Андрей Масалович "Кибердед". Думать — это прикольно. 20 практических приемов OSINT в цифровом мире.

Введение

0:10

Начало форума и доклада Андрея Масаловича.
Тема доклада: «20 практических приёмов OSINT в цифровом мире».
Формат: доклад 2 часа, затем сессия вопросов и ответов, награждение лучших участников.

Эпоха киберзоя

1:10

Переход человечества в эпоху киберзоя.
Пример с фитнес-браслетом и весами, иллюстрирующий шпионаж устройств.
Критика современных технологий: «современная наука убивает современную этику».

История OSINT

3:07

Появление OSINT в 1941 году в США.
Развитие OSINT как направления для спецслужб.
Юридические аспекты работы спецслужб в США.

Современные спецслужбы

4:06

Рост числа спецслужб и их сообществ.
Стандарт OSINT для военных.
Взрыв спроса на OSINT в последние годы.

Примеры OSINT

7:00

Пример контракта во Вьетнаме: поставка системы контроля оперативной обстановки.
Анализ оснащения ситуационного центра через логистические данные.
Использование базы данных 52vmb.com для выявления поставщиков.

Преимущества OSINT

11:53

Применение OSINT для любых поставок.
Возможность сравнения цен на оборудование при пересечении границы.
Сложности работы с китайскими интерфейсами и необходимость перевода.

Облачные хранилища

13:53

Переход к использованию облачных хранилищ.
Основные облачные платформы: Amazon S3, Google, Microsoft.
Ошибки при использовании облачных хранилищ и их последствия.

Хранилища данных и их уязвимости

14:52

Хранилища данных отличаются от привычных файлов и дисков.
Имена объектов динамические, но люди используют мнемонические имена для удобства.
Ошибки в настройках корзин могут сделать данные общедоступными.

Инструменты для поиска утечек

15:50

Существует поисковик по утечкам на Amazon, который находит 4 миллиарда документов.
Даже в гостевом доступе можно увидеть треть улова — 1,3 миллиарда документов.
Примеры документов включают презентации Microsoft и кредитные истории.

Работа с Telegram

17:49

В Telegram можно узнать информацию о человеке по номеру телефона.
Добавление контакта в Telegram позволяет узнать имя, ник и аватарку пользователя.
Удаление контакта может показать «посмертную маску» с настоящим именем.

Уязвимости Telegram

20:45

Ранее существовала уязвимость в синхронизации списка контактов, позволяющая получить список аккаунтов.
Уязвимость была закрыта после беспорядков в Гонконге.
Хакерская группа создала программу для минимизации Telegram, но её разработчик погиб.

Идентификация по номеру телефона

23:41

Многие сервисы привязаны к номеру телефона, что позволяет узнать информацию о пользователе.
Микроинтеграторы позволяют проверять регистрацию телефона в нескольких сервисах.
Сбербанк Онлайн может предоставить информацию о человеке по номеру телефона.

Анализ чрезвычайных ситуаций

26:39

В чрезвычайных ситуациях аналитики должны быстро разбираться в ситуации и передавать результаты оперативникам.
Фейковые новости и аккаунты усложняют поиск реальной информации.
Важно избегать поиска информации через поисковики, так как это может привести к ошибкам.

Геопривязка и поиск информации

28:37

Использование школы как точки геопривязки на карте.
Получение фамилии, имени и отчества стрелка через радиопередачу.
Поиск информации в пиратских базах данных с помощью VPN.

Анализ старой базы данных

29:34

Поиск адреса стрелка по фамилии и первой букве имени его родителя.
Определение предпочтительного адреса на основе расстояния до школы.
Гипотетический характер результатов поиска.

Построение маршрутов и использование ботов

30:33

Построение предпочтительных маршрутов.
Применение ботов для анализа данных, например, «Глаз Бога».
Получение послужного списка и состава семьи стрелка.

Поиск настоящих аккаунтов

31:32

Анализ аккаунтов родственников стрелка для выявления настоящего аккаунта.
Проблемы с закрытыми аккаунтами и способы их обхода.

