Threat Inteliigence / OSINT / NETSEC / NATSEC

Czym jest OSINT

Analiza wywiadowcza, analiza zdjęć satelitarnych, SIGINT, IMINT – te terminy zwykły kojarzyć się z działalnością państwowych agencji wywiadowczych dysponujących gigantycznymi budżetami, techniką wyprzedzającą produkty dostępne publicznie o wiele lat i tajemną wiedzą pozyskiwaną przez funkcjonariuszy wywiadu.

Ostatnie lata przyniosły jednak prawdziwą rewolucję w kwestii dostępu do danych dostępnych kiedyś tylko państwowym podmiotom. Rozwój mediów społecznościowych, fotografii cyfrowej i komercjalizacji usług informacyjnych umożliwiły prywatnym osobom zbieranie i analizę informacji na niespotykaną skalę. Informacje udostępniane przez samych użytkowników na Facebooku, Instagramie czy Snapchacie pozwalają na mapowanie relacji pomiędzy osobami i zbieranie informacji o tym, gdzie obecnie przebywają. Serwisy gromadzące dane i sprawozdania finansowe pokazują kondycje finansową przedsiębiorstw i umożliwiają realną ocenę prognoz ich rentowności. W końcu dzięki Google Maps, Sentinel Hub czy Maxar użytkownicy zyskują dostęp do zdjęć satelitarnych pozwalających na obserwacje i zbieranie informacji o dowolnych rejonach globu. To właśnie skrupulatna analiza dostępnych tak materiałów umożliwiła serwisowi Bellingcata ustalenie sprawców zestrzelenia samolotu MH171 i powiązanie Rosyjskiego sprzętu wojskowego z tym zdarzeniem, a analitykom z Atlantic Council udowodnić Rosyjskie zaangażowanie na Ukrainie.2

Jeszcze większe zmiany zachodzą w obszarze bezpieczeństwa informatycznego. Tutaj to właśnie często prywatne firmy chronią firmy przed włamaniami przeprowadzanymi na zlecenie i pod nadzorem podmiotów państwowych, publikują raporty identyfikujące konkretnych funkcjonariuszy, przypisujące aktywność do konkretnych oddziałów. Wzbogacając dane gromadzone podczas reagowania na incydenty informacjami o rejestracjach domen, właściwościach infrastruktury i danymi z portali społecznościowych analitycy budują kompletny obraz wrogich działań uwzględniając techniczny i polityczny wymiar aktywności.

Gromadzenie, przetwarzanie i analiza ogólnodostępnych informacji to właśnie istota OSINTu zwanego też białym wywiadem lub wywiadem otwartych źródeł. Skala użyteczności tego typu źródeł jest tak duża, że Samuel Wilson, były szef Defense Intelligence Agency szacował, że 90% danych wywiadowczych pochodzi z otwartych źródeł. Co więcej nawet już w 1947 Sherman Kent, uznawany często za ojca analizy wywiadowczej szacował, że w czasach pokoju 80% informacji potrzebnych decydentów pochodzi z tego rodzaju źródeł.3

Wśród otwartych źródeł informacji do najważniejszych możemy wymienić:

  1. Media – publikacje prasowe, reportaże, publicystyka dziennikarska.
  2. Media społecznościowe – informacje udostępniane przez samych użytkowników w postaci postów, zdjęć, filmów, tagów lokacyjnych.
  3. Publikacje branżowe i akademickie.
  4. Dane of infrastrukturze sieci – rejestracje domen internetowych, własność adresów IP i ASN.
  5. Dane obrazowe – zdjęcia satelitarne, mapy, zdjęcia robione na miejscu obiektów, dróg, środowiska.

Lista jest oczywiście otwarta i nie kompletna – najbardziej użyteczne z mojej perspektywy zasoby możesz znaleźć na stronie w zakładkach Źródła i Narzędzia. Zakres źródeł z którego korzystać będzie poszukający informacji będzie jednak całkowicie zależny od tego jaki jest cel poszukiwań – osoba śledząca rozwój infrastruktury wykorzystywanej do prowadzenia operacji cyber sięgnie do innych źródeł niż ktoś tworzący profil finansowy przedsiębiorstwa. Zróżnicowanie to nie oznacza, że nie da się “nauczyć” korzystać efektywnie z OSINTu. Wręcz przeciwnie – badacz powinien w pierwszej kolejności przyswoić metodologię zbierania informacji i krytycznej ich oceny, konkretne źródła i narzędzia są zawsze elementem wtórnym. Co więcej, źródła mogą zmieniać się bardzo szybko. Szczególnie w bardziej niszowych gałęziach badań serwisy dostarczające informacje mogą znikać bądź być zastępowane przez nowe. Skuteczny analityk OSINTu powinien jednak móc osiągnąć swoje cel niezależnie od dostępnych aktualnie narzędzi. Cel poszukiwań to właśnie wyznacznik części “INT” czyli intelligence. Przystępując do zbierania danych w celu ich późniejszej analizy i wyciągnięcia końcowych wniosków powinniśmy wiedzieć co konkretnie chcemy uzyskać. Metodologię te można zobrazować dwoma koncepcjami wywodzącymi się z Amerykańskiej doktryny wywiadu – intelligence requirements i intelligence cycle. Pierwsza odnosi się do wyznaczania pytań, na które odpowiedzi mamy uzyskać w wyniku procesu analitycznego, druga do cyklu czynności zapewniających metodologiczną poprawność procesu.

