Några aspekter kring OSINT
OSINT står för Open Source Intelligence och innebär generellt att man bedriver underrättelsetjänst med hjälp av informationsinhämtning från öppna källor, exempelvis massmedia, offentliga källor, sociala medier, akademiska och kommersiella datakällor samt olika företagskällor.
Motsatsen till OSINT kan anses vara spioneri då man med olika medel försöker inhämta känslig information. Gränserna för OSINT är ändå delvis flytande och många förknippar inhämtandet av information med metoder som delvis syftar till att kartlägga personer och relationer som tekniker som befinner sig i en gråzon.
En enkel översikt av vad som kan tänkas ingå i OSINT fås från osintframework.com varifrån följande figur har expanderats.
Ett underrättelsearbete omfattar normalt en frågeställning, en metodik och en eller flera tekniker. Ett enkelt exempel taget från ovanstående sammanställning är en journalist som ska avgöra om en bild eller en film som skickats in till redaktionen är äkta. Frågeställningarna är då förenklat
- Är materialet taget i det sammanhang och på den plats och tid som gjorts gällande?
- Är materialet manipulerat eller redigerat?
- Är materialet publicerat eller känt sedan tidigare?
- Är uppgiftslämnaren känd och verifierad sedan tidigare?
Under punkten Search Engines / Fact Checking / Verification Handbook hittar man en beskrivning av några av de metoder som journalister använder för att bedöma riktigheten, exempelvis att hitta landmärken och jämföra mot online kartor osv. Andra tekniker är bildsökning och personsökningar för att avgöra om materialet redan är känt.
Vill man då använda en teknik för att bedöma en bild så kan man gå till något av de verktyg som finns under Images Videos Docs / Images / Forensics för att avgöra om bilden kan vara manipulerad. Därefter kan man använda ett verktyg under Geolocation Tools Maps för att avgöra om bilden kan vara tagen inom det aktuella området. Slutligen kan man använda en nyhetssökning eller bildsökning för att se om materialet redan är känt, tex att någon skickat in en gammal bild från förra årets händelse.
Vad ingår egentligen i OSINT
Av introduktionen framgår att OSINT kan sägas ha ett spretigt innehåll. Kurser och akademiska avhandlingar i OSINT kan också ha ett högst skiftande innehåll, exempelvis
- Underrättelsetjänstens inriktning och arbetsmetoder
- Olika typer av tillgängliga källor på Internet
- Sökverktyg och logganalyser (vad andra söker efter osv)
- Sökning efter personrelaterad information
- Hantering klient och anonymitet
- Hantering av klient och osäkra källor, dark web mm
Akademiska avhandlingar kring OSINT kan koncentrera sig på exempelvis underrättelsetjänst i allmänhet eller kriminalunderrättelsetjänst som är avsedd att spåra brottslighet. Alternativt kan avhandlingarna handla om olika specialiserade sökmotorer och sätt att söka på bilder, geografiska områden eller olika former av metadata.
Kurser i OSINT är ofta inriktade på att hantera en virtuell klient som ska vara lämplig att använda för att söka information anonymt eller på dark webb via specialiserade program som TOR. Detta är särskilt viktigt om man ska söka information som berör kriminella aktiviteter även om detta egentligen inte är att betrakta som öppen information.
Generellt så har nästan alla personer någon gång sökt information från öppna källor, exempelvis genom att googla eller genom att bara gå in på en organisations hemsida. De flesta personer har därvid aldrig haft behov att värdera riskerna eller metoderna att söka information på nätet eller på annat sätt.
Risker med OSINT och anonymitet
Vilka risker finns det då med att använda OSINT
- Risken att man söker eller hittar föråldrad eller ej relevant information
- Risken att man utsätts för brott, bedrägerier eller vilseledning
- Risken att man utsätts för skadlig kod
- Risken att man själv kartläggs under sin sökning
- Risken att sökningen röjer känslig information eller ett informationsbehov
- Risken att man hämtar eller begär information i strid med regelverk avseende sekretess eller utan ett befogat syfte
Ett enkelt exempel på en vardaglig sökning är en personalavdelning som i samband med en rekrytering vill göra en bakgrundskontroll. Man gör då ofta en sökning på personen och de referenser denna angett på olika sociala medier, exempelvis Linkedin, Facebook och kanske ytterligare några källor förutom en kontroll med aktuellt lärosäte och uppgivna referenser. Det krävs ingen anonymitet i denna situation och de risker som behöver beaktas är att man vid en egen sökning kan stöta på andra personer med samma namn eller felaktiga uppgifter. Man är i detta fall också medveten om att den person man vill kontrollera ofta vill framstå i en gynnsam dager och kan ha påverkat vissa av de uppgifter som kommer fram i sökningen.
Vid en bakgrundskontroll inför en anställning för en högre befattning eller inför ett samarbete kan det också vara legitimt att göra en kreditkontroll. Man ska då vara beredd på att denna sökning av information kan komma till den berörda personens kännedom och även vara medveten om att det ska finnas ett befogat syfte för att hämta informationen.
Ett mer komplicerat exempel är en journalist som vill få kontakt med källor inom en organisation och gör sökningar på vilka personer som har en bakgrund som kanske gör att de vill berätta om eventuella missförhållanden. Det kan här krävas mera anonymitet i sökningen, särskilt om man ställer sökfrågor mot en organisation som kan tänkas vilja spåra läckor inom den egna organisationen. Detta gäller särskilt om man hämtar information från den berörda organisationens egna databaser. Journalisten kan vilja ha en klient som framstår som anonym och varken kopplad till den egna organisationen eller sin privata identitet när han gör sina sökningar. I vissa länder kan journalisten också sätta sig själv i fara om sökningar görs avseende korrupta myndigheter eller kriminella organisationer.
I det sista exemplet finns den verksamhet som bedrivs av professionella underrättelseorganisationer. I dessa fall gör man ofta insamlingen under så neutrala former som möjligt och lagrar insamlad information på egna databaser för att inte avslöja sina aktuella intresseområden och undvika att ställa samma sökfrågor upprepade gånger. I dessa fall har man både neutrala nätverk, klienter, webbläsare och vid behov neutrala användarkonton.
Ett angränsande område är när man även vill göra enklare former av kontaktsökande eller enklare former av dataintrång i skydd av samma typ av anonymitet som används inom OSINT. Även om detta inte riktigt hör hemma i OSINT så används samma tekniker för att sätta upp neutral klienter och skydda dessa samt att använda anonyma nätverk.
Några länkar och referenser
http://verificationhandbook.com
https://www.i-intelligence.eu/wp-content/uploads/2018/06/OSINT_Handbook_June-2018_Final.pdf