Mire jó az OSINT és hogyan lehet belőle megélni? | robot_dreams
A megrendelés állapotának követéséhez, kérjük, engedélyezd e-mailben.
Írd be az e-mailben kapott kódot Írd be az SMS-ben kapott kódot
 
A kód 2 percig érvényes Az SMS-ben kapott kód 2 percig érvényes
Biztosan ki szeretnél lépni?
A munkamenet lezárult
Vissza a kezdőlapra
Mire jó az OSINT és hogyan lehet belőle megélni?

Mire jó az OSINT és hogyan lehet belőle megélni?

Profi szoftverekkel és technikákkal eltűnt emberek, jachtok és titkolni vágyott, bebukott cégek is előkerülhetnek. Sőt, milliárdos károkat is elkerülhetünk. Páros interjú képzésünk előadóival.

Valakit egy cégjegyzék, mást egy rosszul írt név buktat le. A potenciális üzleti partnerek rejtegetni valói, közéleti szereplők necces ügyei és informatikai rendszerek durva sérülékenységei is kiderülhetnek, ha a megfelelő helyen kutakodunk a nyíltan elérhető információforrásokban. Az OSINT, azaz a nyílt forrású hírszerzés módszertanáról, jogi és etikai kereteiről, felhasználási területeiről szeptember 24-én induló képzésünk két előadójával, Kálmán Mihállyal, a BP CDD Lead munkatársával és Horváth Barnabással, az Alverad Technology Focus Kft. Senior Offensive IT Security Specialist kollégájával beszélgettünk. Szóba került, hogy

  • miért vigyázzunk a zárt forráskódú szoftverekkel,
  • mit tegyünk, ha utánunk kutakodna valaki,
  • honnan lehet felismerni a dezinformációkat,
  • mi az, amire nem elég a guglizás,
  • és hogy milyen adatokat ne használjunk fel akkor sem, ha hozzáférünk.

______________

Érdekes terület az OSINT, de lehet-e vele főállásban is foglalkozni vagy csak egy eszköztár, ami több szakmában is hasznos? Ha utóbbi, mely szakmákhoz?

Kálmán Mihály: Van, akinek ez kifejezetten főállása, akár OSINT-szakemberként, de az OSINT-ot használó oknyomozó újságírók is egyre többen vannak, nekik is ez a főállásuk. Illetve aki due diligence-szel (beszállítói audit – a szerk.) foglalkozik, azaz potenciális üzleti partner cégeket ellenőriz le multinál vagy erre szakosodott cégeknél, ő is főleg ilyen metódussal dolgozik. Ilyen munkakörre elég gyakran keresnek embert idehaza. Főleg Budapesten van sok shared service center, azaz SSC, ahová kiszerveznek back office munkákat nagy cégek és sokuknak itt van due diligence kirendeltsége is. Ők mind főállású OSINT-specialistának tekinthetők.

Horváth Barnabás: Illetve a cyber threat intelligence is az OSINT-ra erősen támaszkodó terület kiberbiztonsági oldalról. Ahogyan a nemzetbiztonsági szervezeteknél lezajló átvilágítások során is jelentős részben OSINT-ot alkalmaznak. Emellett a modern online magánnyomozói tevékenységben is megjelenhet.

Miben hasznos a terület akkor is, ha nem én akarok kutakodni, hanem utánam kutakodnak és ezt akarom megakadályozni IT biztonsági szakemberként, etikus hackerként és így tovább?

H. B.: Az OSINT nagyon hasznos ebben is. Az operations security, azaz a lenyomozhatóság megnehezítése a terület része és érinti is a kurzus tananyaga. Például lesz szó a zoknibáb-fiókokról, amik hamis felhasználók, amelyekről nem feltétlenül mondható el, hogy hamisak és ezzel általában a lenyomozhatóságot nehezítik vele, ha például a saját néven futó Google-fiók helyett használják. Ez mind az OSINT része és a munka során használjuk.

Kiket vártok a szeptember 24-én induló kurzusra, mennyi előzetes tudás kell a jelentkezéshez?

