Threat Inteliigence / OSINT / NETSEC / NATSEC

OPSEC w OSINTcie – podstawy i główne koncepcje

Zbieranie informacji w ramach OSINTu opiera się często na odnajdywaniu śladów pozostawianych podczas sieciowej aktywności użytkowników takich jak logowania do portali społecznościowych czy używanie tego samego adresu mailowego do rejestracji na wielu portalach. Nie można zapominać jednak, że to samo dotyczy nas samych, gdy staramy się pozyskać te informacje, często korzystając z kont na danych serwisach lub zwyczajnie wchodząc w interakcje z zasobami w Internecie. Jak nietrudno zgadnąć, sytuacja w której cel naszych dochodzeń jest w stanie zorientować się jakie prowadzimy działania nie jest pożądana:

  1. Szczególnie w bardziej wrażliwych sytuacjach jak praca dziennikarzy śledczych czy zwalczanie przestępczości ustalenie tożsamości osoby zbierającej dane może bezpośrednio jej zagrażać.
  2. Zwrócenie uwagi celu na to, że ktoś szuka na jego temat informacji najczęściej znacznie utrudni działania, a być może nawet uniemożliwi, skuteczne zebranie informacji, kiedy nasz cel ograniczy swoją aktywność lub zacznie zacierać ślady.

Dlatego też nieodłączną częścią OSINTu jest właśnie OPSEC czyli bezpieczeństwo operacyjne. To wywodzące się z terminologii wojskowej określenie oznacza identyfikacje informacji, które mogłyby zostać zaobserwowane przez przeciwnika i wykorzystane do działań przeciwko naszej aktywności. W przypadku internetowych poszukiwań będzie on miał przede wszystkim dwa wymiary:

  1. Rozdzielenie naszej prywatnej aktywności takiej jak korzystanie z poczty elektronicznej, portali społecznościowych, przeglądarki, w taki sposób, aby środowisko z którego korzystamy przy analizie nie było “zanieczyszczone” naszą prywatną aktywnością.
  2. Korzystanie z możliwie pasywnych metod zbierania informacji – im mniej interakcji mamy z zasobami, z których korzystamy tym mniejsza ekspozycja naszej aktywności – przykładem niech będzie korzystanie z zarchiwizowanych wersji stron zamiast odwiedzanie ich bezpośrednio.

W kontekście analizy informacji i zbierania danych w możliwie najbardziej obiektywny sposób, rozdzielenie prywatnej i zawodowej aktywności ma jeszcze jeden bardzo ważny wymiar. Ponieważ profilowanie użytkowników odgrywa obecnie bardzo istotną rolę w prezentowaniu treści użytkownikom, korzystanie z oddzielnych środowisk sprawi, że to jakie wyniki będziemy uzyskiwać nie będzie skażone choćby personalizacją wyników wyszukiwania.

O samym OPSECu i jego poszczególnych aspektach można by pisać całe książki, jakie są jednak najważniejsze zasady i techniki na początku OSINTowej drogi?

