Abban a megtiszteltetésben volt részem, hogy a közelmúltban részt vehettem egy „Military and Law Enforcement” OSINT tréningen, amelyet az European Security Academy (ESA) hazai ága, a European Security Academy Hungary Military and Law-Enforcement szervezett.

European Security Academy logó

Az ESA egy lengyel alapítású szervezet, akik kifejezetten a katonai és rendvédelmi bizniszben utaznak. Amikor először megnéztem a honlapjukat, akkor úgy kommentáltam magamban őket, hogy „ez bmeg az európai Blackwater!”

Még az is stimmelt, hogy Academy – Academi, mivel egy időben (amikor a Blackwater neve már inkább a botrányt jelentette) a BW átnevezésre került és egy ideig Academi néven futott. Persze a két cégnek köze sincs egymáshoz, legfeljebb annyiban, hogy mindkét cég a katonai és rendvédelmi területeken tevékenykedik. Az ESA a PMC képzéssel, oktatásokkal, képzésekkel foglalkozik, azaz  a Private Military Contractor, magánhadsereg-bizniszben utazó vállalatok és személyek felkészítését csinálják, illetve a rendvédelmi szerveknek is tartanak különleges képzéseket. Ott vannak persze a testőrbizniszben is, jóféle testőröket képeznek különféle szolgálatoknak, szervezeteknek.

Hogy kerül az OSINT stukker mellé?

Ez igen jó kérdés, de ha belegondolunk, hogy rendvédelmi és katonai feladatokra képeznek szakembereket, akkor nem annyira távoli ez a dolog, mint ahogy az elsőre látszik.

éppen nem OSINT-ra készülnek...

A különféle háttérellenőrzések, fenyegetés felmérések, értékelések és elemzések alapvető módszere az információgyűjtés és a kiértékelés, így az OSINT módszerek egyértelműen kiválóan alkalmazhatók, sőt. Ugyanez igaz különféle felderítő vagy nyomozati tevékenységek esetében is, gyakorlatilag minden ilyen tevékenységet végző személy vagy szervezet használja az OSINT módszereket és forrásokat.

Gondolkodás, módszertan

Ami engem különösen érdekelt, hogy van-e különbség az általam ismert OSINT módszerek és a katonai vagy rendvédelmi célú, OSINT-jellegű információgyűjtés között. Erre viszonylag gyorsan választ kaptam.

Alapvetően a három nap alatt nem találkoztam olyan eszközzel vagy módszerrel, amelyet valamilyen formában nem alkalmaztam még. Ez alól egyetlen kivétel volt, mégpedig a GEOINT, azaz a Geospatial Intelligence, ami a különféle műholdas, vagy egyéb képi lokációs felévételek feldolgozását és elemzését takarja.

GEOINT direktíva

Erre a kurzus alatt nagyon komoly hangsúlyt fektettek, ez volt az a pont ahol a leginkább érződött a professzionális rendvédelmi és katonai szemlélet. Talán nem véletlenül, hiszen ha egyetlen képből megállapítható, hogy hol és mikor készült a felvétel és persze kiket ábrázol), az az elemzők számára egy igazi aranybánya, nem véletlen, hogy az USA-ban erre külön ügynökség is létezik (National Geospatial-Intelligence Agency) erre a tevékenységre.

Alapvetően az információgyűjtés és hírszerzés több területre tagozódik, ilyenek például 

• OSINT – nyílt forrású információgyűjtés /hírszerzés
• GEOINT – lokációs képi elemek feldolgozása, elemzése, rétékelése
• SIGINT – rádiótechnikás vagy egyéb „szignál-alapú” információgyűjtés, elemzés, feldolgozás
• FININT – pénzügyi, financiális információgyűjtés, elemzés, értékelés, stb.

Látható, hogy a GEOINT az OSINT mellett létező terület, azonban nagyon sok esetben használnak GEOINT technikákat a OSINT-on belül is (például az oknyomozók - Bellingcat), így kifejezetten hasznos volt ilyesmit is látni és megtapasztalni – még akkor is, ha én egy térképpel a saját lakásomban is képes vagyok eltévedni, és vak vagyok, mint a denevér, úgyhogy a különféle terepazonosító pontok felismerése, vagy az árnyékok alapján történő fényszögek, a napsütés irányának meghatározása számomra teljesen alkalmazhatatlan módszereknek bizonyultak, de ugye ez az én sajátosságom.