K. M.: A tananyag úgy lett összeállítva, hogy szinte nulla előzetes tudással is lehet jönni. Szerintem a leghasznosabb azoknak lehet a kurzus, akik talán még nem is tudják, hogy foglalkozhatnának a területtel, mert vannak ehhez hasznos képességeik, például nyelvtudás vagy programozás, és mindenekelőtt: affinitás és kíváncsiság adatok kutatáshoz. Egy ilyen bevezető kurzussal előttük is megnyílhat ez a világ. 

H. B.: Annyira kezdőbarátra terveztük ezt a kurzust, hogy lényegében bárki jöhet, akit érdekel. Persze akik ebbe az irányba akarnak tovább menni, annak hasznosabb lesz, de szerintem is sokan vannak, akik még nem is tudnak róla, mert nem is tudják még elképzelni, hogy miről szól a terület. Egyébként ezeket a képességeket a mindennapokban is érdemes ismerni.

Nem mindegy, mire használjuk fel

Ami szabadon hozzáférhető az interneten, azt korlátozás nélkül összegyűjthetem, rendszerezhetem és elemezhetem? Az EU általános adatvédelmi rendelete, a GDPR alapján például a célszemélynek beleegyezését kell adnia a kereséshez, az adatgyűjtésnek szükségszerűnek és arányosnak kell lennie és az adatokat, ha már nincs rájuk szükség, meg kell semmisíteni. Ezeket betartják, akik ezzel foglalkoznak?

K. M.: Nem vagyok jogász, de annak valóban van egy határa, hogy valakiről milyen profilt állíthatsz össze, hogy az adatokat meddig tárolhatod, kinek nem adhatod oda és így tovább. De amikor nyílt forrásokról beszélünk, akkor aki megtalálja az adatot, az nem válik automatikusan adatkezelővé vagy adatgazdává, hiszen a célszemély azt mondjuk a cégjegyzéknek szolgáltatta és ők kezelik azt. Viszont a GDPR tartalmazza a felejtés jogát is, bár nem tudom, ennek az érvényesítése mennyire működik jól.

H. B.: Ezekről jogásszal kell egyeztetni, de én sem gondolom, hogy automatikusan adatkezelővé tesz minket, hogy egy nyílt forrásból megtalálunk egy adatot. 

Milyen etikai határok vannak, amiket nem szabad átlépni? A dark webes keresgélés mennyire fér bele mondjuk a céges policykba? Mennyire etikus olyan infót felhasználni, amit például úgy látok, hogy valaki ismerősök ismerősei számára posztolta csak? 

H. B.: A két említett példa szerintem nem hordoz akkora etikai problémát magában. A dark web használata önmagában nem problémás – a Reddit is elérhető például a dark weben is– attól függ, mit csinálok ott. Az etikailag kérdéses adatokra én az ellopott, kiszivárgott adatbázisokból származó jelszavakat és más információkat mondanám. Vagy ha egy cég megbíz egy sérülékenységvizsgálattal és a szerződés lefedi a VPN-t és a belépési felületeket is, kérdéses, hogy a dolgozók személyes jelszavát megnézhetem-e azért, hogy nem ugyanazt használja-e céges jelszónak is. Ez már túllép egy határt, mert erre már nem adhatnak megbízást.

„Kezdőbarátra terveztük ezt a kurzust, lényegében bárki jöhet.”

K. M.: Attól is függ, mire használod fel az adatokat. Ha a dark weben levadászott céges levelezést vagy más adatokat arra használsz fel, hogy egy másik cég abból profitáljon, az nem fér bele. De előfordult, hogy politikusok levelezését kitették a netre, mert a tartalma valamiért közérdek volt, az már más megítélés alá is esik. Ha megbíz egy cég, bármi olyat megtehetsz, ami a scope-ba (hatáskör, terjedelem – a szerk.) beletartozik. De arra mondjuk nem adhatnak felhatalmazást, hogy a dolgozók személyes adataihoz hozzáférjek, minden máshoz a cég levelezéséből és más IT-rendszereiből igen.

Amit én olvastam, az alapján a hackelés már nem az OSINT része. Hol van ennek a határa? Ha az ember valamilyen sérülékenység vagy rossz biztonság miatt hozzáfér technikailag nyilvános, de egyértelműen nem annak szánt dokumentumokhoz, weboldal-részekhez, az belefér még az OSINT kereteibe?