  1. Wirtualizacja systemu. Z mojej perspektywy absolutnie najważniejszym osiągnięciem z dziedziny IT które wspiera Internetowe dochodzenia jest dostępność i powszechność rozwiązań umożliwiających tworzenie maszyn wirtualnych. Wirtualny system jest idealnym rozwiązaniem do rozdzielenia prywatnych i OSINTowych aktywności, umożliwia skonfigurowanie oprogramowania, przeglądarki, funkcji systemowych w sposób dostosowany właśnie do konkretnych funkcjonalności z których będziemy korzystać przy zbieraniu informacji. Dodatkowo wirtualizacja chroni nasz główny system przed przypadkowym zarażaniem malwarem, a nawet umożliwia w kontrolowany sposób analizę złośliwego oprogramowania.
  2. Alternatywne konta na portalach społecznościowych – tzw. Sock puppets. Tak samo jak nie powinniśmy korzystać z naszego prywatnego środowiska pracy, nawet bardziej istotne jest nieposługiwanie się prywatnymi kontami na portalach społecznościowych. Pozyskanie informacji z portali takich Facebook, Instagram czy Twitter wymaga najczęściej rejestracji w celu dostępu do postów danego użytkownika bądź uzyskania klucza API. Korzystanie z własnych kont w takich przypadkach właściwie nie wchodzi w grę – prośba o dołączenie do grupy na Facebooku, a w przypadku LinkedIn nawet samo wejście na profil ujawnia naszą tożsamość. Dlatego też konieczne jest korzystanie z alternatywnych kont, założonych specjalnie na potrzebę danej aktywności.
  3. Źródła pasywnego dostępu do informacji. Co do zasady powinniśmy ograniczać do minimum sytuacje w których w sposób aktywny uzyskujemy dane informacje – np.: bezpośrednio wchodząc na stronę internetową należącą do naszego celu. Dlatego też optymalnym rozwiązaniem jest korzystanie, z serwisów które już uzyskały informacje których potrzebujemy. Aby zobaczyć jak wygląda strona internetowa możemy więc skorzystać z webarchive które zbiera i archiwizuje kopie stron internetowych, a aby uzyskać dane WHOIS możemy skorzystać z serwisu takiego jak PassiveTotal który udostępnia historycznie zebrane dane.

Na początek najważniejsze jest rozdzielnie od prywatnej aktywności trzech elementów – systemu z którego korzystamy, połączenia z Internetem i kont na wszelkich portalach.

Jak zostało zaznaczone wyżej, na szczęście obecnie wirtualizacja systemów jest na tyle rozpowszechniona, że właściwie bez kosztów możemy stworzyć wirtualny system przeznaczony tylko do celu gromadzenia i analizy informacji. Darmowy VirtualBox umożliwiający robienie snapshotów maszyn wirtualnej i wybrana dystrybucja Linuxa jak Ubuntu to wystarczający zestaw do stworzenia roboczego systemu. Konfiguracja wirtualnego systemu to być może najważniejszy element OPSECowej układanki. Dlatego też aby odpowiednio podejść do zagadnienia, poświęcę mu więcej miejsca w następnym poście na counterintelligence.pl.

Jeżeli chodzi o połączenie z Internetem to korzystanie z alternatywnych łączy ma dwa główne cele – ukrycie naszego prawdziwego adresu IP co może utrudnić wykrycie naszej aktywności, i zmiana geolokalizacji naszego adresu w celu dostępu do zasobów dostępnych jedynie w określonych krajach. Dwie najpopularniejsze metody to Tor i VPN. Przeglądarka Tor umożliwia nam skuteczne ukrycie prawdziwego adresu IP poprzez przekierowanie połączenia przez sieć pośredników co sprawia, iż od strony odbiorcy połączenia widoczny jest jedynie adres ostatniego z nich (tzw. Exit node). Główną zaletą Tora jest dostępność i łatwość użycia, wadą jednak to, że lista adresów Exit nodów jest powszechnie znana. Nawet więc jeżeli ukryjemy nasz rzeczywisty adres, to będziemy się wyróżniać wśród „zwykłego” ruchu sieciowego. Drugą opcją jest VPN (Virtual Private Network) czyli usługa polegają na przekierowaniu naszego ruchu przez serwery dostawcy. „Wychodzący” adres będzie więc adresem serwera należącego do firmy która świadczy nam usługi VPN. Wielką zaletą tego rozwiązania jest to, że dostawcy najczęściej oferują wiele serwerów rozsianych po świecie co umożliwia szybką zmianę lokalizacji zależnie od naszych potrzeb. Szybkość połączenia będzie również dużo wyższa niż w przypadku Tora, często będąca porównywalna z naszym natywnym transferem. W końcu adresy serwerów z których korzystają dostawcy najczęściej nie są publicznie znane, serwery często znajdują się w popularnych centrach danych, więc nasz ruch nie będzie za bardzo różnił się od zwykłego ruchu sieciowego. Wadą VPN jest to, że aby uzyskać dostęp do wielu serwerów i wystarczającą jakość usług, najczęściej musimy zdecydować się na płatne rozwiązanie. Poza tym warto pamiętać, że ponieważ przekierowujemy nasz cały ruch najpierw do dostawcy usług staje się on w zasadzie naszym drugim ISP ze wszystkimi tego konsekwencjami i porównywalną widocznością w nasz ruch. Kluczowe jest więc zaufanie do usługodawcy z którego korzystamy.