Intelligence requirements, wymagania wywiadowcze, to w istocie konkretne pytania, na które decydenci chcą uzyskać odpowiedź od danych organizacji wywiadowczych. Trzymając się na razie przykładów wojskowych wymaganie takie mogłoby by brzmieć “czy określony oddział przeciwnika dotrze do określonego miejsca przed 15 maja” albo “jak duże siły chronią określony obiekt”. Przechodząc bardziej na grunt cywilny, możemy podać przykład prywatnych firm zajmujących się cyberbezpieczeństwem które świadczą usługi wywiadu zagrożeń – otrzymać mogę one zapytania dotyczące technik stosowanych przez grupy atakujące cele działające w sektorze klienta.

Intelligence cycle, cykl wywiadowczy to z kolei usystematyzowanie kolejnych faz procesu odpowiedzi na te pytania. Etapy cyklu to:

  1. Planowanie – wyznaczanie wymagań wywiadowczych, czyli właśnie decyzje co do tego na jakie pytanie ma odpowiedzieć ostatecznie analityk.
  2. Zbieranie danych (collection) – tutaj analityk wykorzystuje znane i dostępne źródła w celu zgromadzenia potrzebnych danych.
  3. Przetwarzanie – szczególnie w przypadku dużych zbiorów danych, mogą one wymagać dodatkowego przetwarzania w celu umożliwienia ich analizy przez człowieka – np.: dane adresowe uzyskane w sposób automatyczny zostają przekształcone w Excelową tabelką.
  4. Analiza i produkcja – w tej fazie zgromadzone i przygotowane do wykorzystania dane zostają wykorzystane w celu odpowiedzi na pytania wywiadowcze i produkcję, czyli przygotowanie ostatecznego efektu procesu jak np..: raport.
  5. Rozpowszechnienie i informacje zwrotne – produkty zostają dostarczone do docelowych odbiorców, a ci powinni ocenić je pod kątem przydatności w celu poprawy przyszłych operacji.

Taki podział zadań jest jednak charakterystyczny dla instytucji o bardziej sformalizowanych strukturach, jak agencje wywiadowcze, gdzie rozdzielone są funkcje pozyskiwania danych i ich analizy, a wymagania wywiadowcze wynikają również z formalnych procesów. W praktyce osób i organizacji prywatnych analitycy często zakładają wiele kapeluszy i zajmują się jednocześnie gromadzeniem i analizą danych. Granica między trzema środkowymi fazami może być więc bardzo płynna.

Co z tego wynika dla osoby, która chce zająć się OSINTem? Oczywiście sformalizowane procesy i sztywne ramy nie są konieczne, warto jednak przyjąć pewną metodykę działań która ułatwi nam zadanie.

  1. Planowanie jest równie ważne niezależnie od skali naszych działań. Precyzyjne określenie czego szukamy zaoszczędzi nam czasu przy doborze źródeł.
  2. Zbieranie, przetwarzanie i analiza danych mogą płynnie się przenikać, nie należy jednak zapominać o funkcjach tych faz. Zbyt szybkie przejście do analizy danych może prowadzić do błędów takich jak zakotwiczenie – bez pełnego i przejrzystego obrazu danych które zebraliśmy może zafiksować się na jednej informacji i budować dalszą analizę w oparciu o nią, co w oczywisty sposób sprawia, że nasza analiza przestaję być obiektywna, a nasz obraz rzeczywistości mocno się wykrzywia.
  3. Kształt końcowego produktu będącego czy to raportem czy notatką podsumowującą czy nawet tabelką w Excelu zależny jest przede wszystkim od końcowego odbiorcy. Jeżeli zbieramy informacje na własny użytek zadbajmy o to abyśmy mogli później odtworzyć nasz proces myślowy i zrozumieć, jak doszliśmy do konkretnych wniosków. Z kolei jeżeli przygotowujemy produkt dla kogoś, najistotniejsze jest aby odpowiedzi na pytania które nam stawiano były klarownie wyłożone. Najlepiej stosować tutaj metodologie BLUF (Bottom Line Up Front) czyli od razu przedstawić końcowe wnioski, a następnie analizę popierającą ich uzyskanie.

Tak z grubsza można zarysować to czym jest OSINT i jak może wyglądać jego praktyka – naturalnie każde z zagadnień jak dobór źródeł czy planowanie operacji zasługuje na osobny artykuł, a nawet całą serie – czym będę się właśnie zajmować na counterintelligence.pl

1 Bellingcat, MH17 The Open Source InvestigationThree Years Later, 2017.

2 M. Czuperski, J. Herbst, E. Higgins, A. Polyakova, D. Wilson, Hiding in plain sight: Putin’s war in Ukraine, Atlantic Council, 2015.

3 D. V. Lande, E. V. Shnurko-Tabakova, OSINT as a part of cyber defense system, Theoretical and Applied Cybersecurity, 2019.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

pl_PLPolish