Ami szintén különbség az általam eddig „művelt” OSINT és az itt tanult módszerek között, hogy nagyon komolyan veszik a nyomozás felépítését, a bizonyítékok gyűjtését, hiteles letárolását és természetesen a megfelelő, alátámasztó riportok elkészítését. Bármilyen vizsgálat esetén elmondható, hogy ha nem tudod megfelelően tolmácsolni az eredményeket a megbízó felé, akkor nem végezted el a munkádat. Ez sem volt újdonság a számomra, azonban ennyire rendszerezetten, strukturáltan és összeszedetten még nem láttam egyben az egészet, talán mert nem kellett még ennyire komolyan vennem az OSINT vizsgálatok dokumentációs elvárásait.

Known-Unknown Framework

Nagyon tettszett, hogy az elején szintén elég keményen belementek az elméletbe, és olyan metodológiát mutattak, amivel én nem foglalkoztam korábban, mégpedig a Known – Unknown Framework-öt, amelynek igazából nem is az OSINT-hoz van köze, hanem az általános problémamegoldásra fókuszáló gondolkodás módszertana. Nem állítom, hogy képes lennék eszerint gondolkodni, azonban tény, hogy sokkal jobban tervezhető az OSINT, ha a kérdéseket és válaszokat eszerint vizsgáljuk és kutatjuk.

Az OSINT alapvetően kérdésekre próbál meg választ találni. Ki, mikor, hol, mit, hogyan, miért. Ez egyszerűen hangzik, azonban ha a már az elején rosszul tesszük fel a kérdéseket, vagy nem teszünk fel kérdéseket, akkor az OSINT csak a különféle toolok nyomogatása, érdemi eredményre nem fog vezetni.

Említhetem még az elméleti részből az adat és az információ kapcsolatát, amelyet én gyakran egy kalap alá veszek, viszont az OSINT (és minden más Intelligence-tevékenység) szempontjából ezek nem egyenlők.

OSINT direktíva

Az adat bármi lehet, de jellemzően olyan, ami nem validált, nem ellenőrzött, így még nem beilleszthető a nagy képbe. Az információ („Intel”) azonban csak ellenőrzött, validált adatokból állhat össze, és az OSINT célja, hogy minél több intelt tudj összerakni a feltárt adatokból.

Itt is érezhető volt a katonai vagy rendvédelmi gondolkodásmód, nekem az adat és az információ szinonimák – de én valójában bölcsész vagyok, így nem csoda, ha eddig nem tettem különbséget a kettő között. Amikor kicsit megzavarodva éreztem magam, megnéztem, hogy az informatikában hogyan tesznek különbséget az adat és az információ között:

Így végül is érthetővé vált a számomra, viszont azt is elég komolyan sulykolták, hogy bármilyen adatot is találsz, az önmagában egyáltalán nem siker, mert neked nem adatra van szükséged hanem az intel-re, különben nem tudod megválaszolni a kérdéseket és nem rakod össze a „big picture”-t.

Eszközök, toolok

Nem számítottam csodákra, viszont a tréning után többen kérdezték az ismerősök közül, hogy milyen toolokat mutattak, volt-e valami spéci megoldás?

Csodák tényleg nincsenek ebben a szakmában. Jól ismert, bevált eszközök kerültek bemutatásra és gyakorlásra, semmilyen extra vagy különleges eszközről nem volt szó, de ez egyáltalán nem probléma, mivel eleve nem léteznek ilyen megoldások – legalábbis nyilvánosan, és bárki számára hozzáférhetően.

Az eszközök tekintetében az ESA készített egy saját OSINT Lab Linux verziót, amelybe belegyúrta a fontosabb és alapvetőbb eszközöket (The Harvester, Metagoofil, Sheldon, Maltego, stb.), illetve előkerült egy általam még nem használt disztribúció, a CSI Linux, amelyet kifejezetten OSINT és egyéb cyber-jellegű vizsgálatokra terveztek (https://csilinux.com/features.html). Sokan siratják az OSINT-körökben igencsak kedvelt Buscador nevű disztribúciót, ami már két éve megszűnt, de szerintem a CSI Linux képes betölteni a hátrahagyott űrt.