Методы работы с закрытыми аккаунтами

32:31

Обогащение данных на основе имеющейся информации.
Встречный поиск через друзей закрытого аккаунта.
Использование ранее собранных данных для восстановления профиля.

Восстановление профиля через «сторожевой контроль»

34:25

Установка «сторожевого контроля» для отслеживания активности группы.
Восстановление удалённых фотографий и других данных.
Пример использования программы Zeus для анализа профилей.

Контроль активности аккаунтов

37:23

Мониторинг активности других аккаунтов социальной сети.
Пример сервиса «Сити фомия» для отслеживания активности.

Модуль Fast PHP и семантический веб

38:23

Модуль Fast PHP для получения данных ВКонтакте без входа в систему.
Формат данных в виде XML и возможность получения дополнительной информации о закрытых профилях.

История цифрового хакерства

40:19

Пример взлома умных весов в Австралии.
Появление поисковика по интернету вещей «Шадан».
Современные поисковики, работающие с диапазонами IP-адресов и портов.

Принцип работы Shadan

42:17

Shadan проверяет порты, которых всего 65 тысяч, и создаёт «баннеры» — описания найденных соединений.
Баннеры содержат информацию о дате, времени, адресе и протоколе соединения.
Shadan не нарушает безопасность, но предоставляет подсказки для хакеров.

Документация Shadan

43:13

На сайте доступна документация Shadan на русском языке, написанная хакером.
Каждая команда описывается с примерами её использования для взлома систем.

Утечки данных в MongoDB

44:13

Компании переходят на самодельные базы данных, такие как MongoDB.
Открытый общий индекс в MongoDB делает базу уязвимой.
Shadan обнаруживает открытые базы по порту 27017 и словам «mongo», «bi», «server», «formation» и «metrics».

Elastic Search

45:11

Elastic Search стал стандартом де-факто в индексации баз данных.
Изменение языка запросов в Elastic Search требует переиндексации всей базы.
Открытые индексы в Elastic Search обнаруживаются по порту 9200 и словам «elastic index».

Интеграторы утечек

47:08

Появились интеграторы утечек, такие как DistroSec.
Проект «Шервуд» содержит утечки транзакций Центрального банка Каймана.
Объём утечек измеряется терабайтами, что требует централизованного хранения.

Утечки панамских архивов

49:05

Утечка панамских архивов стала первым крупным скандалом.
Журналисты создали поисковик «Шарлингс» для анализа данных.
Многие статьи с разоблачениями основаны на данных из этих утечек.

Инструменты для анализа утечек

50:04

Инструмент Hunter позволяет искать утечки по фамилиям и видам данных.

Уязвимости систем видеоконференц-связи

51:04

Системы видеоконференц-связи имеют множество уязвимостей.
Программное обеспечение требует бесконтрольный доступ к камерам, микрофонам и файлам.
Примеры уязвимостей: Discord, Skype, курсы удалённого обучения в военно-морских силах США.

Проблемы с безопасностью в ситуационных центрах

54:00

Серверы контроля технического состояния находятся вне категорированных помещений.
Системы видеонаблюдения могут быть установлены в суперзащищённых помещениях.
Дисперсная утрата защищённости касается даже высоких уровней спецслужб и госкомпаний.

Проблемы предустановленных приложений

55:59

Предустановленные приложения на смартфонах могут быть источником угроз безопасности.
Приложения быстро обновляются, но часто содержат уязвимости.
Пример уязвимости: сервис Trello, который может стать открытым из-за ошибок в настройках.

Утечки данных в Trello

56:57

Trello — популярный планировщик заданий с более чем миллиардом пользователей.
Ошибки в настройках могут сделать доску открытой для всех.
Trello сотрудничает с Google, который индексирует приватные страницы.

Примеры утечек данных

57:55

Google индексирует страницы с паролями, что приводит к утечкам.
Молодые пользователи ищут информацию о биткоин-кошельках.
Массовые приложения постоянно обновляются, что создаёт новые риски.