W końcu wymagającym trochę więcej zaangażowania, lecz najlepszym rozwiązaniem jest samodzielne stawianie serwerów z których będziemy korzystać do przekierowania ruchu, np.: na Amazon Web Services czy Digital Ocean. Korzystając z prostego narzędzia jak AlgoVPN możemy bardzo szybko zestawić tunel do serwerem w wybranym przez nas miejscu na świecie, oczywiście jeżeli dostawca ma tam swoją infrastrukturę. Płacimy na zasadzie usług chmurowych tylko za czas korzystania z naszego prywatnego VPNa (a jeżeli jesteśmy na darmowym okresie AWS to na razie nic nie płacimy), a ponieważ serwery dostawcy takiego jak AWS są bardzo powszechne, to nasz ruch właściwie nie różni się wcale od zwykłego ruchu sieciowego. Musimy pamiętać, że zazwyczaj nie będziemy w tym przypadku anonimowi dla dostawcy serwera, jednak zależnie od naszego modelu zagrożenie, nie musi to mieć większego znaczenia.

Konta na portalach społecznościowych czy adresy mailowe to temat rzeka. Niestety ostatnimi czasy założenie konta bez podania numeru telefonu lub chociażby adresu email (który często wymaga podania telefonu) staję się niemal niemożliwe, a co więcej posiadanie „jakiekolwiek” numeru telefony jak Google Voice również nie pomogą. Oczywiście w szerszym kontekście utrudnianie zakładania sock puppetsów jest zrozumiałe, a być może do pewnego stopnia nawet pożądane biorąc pod uwagę rosnącą skalę operacji informacyjnych. Dla osoby starającej się prowadzić OSINTowe operacje jest to jednak znacząca przeszkoda szczególnie w przypadku serwisów jak LinkedIn które uniemożliwiają dostęp do większości zasobów bez zalogowania. Ogólne porady przy zakładaniu kont to:

  1. Różne serwisy lubią różnych dostawców pocztowych – czasem lepiej przyjmowani są więksi dostawcy jak Gmail czy Yahoo, a czasem mniejsze jak Fastmail czy GMX.
  2. Mobilne wersje stron rejestracji zazwyczaj są mniej wybredne i rzadziej wymuszają dodatkowe mechanizmy potwierdzenia tożsamości użytkownika.
  3. Jeżeli już założymy konto to przemyślmy jak będziemy z niego korzystać. Wbrew pozorom szybkie dodawanie polubień, zainteresowań, znajomych może sprawić, że nasze konto zostanie oflagowane jako podejrzane i zgłoszone do weryfikacji. Wszelkie próby „urealnienia” konta w celu podszycia się pod kogoś, dostępu do grona znajomych i tak dalej moim zdaniem nie mieszczą się w granicach OSINTu o jakim chciałbym tutaj pisać – konta wykorzystywane do zbierania informacji mogą w moim odczuciu pozostać więc puste.

Podsumowując, jeżeli miałbym wybrać jedno słowo które stanowi rdzeń OPSECu to byłoby to „izolacja”. Największym zagrożeniem będzie zawsze pokusa wykorzystania prywatnych zasobów do zbierania informacji (bo wirtualne maszyny, alternatywne konta i włączanie VPNa to zbyt dużo wysiłku) skąd jest już bardzo krótka droga do wpadek – jak przekonał się pewien Rosyjski oficer wywiadu który właśnie nie włączył VPNa 🙂 Korzystanie z dedykowanego, izolowanego środowiska powinno być więc filarem na którym możemy oprzeć kolejne elementy zwiększające nasze bezpieczeństwo.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

pl_PLPolish