Az ESA saját disztribúciója fel van készítve arra, hogy minél kevesebbet kelljen turkálni a begyűjtött adatok között. Alapvetően vizsgálatokban, case-kben gondolkodik, a toolok úgy kerülnek futtatásra, hogy mindig megkérdezik, melyik case-hez csatolja a futás eredményét, így a végén egyszerűbb áttekinteni az adatokat, amelyek rendezetten, rendszerezetten kerülnek letárolásra az adott ügy mappaszerkezetében.

Gyakorlás, gyakorlás, gyakorlás

Nagyon sok gyakorlófeladat volt, talán ez tettszett a legjobban. Egyszerűen arról van szó, hogy hiába ismered a különféle eszközöket, ha nem tudod, hogy mikor és melyiket érdemes alkalmazni. Nyilván ezt az határozza meg, hogy mire vagy kíváncsi, milyen kérdésekre kell megtalálni a választ.

Egy Twitter profilhoz kapcsolódó feladat

De amikor kapsz egy komplex feladatot, akkor nagyon ott kell lenned fejben, hogy összerakd a vizsgálatot, és a megfelelő eszközöket a megfelelő időben és adatokon alkalmazd, és a megszerzett adatokat vagy már inteleket megfelelően tudjad értelmezni. Ezt pedig csak gyakorlással lehet elsajátítani.

Talán a GEOINT modulnál jött elő legjobban a gyakorlás fontossága, mivel ott a gondolkodás és a logika még fontosabb, mint a többi esetnél. Volt egy feladat, ahol kaptunk egy pár másodperces drón videót egy városról, és meg kellett tudni állapítani, hogy hol és mikor készült a felvétel. Ezt a példát az instruktorral közösen jártuk végig, közösen kerestünk azonosítási pontokat, objektumokat és az irányítása mellett próbáltunk olyan következtetéseket levonni, amelyek ellenőrzésével közelebb és közelebb kerültünk a megoldáshoz.

Itt aztán mindenre is figyelni kellett, épületformákra (vajon milyen célja van az épületnek), mennyire lehet hideg/meleg az időjárás (az épület tető légkondijainak számossága), vezetési irány (bal vagy jobb sáv), buszok színe, parkok mérete, építkezési stílus, esetleges rendszámtáblák, árnyékok szöge, stb. Annyi kiderült a számomra, hogy a GEOINT olyan terület, amivel nekem nem érdemes foglalkoznom, mivel teljesen alkalmatlan vagyok rá.

Szakosodás

Az OSINT mindenkié, bárki képes alkalmazni. Ezt én nagyon sokszor elmondom előadásokon, bemutatókon, azonban a tréning után egy kis kiegészítésre lesz szükség a részemről.

Nem került kimondásra, és lehet, hogy az OSINT mesterek fel is hörrennek ezen, de mivel az OSINT nagyon széles körben alkalmazható, a tréning után arra jutottam, hogy az alkalmazó a saját személyétől és képességétől függően nem tudja minden területen egyforma színvonalon alkalmazni a módszereket.

Valaki ebben lesz jobb, valaki abban. Én például a GEOINT területen béna kacsa vagyok, viszont mondjuk a SOCMINT – azaz a Social Media Intelligence területen sokkal jobb vagyok. Az is világossá vált a számomra, hogy igazából én ott vagyok a leghatékonyabb, ahol infrastruktúrát kell vizsgálni, nyilván azért, mert az IT biztonsági tapasztalatom és gyakorlatom miatt ott sokkal módszeresebb és jobb a gondolkodásmódom – és persze nagyobb gyakorlatom is van.

Ezzel csak azt akarom mondani, hogy az OSINT is ugyanolyan, mint bármilyen más terület, nem érthet mindenki professzionálisan minden ágához, irányához vagy módszeréhez. Orvos-orvos – de nem mindegy, hogy mire szakosodott, egy agysebész feltehetőleg kevesebb sikerrel fog tevékenykedni az emberi mellkasban, mint a koponyában.

Érdemes a különféle területek alapjaival tisztában lenni, de számomra a legnagyobb tanulság az volt, hogy az OSINT-on belül is érdemes lehet szakosodni és specializálódni. Nem ördögtől való dolog ez, hiszen nem csak az információgyűjtés a feladat, hanem az információkból össze kell rakni a nagy képet, értelmezni, elemezni kell – ott pedig fájóan tud megjelenni, ha az adott területhez nem ért az ember, hiszen hogyan akar elemzést végezni és következtetést levonni, ha nem ért az adott területhez igazán?