K. M.: Ha közzétettek valamit a cég honlapján, akkor az publikus, ebben nem látok etikai dilemmát. 

H. B.: Nyilván, ha valamit sérülékenységen keresztül érsz el, az nem csak etikai probléma, de nem is törvényes. De ha mondjuk élesítenek egy blogposztot, ami véletlenül került ki, ott már nem látok etikai problémát. Honnan tudná, aki azt meglátogatja, mielőtt elolvasná, hogy az nem direkt került ki?

K. M.: Ha egy cég véletlenül előbb kitesz egy közleményt, az már nem számít bennfentes infónak! Ott akkor azt a cég elrontotta, de erről te nem tehetsz, azt mindenki más is láthatja. Ez szívás, de ennek felhasználásában nem látok etikai problémát, ha az egyébként is érvényes etikai szempontokat figyelembe vesszük. Tehát, ha személyes adatokat tettek közzé véletlenül, azt nyilván ne használd fel és ne terjeszd! 

Az OSINT nem stalkolás

Kevés olyan ember él, aki ne nézett volna utána már embereknek, potenciális munkahelyeknek, de gondolom, fél óra guglizás még nem számít OSINT-nak. Van egzakt határa ennek a fogalomnak?

H. B.: Ha fél órát guglizok, tulajdonképpen már az is egy nagyon alapszintű OSINT, hiszen nyílt forrású információkat kerestem, azokat használom fel. Csak nem feltétlenül egy OSINT-szakértő tudásával történik mindez, csak keresgélek. Szóval ennek szintjei vannak, mint más szakterületeknek.

K. M.: Ha valakiről a negatív médiamegjelenésekre vagy kíváncsi, akkor nagyon gyakran a Google-höz nyúlsz először. Más adatok megtalálásához pedig ez már nem elég.

A társadalmi megítélése is érdekel ennek az egésznek, mert aki sokat kutakodik valaki iránt, azt a köznyelv stalkolásnak nevezi, elég pejoratív felhanggal.

H. B.: Szerintem nincs negatív megítélése, de ez erősen attól függ, mire használod. Ha az exed új pasiját kutatgatod vagy effélék, az nyilván jogosan negatív megítélés alá esik, mint ha azt kutatod, hogy milyen cégeknél tudnál feljebb lépni. Szóval szerintem a megítélés esetfüggő, de én nem találkoztam negatív megítéléssel.

K. M.: Én sem. Inkább pozitív, az oknyomozó újságírók kedveltek, a due diligence és hasonló gatekeeper területeknek pedig maximum neutrális, de talán szintén inkább pozitív a megítélése. Az emberek leginkább érdekesnek és kicsit vadregényesnek, misztikusnak találják. Amúgy kevésbé misztikusak ezek a területek, mint elsőre gondolhatják sokan. De alapvetően tetszik az embereknek ez a fajta skill és amit ezzel kezdeni lehet. Ennek köze sincs a stalkoláshoz, hiszen mi ezt szakmai megfontolások alapján és indokokból végezzük, nem személyes indíttatásból. Felmerülhet valakiben, hogy lehet arra is használni, de nem hiszem, hogy ez tipikus, én még nem találkoztam ilyennel.

Most, hogy lassan a fontosabb dolgok mind felkerülnek a netre, a többi OSINT-forrás háttérbe szorul?

K. M.: Mára az internet abszolút a fő forrássá vált legalábbis a világ északi részén (a Globális Északon – a szerk.), ahol szinte minden fenn van. Más források ma már kevéssé fontosak. Vannak, amiket csak személyesen tudsz elolvasni, megnézni, de ott is általában a neten szerzel tudomást arról, hogy létezik. De persze a világ más országaiban, régióiban még nem ez a helyzet.

H. B.: Abszolút az internet a fő forrás. Az én munkámban biztosan. Lehetnek olyan specifikus területek, ahol nem, de jellemzően nem igazán használunk már mást.

Eltitkolt állampolgárság, milliárdos sérülékenység

A ti tapasztalataitok szerint mire használják a leggyakrabban ezt a módszertant? Két-három konkrét példát tudnátok rá mondani? 