Пример с чеком на оплату

58:53

Чек на оплату госуслуги может содержать искажённые данные.
Восстановление номера паспорта возможно через идентификаторы ПГУ.
Нормативные требования Минфина могут привести к утечкам информации.

Веб-архивы и кэши поисковых систем

1:01:52

Веб-архивы сохраняют старые версии страниц.
Кэши поисковых систем содержат документы, которые были случайно выложены в интернет.
Удаление документов из кэша возможно только через переиндексацию.

Анализ трендов с помощью Google Trends

1:06:48

Google Trends помогает анализировать тренды и делать прогнозы.
Скачки запросов в Google могут указывать на предстоящие события.
Пример использования: анализ запросов на российские истребители в Индии.

Прогнозирование беспорядков

1:09:44

Запросы на определённые термины могут предсказать эскалацию беспорядков.
Пример: всплески запросов на «коктейль Молотова» перед обострениями.
Анализ запросов помогает предсказать провокации и обострения ситуации.

Испытание спецназовцев

1:10:43

В США для элитных подразделений спецназа военно-морских сил существует жёсткое испытание: спецназовца связывают скотчем и бросают в бассейн, где он должен продержаться пять минут.
Большинство людей не могут продержаться в воде пять минут со связанными руками, но некоторые спецназовцы успешно проходят испытание.
Секрет успеха — в умении не паниковать и использовать подсказки: «вы элита» и «испытание будет проходить в этом бассейне».

Анализ фотографии

1:12:38

Рассматривается задача идентификации человека по фотографии в неудобном ракурсе.
Анализируются детали: белая рубашка, грудная обвязка, наушники с микрофоном, часы на руке.
Используя линейные соотношения и модель наушников, удаётся определить модель вертолёта и подразделение полиции Нью-Йорка.

Использование баз данных

1:15:34

Базы данных позволяют отслеживать местоположение воздушных и морских судов.
По имени командира экипажа и другим данным удаётся восстановить круг знакомств и личность человека на фотографии.

Пример из Гонконга

1:16:33

Оперативник использует характерный изгиб очков на фотографии для идентификации человека.
Начинает поиск с аккаунта, где человек в таких очках написал «Х».

Псевдоанонимность в интернете

1:17:32

В интернете нет полной анонимности, даже в даркнете.
Спецслужбы могут отслеживать пользователей через пилинговые соединения и админов.
Даже крупные платформы, такие как «Гидра», могут быть уязвимы для атак.

Анализ автошопов в даркнете

1:19:28

Боты собирают объявления автошопов в Москве, позволяя оценить конкуренцию и продажи.
Отзывы клиентов помогают определить пропорции продаж между магазинами.
Данные используются для оперативно-розыскных мероприятий.

Работа с молодёжью

1:22:23

Необходимо вводить молодёжную политику и контролировать оперативную обстановку в регионах.
Анализ профилей пользователей помогает выявлять потенциально опасные ситуации.
Оперативники и психологи могут вмешиваться, используя провокации или доверительные разговоры.

Кластеры рекламы автошопов

1:23:23

Реклама автошопов «Гидры» образует чёткие кластеры, что позволяет анализировать их местоположение.
Это помогает выявлять районы с повышенной активностью автошопов и принимать меры.

Работа с террористами и методичками

1:24:23

Террористам платят, чтобы они выполняли задания.
Методички помогают террористам выполнять действия, указанные в них.
Полиция использует методички для отслеживания террористов.

Методички для родителей

1:25:20

Полиция Великобритании выпустила методичку для родителей, как следить за детьми.
Рекомендации включают проверку иконок на экране ребёнка.

История ASINT

1:27:16

ASINT началась в 1941 году с подразделения американских спецслужб.
Задача подразделения — мониторинг открытых источников.
Пример использования открытых источников для оценки ядерного паритета.

Анализ энергопотребления на Урале

1:28:15

Американцы анализировали энергопотребление на Урале для оценки количества боеголовок.
Использовали схему из журнала «Огонёк» 1958 года для определения энергополучателей и производителей энергии.
Привязали объекты к карте и определили местоположение заводов по обогащению урана.