Az OSINT annak a kezében lesz jól használható eszköz, aki a vizsgált esemény vagy jelenség területén otthonosan mozog. Egy pénzügyi elemző az OSINT módszerekkel kiváló eredményeket érhet el a saját területén, hiszen ismeri a terület mechanizmusait. Ugyanezek az OSINT technikák egy IT-s kolléga kezében kevésbé fognak eredményre vezetni a pénzügyi világban.  

Összefoglalás

A kurzus 30 órát vett igénybe, péntek-szombat-vasárnap tartott, így eléggé kemény volt a napi 10 órát végig tolni. Megpróbálom összeszedni a pozitívumokat és negatívumokat a képzéssel kapcsolatban.

Pozitívum:

• Az ESA magyar tagozata a kinti képzés áránál olcsóbban szervezte ide a kurzust, a 650EUR helyett 140 ezer Ft-os áron volt elérhető, ami azért baráti. Tudom, az online kurzusok jóval olcsóbban elérhetők, én is csináltam már végig olyanokat, ez nekem személy szerint jobban bejött, de ehez az is kellett, hogy ott voltunk fizikailag és jobban lehetett az instruktorral kommunikálni.
• Nagyon jó elméleti alapokat adott, amelyek nekem hiányoztak és most sokkal jobban látom az OSINT lehetőségeit és korlátait.
• Módszerességre oktat, a módszertan sokkal teljesebb, mint amikkel eddig találkoztam.
• Nagy hangsúlyt fektet az ügyek felépítésére, a nyomozási módszer kidolgozására, a bizonyítékok és adatok megfelelő, rendszerezett és hiteles letárolására, illetve a jelentés elkészítésére.
• Megismertetett a rendvédelmes gondolkodásmóddal, amely egyébként szerintem a civil szférában is jól alkalmazható.
• Rengeteg feladat és CTF volt, amelyeken keresztül tényleg hatékonyan lehetett próbálkozni és gyakorolni.
• Rendszerezte és alakította a meglévő tudásomat, amely révén talán sikerül hatékonyabbnak és eredményesebbnek lennem.
• Azok számára is érthető és megtanulható volt, akik korábban még nem foglalkoztak OSINT-al.

Negatívum:

• Nem volt jó a fűtés, mindjárt az első napon megfáztam, így lázasan es haldokolva toltam végig a hétvégét :)
• Nem kaptunk oktatási anyagot. Ezt találom a kurzus legnagyobb hibájának és negatívumának. Nem teljesen értem, hogy miért nem megkapható az a diasor, amely alapján haladtunk, semmilyen különleges vagy titkos tudás nincs benne, legfeljebb jobban van struktúrálva, mint más, hasonló anyag. Nehéz volt figyelni, és folyamatosan jegyzetelni – ahogy kiderült, hogy nem kapunk jegyzetet, megpróbáltam minden diát leírni, természetesen sikertelenül. Fotózni nem lehetett, 1-2 slide volt, ahol engedélyt kaptunk a fénykép készítésére. Komolyan, rendkívül frusztráló a jegyzet és a diasor hiánya.
• Az angol. Nyilván ezzel is megszenvedtem. Általában elég jól értem az angol előadásokat, és az instruktor (Justin Casey - nomen est omen :)) rohadt rendes volt, és sokat segített, azonban a saját hiányosságom az angol területén most az átlagosnál jobban kiütközött: Justin ír, és nagyon "szokni kellett" a nyelvet :) ráadásul mivel szinte azonnal dögrovásba estem, a nátha miatt hallani is sokkal rosszabbul hallottam, így néha nem tudtam követni hogy mi a fene van :) Ez ott volt gond, amikor egy feladatról csak a végén derült ki hogy modulvizsga volt :) Ez a pont egyébként semmiképp nem a szervezőknek róható fel, hanem nekem.
• A DarkNet vonal csak érintőleges volt – de nem véletlenül, arra az ESA egy komplett teljes kurzust épített fel (DarkNet Investigator), és nyilván nem férhet bele minden 3 napba.

Összességében bátran ajánlom az ESA OSINT kurzusát bárkinek, aki rendszerezni akarja a már meglévő tudását, szeretne megismerkedni azokkal a területekkel, amelyekkel még nem foglalkozott, illetve olyanoknak, akiket érdekel az OSINT és szeretnének átfogó képet kapni arról, hogyan működik és milyen értéket képvisel a nyilvános forrású információgyűjtés.

Én elmennék rá még egyszer, egyszerűen jó és élvezetes volt.