H. B.: Cégekről például e-mail-listát, minél több ott dolgozó céges e-mail címét összeszedni, természetesen csak, ha ez scope.

Ezt például megengedi a GDPR? És ezt mire lehet felhasználni?

H. B.: Ha az én területemen egy sérülékenységvizsgálati szerződés része és azokat az e-mail címeket később felhasználod, akkor ez abszolút rendben van. Illetve cégek bíztak még meg minket olyan tech-intel vizsgálattal, ahol megnéztük, hogy ha egy rosszindulatú támadó beazonosítaná a cég három legértékesebb célpontját – mondjuk a cégvezetőt, a gazdaság vezetőt és így tovább –, akkor mit találna a neten róluk. Inkább nézzük meg mi és küldjük el nekik egy jelentésben.

„Sokan nem gondolnák, de már egy egyszerű guglizás is tekinthető OSINT-tevékenységnek”
– mondja Horváth Barnabás.

K. M.: Én cégstruktúrákkal, a cégek haszonélvezőivel és irányítóival foglalkozom. Vagyis például hogy van-e rá esély, hogy a cégtulajdonos valójában valaki másnak a strómanja, illetve ezt hogy lehet alátámasztani, milyen kapcsolódások vannak közöttük, milyen kockázati tényezők utalnak arra, hogy lehet valami a háttérben. Szóval a cégről és a hozzá kapcsolódó személyekről gyűjtök információkat.

Milyen mélységben lehet ilyen módon kutakodni emberek és cégek után? A cégekről például mennyivel lehet többet megtudni, mintha csak beírom az Optenbe a cégnevet?

K. M.: Nagyon sok olyasmi elérhető a netre valahogy – például valakinek az előző céges kapcsolataival összefüggésben – felkerült különböző céges iratokból, amelyeket fel lehet használni. Sok minden helyből nem evidens: ha valaki ad neked egy útlevelet és azt mondja, egy ország állampolgára, különböző cégkeresőkkel lehet, hogy megállapítható, hogy egy másikénak is. Ez már egy red flag, főleg, ha egy olyan államról van szó, amelyikkel nem akarsz üzletelni. Sok minden feltárható, amit nem akarnak elárulni, de összefüggések megkeresésével, gyakorlattal és némi szerencsével kideríthető. Tudni kell hozzá, merre érdemes elindulni, hol érdemes ilyen infókat keresni és össze lehet rakni egy valós képet.

Nektek, vagy szakmabeli ismerőseiteknek mik voltak a legerősebb, legizgalmasabb adatok, amire ráleltetek?

H. B.: A Trace Labs társadalmilag hasznos és szórakoztató capture-the-flag játékát hoznám fel példaként, ahol eltűnt embereket igyekeznek megkeresni. Itt egészen durva mélységekig el lehet menni, erős következtetéseket le lehet vonni, például hogy mi az érdeklődési köre az illetőnek a Facebook-csoportjai alapján és így tovább. Meglepő dolgokat is meg lehet tudni.

Neked mi volt a leginkább meglepő dolog, amit megtaláltál?

H. B.: Pont egy Trace Labs-versenyen néztünk rendőrségi felhívásokat eltűnt emberekről és valakiről, akit Írországban kerestek, véletlenül megtaláltuk, hogy a magyar eltűnt emberes rendőrségi adatbázisban is benne volt és konkrétan egy magyar állampolgárról volt szó eredetileg. Mikor már kiderült, hogy magyar, megtaláltuk a közösségi médiás profiljait is és később fel is tudták vele venni a kapcsolatot. A sérülékenység területén sajnos nem igazán mondhatok sokat a szerződések miatt. Volt egy nagy cég, ahol OSINT-módszerekkel találtunk egy olyan sérülékenységet, ami százmilliós vagy akár milliárdos nagyságrendű problémát okozhatott volna a cégnek és ezt sikerült megakadályozni.

Mihály, neked?

K. M.: Az említett példa nemrég történt. Kaptunk egy útlevelet, de a neve alapján arra tippeltem, hogy ő nem csak annak az országnak lehet állampolgára. Először egy Google-kereséssel azonosítottam egy olyan céget, amellyel régen kapcsolatban volt, aztán az ország cégjegyzéke alapján olyat is, amellyel még azóta is. Annak az irataiból viszont már az is kiderült, hogy annak az országnak is az állampolgára. Ezek az adatbázison belül megtalálható adatok például már nem jönnek fel a Google-ben. A korábban megtalált céges kapcsolattal azonosítottam tehát az adószámát és az alapján kerestem rá a cégadatbázisban. 