Утечка данных о плутонии

1:35:10

На американских серверах были выложены данные о запасах плутония.
АНБ и ФБР отрицали утечку, но Обама извинился за инцидент.
Автор объясняет, как можно получить доступ к такой важной информации.

Инфраструктура секретных объектов

1:37:07

Секретные объекты имеют свою инфраструктуру: поваров, медсанчасть, пожарных.
Пожарные и медики подчиняются соответствующим департаментам.
Отчёты пожарных департаментов могут содержать информацию о секретных объектах.

Нарушения пожарной безопасности на секретном объекте

1:39:05

В ангаре 9212 отсутствует нужное количество огнетушителей, хотя там содержится запас ядерных веществ.
В ангаре 9995 гидрант старого образца без переходника, что делает его непригодным для использования пожарной машиной.
В ангаре 9720 с деревянной крышей содержится запас оружейного плутония, что является вопиющим нарушением.

Поиск секретного объекта

1:40:04

Автор пытается найти секретный объект White Wells в окрестностях города Оакридж с помощью Google.
Google показывает много совпадений, но автор находит нужный объект.

Журналистское расследование

1:41:03

Территория объекта окружена забором, есть проходная и холмы с деревьями.
С одного из холмов открывается прямая видимость на ангар, расстояние до которого составляет 200 метров.
Автор упоминает о возможности атаки на объект с использованием гранатомёта.

Старые базы данных и новые технологии

1:42:02

Обсуждаются старые базы данных, которые продолжают использоваться, несмотря на их устаревание.
Упоминаются новые технологии, такие как инфоботы, которые могут собирать данные о пользователях.

Цифровой ликбез и безопасность

1:45:53

Поднимается вопрос о необходимости цифрового ликбеза для повышения безопасности пользователей.
Отмечаются проблемы цифрового невежества, которые касаются не только пользователей, но и администраторов безопасности.

Законодательство о персональных данных

1:48:50

Сравниваются законы о персональных данных в разных странах, подчёркивается важность защиты данных.
Обсуждаются различия в подходах к защите данных в зависимости от страны.

Контроль молодёжной среды в интернете

1:50:48

Рассматривается возможность использования программ для контроля поведения подростков в социальных сетях.
Приводится пример неудачного продвижения программы родительского контроля.

Экспресс-аудит порталов

1:52:44

Описывается метод экспресс-аудита порталов, включающий поиск порнографии и других нежелательных контента.
Подчёркивается, что даже хорошо защищённые порталы могут не соответствовать ожиданиям пользователей.

Защита аккаунтов

1:54:44

Автор объясняет, как защищается от атак на его аккаунты: создаёт дубликаты с похожим стилем поведения и аватаркой.
Подчёркивает, что даже если аккаунт не удаётся быстро вычислить, другие пользователи будут активно искать информацию о нём.

Политическая легенда

1:55:44

Обсуждается, как политики создают новые легенды и переписывают своё прошлое.
Приводится пример с Ангелой Меркель, которая не пострадала от скандального снимка в юности.

Конспирологические теории

1:57:38

Автор делится опытом работы с конспирологическими теориями, которые могут быть полезны в анализе событий.
Упоминаются случаи, когда такие теории помогают выявить скрытые взаимосвязи.

Тендеры и Майдан

1:59:36

Рассказывается о тендерах штаба военно-морских сил США на перестройку школ в Севастополе.
Делается вывод о возможном конфликте между США и Россией из-за присутствия американских сил в Севастополе.

Химическое оружие в Сирии

2:00:36

Описывается скандал с поставками химического оружия из Великобритании в Сирию.
Упоминается тендер на расширение химзавода в Солсбери и связанные с этим конспирологические теории.

Политические аспекты конфликтов

2:03:32

Обсуждаются политические аспекты израильского конфликта и роль пропаганды в формировании общественного мнения.
Подчёркивается, что современные войны часто определяются политическими задачами, а не реальными событиями.