OSINT30 marca 20266 min read
OSINT bez błędów debiutanta: checklista dla nowych śledczych
Najczęstsze błędy świeżych zespołów OSINT — higiena operatora, wycieki atrybucyjne i jak utrzymać zebrane dowody w sądzie.
Sd
Sarah de Boer
OSINT Practice Lead
Open-source intelligence ma najniższy próg narzędziowy w naszej dziedzinie i najwyższy próg tradecraftu. Umiejętność nie polega na 'znalezieniu' — polega na tym, by znaleźć legalnie, powtarzalnie i bez 'spalenia' operacji. Oto nieporozumienia, które cierpliwie rozplątujemy kurs po kursie.
1. 'To publiczne, więc mogę wszystko.'
Publiczna dostępność to nie to samo co legalne pozyskanie. Jurysdykcja decyduje, co zbierasz, jak przechowujesz, jak długo trzymasz i co z tym robisz. Stwórz plan kolekcji, zanim otworzysz przeglądarkę.
2. Higiena operatora to nie opcja
Wciąż widujemy śledczych, którzy badają cele z prywatnego sprzętu, na prywatnym koncie, z sieci biurowej. Wzmocniona stacja robocza, sensowny IP wyjściowy, sock-puppet z prawdziwą historią — to nie paranoja, to minimum.
3. Najpierw capture, potem klikanie
Współczesny dowód OSINT ma proweniencję: URL źródłowy, znacznik czasu, konfigurację przeglądarki, hash. Narzędzia jak Hunchly robią to w tle; nie dotykaj treści, której wcześniej nie zabezpieczyłeś.
4. Tłumaczenie waży więcej niż narzędzie
W naszym europejskim portfelu spraw najwyżej dźwigniową aktualizacją dla większości zespołów nie jest nowy software, lecz drugi natywny język w zespole zbierającym. Z tego powodu na naszej ławce mamy native'ów niderlandzkiego, niemieckiego, polskiego, rosyjskiego, arabskiego i hiszpańskiego.
5. Dokumentuj też ślepe uliczki
Negatywny rezultat — porządnie udokumentowany — także jest dowodem. Obrońca zawsze zapyta, gdzie nie patrzyłeś. Miej odpowiedź.