Ha valakiről kiderül, hogy eltitkolta egy második állampolgárságát, az már egy red flag,
mondja Kálmán Mihály.

Milyen ügyek voltak, amelyeket idehaza oknyomozó újságírók ilyen módszerekkel derítettek ki, mennyire van meg a hazai sajtóban a tudás ehhez?

K. M.: Például az elvileg honvédségi, de a kormány által használt repülőgépek sztorija. Egy kormányközeli milliárdos jachtjait is úgy találták meg, hogy transzponderek hozzáférhető adatbázisát nézték meg és összekötötték, hogy hol mennek a hajók és hol repülnek a kormánygépek. Ennek köszönhetően fotóriportot is tudtak készíteni róla. Az egy szép példa volt.

Egy elírt betű is lebuktathat

A különböző OSINT-szoftverek mennyit adnak hozzá a munkához, illetve mennyire kell velük vigyázni? Négy éve például egy magyar programnál találtak orosz kötődést.

H. B.: Szerintem a legbiztonságosabb, ha az ember tud programozni és nyílt forráskódú OSINT-szoftvereket használ, hisz akkor ő maga is tudja validálni, hogy nincs semmilyen kétes dolog a háttérben. Ráadásul ebben az esetben ha nagy a felhasználóbázis, abból mindenki, aki ért hozzá és veszi a fáradságot, azok mind validálják. A zárt forrású dolgokkal vigyázni kell, ott nagy kérdés, pontosan milyen szoftverről van szó, ki fejlesztette azt, nekik milyen érdekeltségeik vannak. De elég jól el lehet operálni csak nyílt forráskódú szoftverekkel. 

Mert egyébként rengeteget segítenek, olyan dolgokat automatizálnak és gyorsítanak fel, amiket kézzel rettenetesen hosszadalmas és nehézkes lenne elvégezni. A Holehe vagy az Epieos például egy felhasználóról megkeresik, milyen ismertebb oldalakon van fiókja a Githubtól a Google-ig. Ezt úgy tíz másodperc alatt, ötven-hatvan forrásból. Kézzel végigpróbálgatni mindet úgy egy nap lenne. És rengeteg a hasonló szolgáltatás.

K. M.: A különböző segédprogramok eredményeit ugyanakkor fenntartásokkal kell kezelni, hiszen még nincsenek olyan szinten, hogy emberi ellenőrzés nélkül elfogadható információt prezentáljanak. Ugyanakkor az én tapasztalataim szerint is nagyon sokat segítenek. Az Optenben például a kapcsolati háló funkció évekre visszamenőleg megmutatja egy személy élő és korábbi kapcsolatait, hogy hol igazgató, tulajdonos és így tovább. Az életed rámenne, míg ugyanezt egy-egy magas rangú emberről kézzel összerakod. Így viszont rengeteg mindent meg lehet találni, ki kivel volt korábban üzleti kapcsolatban, milyen egyéb cégei voltak, amik akár tönkrementek és így tovább. Mindez egy kattintásra.

Hogyan ismerjük fel a szándékosan elénk rakott dezinformációt?

H. B.: Ez attól függ, mennyire szofisztikált a dezinformáció, világszerte például választásokkal kapcsolatban vannak nagyon magas szintű megtévesztések is. Az a kérdés, mennyi pénzt és energiát ölt bele a dezinformáció terjesztője és mennyire ügyes a szakértő vagy a csapat. De sokszor nagyon banális hibákat ejtenek, ami egyértelművé teszi a helyzetet. Például rossz forrást hivatkoznak le, egyértelműen problémásan van megfogalmazva egy cikk és rossz érzésünk van vele kapcsolatban. De ha tényleg profi a megtévesztés, azt már nehezebb kiszűrni, persze kérdés az is, a vele szemben nyomozó szakember milyen szinten áll.

