicu. Hybrid tactics: neither new nor only Russian // EUISS (European Union Institute for Security Studies). Issue Alert 4 (2015). URL : https://web.archive. org/web/20161030001921/http://mercury.ethz.ch/ serviceengine/Files/ISN/187819/ipublicationdocument_ singledocument/8a1ac8d8-2722-4245-82db-b18f13deb3be/ en/Alert_4_hybrid_warfare.pdf (дата обращения : 23.02.2023).
2. Шабат В. Каталоги LDAP и метакаталоги // Открытые системы. 2002. № 5. URL : https://www.osp.ru/ os/2002/05/181442 (дата обращения : 23.02.2023).
REFERENCES
1. Popescu, Nicu. Hybrid tactics: neither new nor only Russian // EUISS (European Union Institute for Security Studies), Issue Alert 4 (2015), available at : https://web. archive.org/web/20161030001921/http://mercury.ethz.ch/ serviceengine/Files/ISN/187819/ipublicationdocument_ singledocument/8a1ac8d8-2722-4245-82db-b18f13deb3be/ en/Alert_4_hybrid_warfare.pdf (February 23, 2023).
2. Shabat V. Otkrytye sistemy (Open systems), 2002,
No. 5, available at : (February 23, 2023).
https://www.osp.ru/os/2002/05/181442
ИНФОРМАЦИЯ ОБ АВТОРЕ
П. А. Фаниев - эксперт организационно-методического отдела Экспертно-криминалистического центра Главного управления Министерства внутренних дел Российской Федерации по Краснодарскому краю (Российская Федерация, 350020, г. Краснодар, ул. Гаврилова, 96).
INFORMATION ABOUT THE AUTHOR
P. A. Faniev - Expert of the organizational and methodological Department of the Expert and Forensic Center Main Directorate of the Ministry of Internal Affairs of Russia across the Krasnodar Territory (Gavrilov Str., 96, Krasnodar, 350020, Russian Federation).
Рукопись поступила в редакцию 01.03.2023; одобрена после рецензирования 24.03.2023; принята к публикации 27.04.2023.
The article was submitted 01.03.2023; approved after reviewing 24.03.2023; accepted for publication 27.04.2023.
v