K. M.: Alapvetően elég nehéz jó, egy gyakorlott szakembert is megtévesztő dezinformációt létrehozni. Állami háttérrel ezt is meg lehet tenni, de ez, főleg, hogy ne csak terjesszenek valamilyen állítást, hanem kifinomult forrástömeget hozzanak létre az alátámasztására, az viszonylag ritka. Olyannal találkoztam, hogy egy személlyel valakik egy ürüggyel kapcsolatba akartak lépni, kiadták magukat valakiknek, de gyorsan rá lehetett jönni, hogy nem azok. Banális dolgok buktatták le őket: például hogy egyikük elírta a nevét a LinkedIn profilján. Majdnem ugyanaz szerepelt ott, mint a név, amit mondott, de azt hiszem, egy név végi e különbözött. Na most valaki jellemzően nem él egy olyan profillal, ahol egy betű is rosszul szerepel a saját nevében. Ezután utánanéztem további információknak, amelyek meg is erősítették, hogy ez egy rossz szándékú megkeresés.

Nyilván ezer terület van, ahol adatokat hagyunk magunkról. Tudnátok néhány példát mondani, mit tegyünk, ha nem szeretnénk akár vállalatként, akár magánemberként, hogy lenyomozhatók legyünk vagy pszichológiai manipuláció (social engineering) áldozatává váljunk? Például a közösségi médiában miket ne osszunk meg, amit sokan meg szoktak?

H. B.: Ez is attól függ, ki és milyen képességekkel akar minket lenyomozni. Általános elvnek jó, ha élünk az EU, illetve a GDPR által biztosított lehetőségekkel és töröltetjük az adatainkat onnan, ahol nem kell, hogy ott legyen. A Facebooknak például vannak erre felületei. Az is kérdés, mennyire akarunk rejtőzködni. A sütik elfogadásakor például érdemes megnézni, mit fogadunk el, mennyire épít rólunk profilt, de egyéb adatbázisokba is bekerülhetünk véletlenül, ha elfogadunk olyat, ahol harmadik félnek odaadják az adatainkat. A felhasználási feltételeket és szerződési feltételeket ugyanis általában az emberek nem olvassák el.

Te végigolvasod ezeket mindig és azt javaslod, hogy mások is így tegyenek?

H. B.: Nekem más módszereim vannak rá: mindig minimális adatot adok meg, ami szükséges. Csak akkor adok meg személyes adatot, ha elkerülhetetlen, de szinte mindig elkerülhető. Nagyon sokszor, ha kérik is, akkor sem kötelező és minden rendesen működik enélkül is. Szóval azon igyekszem, hogy az adatgyűjtés meg se történjen, hogy utána ne kelljen azt keresni, hova kerültek be az infóim. Ami Magyarországon kevéssé ismert, de érdemes megnézni, benne vagyunk-e, azok az online telefonszámos tudakozók (Telekom, Vodafone, Yettel, Digi). Ha anno eltároltak, akkor még benne lehetünk. Illetve – a kurzuson is szó lesz róla – a CallApp nevű alkalmazást aki letölti és elfogadja a feltételeit, annak a telefonkönyvét felteszik egy adatbázisba vagyis mások kontaktlistájából úgy kerülhetünk bele, hogy nem is volt felette irányításunk. Vannak, akik meglepődnek, milyen névvel kerülnek be. Viszont ha már bekerültünk, akkor tudjuk töröltetni magunkat.

K. M.: Én is a sütiket mondanám, illetve hogy ne hallgasson le bennünket az Alexa és más elektronikus eszközök. A Metánál például elvileg ki lehet kapcsolni az ilyesmit a biztonsági beállításokban vagy – minden alkalmazásnál – ott, ahol a telefonod kezeli, hogy milyen jogosultságokat biztosítasz az egyes appoknak.

További cikkek
Farkas Zsolt interjúnkban beszélt arról is, miért nem írat teljes blogbejegyzéseket a géppel, hogyan szűrik ki a hallucinációkat és miként hat az automatizálás a munkaerő-igényre.
A robot_dreams is ott lesz az idei BeerUP Tech Festen a Dürerben június 20-án. A régi motorosoknak is újat mondó előadások, sörkóstolás, szakmázás, networking – ingyenes belépéssel.