About Teletype
Join
Ксайнов | OSINT
@xaynov
March 11

Логические правила в OSINT

Современная интернет-разведка стала похожа на бесконечный поиск информации через ботов и утилиты. В этом процессе аналитик может легко потеряться в огромном количестве данных и начать находить связи там, где их нет на самом деле.

Проблема заключается не столько в том, что данные могут быть плохими, сколько в том, как наш мозг их обрабатывает. Когда мы проводим расследования, наши собственные мыслительные ошибки могут работать против нас. Например, мы склонны искать только те данные, которые подтверждают наши собственные теории, и верить источникам, которые кажутся нам авторитетными, без проверки.

Без правильного подхода очень легко испортить расследование. Поэтому определенные правила становятся не просто формальностью, а необходимостью для того, чтобы закрыть дело качественно. Без них мы можем получить только хаотичный набор зацепок, вместо структурированной доказательной базы, где каждый вывод имеет реальное обоснование, а не просто является вероятным.

Закон тождества (A = A)

Объекты тождественны, только если найден общий уникальный идентификатор

Не смотря на то, что закон тождества был открыт Аристотелем в его труде «Метафизика», в нынешних реалиях он применяется в совершенно разных, и на первый взгляд, не связанных сферах. Главной сутью закона является требование, чтобы в процессе рассуждения любая мысль, понятие и суждение сохраняли один и тот же смысл. Применительно к расследованиям это означает, что на протяжении всей цепочки поиска вы должны работать с одной и той же сущностью, не допуская незаметного перехода на похожую.

Главной проблемой здесь является атрибуция цифровых следов. Когда мы находим точно такой же никнейм, не имея уникального идентификатора, который позволит связать аккаунты (email, хэш пароля) мы непроизвольно ставим между ними знак равенства. В OSINT соблюдение этого правила требует жесткой фиксации опорных точек, чтобы к концу цепочки выводов объект поиска не превратился в случайного человека с похожими биографическими данными.

Закон достаточного основания

Гипотеза становится фактом, когда вероятность ошибки стремится к нулю

Частой ошибкой расследователей является совершать интуитивные выводы и выставлять их за истину. Но это не означает, что индукция и дедукция не нужны. На самом деле индукция и дедукция являются инструментами и работают только тогда, когда мы можем проверить, подтвердить или опровергнуть тот факт, к которому мы пришли ранее на основе интуиции.

Фотография человека на фоне здания офиса не означает, что он там работает, но открывает вектор проведения корпоративной разведки, с целью подтвердить, действительно ли он там работает.

Закон исключенного третьего

Либо данные верны, либо нет

При проведении разведки очень важно учитывать, что наличие неопределенности недопустимо для финальных выводов. Это означает, что любая информация, полученная во время этапа верификации данных, должна быть тщательно проверена и подтверждена через несколько независимых источников. Если это невозможно, то такие данные не могут быть считаны фактом, а скорее направлением для дальнейшего поиска.

Следователь должен быть очень внимательным к любым «почти совпадениям», которые могут указывать на то, что пазл еще не собран. Например, если фамилия и адрес объекта совпадают, но номер квартиры отличается, это не повод закрывать дело как успешное, а повод более детально выяснить, нет ли здесь ошибки в источнике или наличия родственника-однофамильца.

Бритва Оккама

Не следует множить сущее без необходимости

При наличии нескольких объяснений явления более вероятным останется самое простое, не привлекающее лишние или недоказанные сущности. Чем больше «если» в вашей гипотезе, тем больше шансов на ошибку.

В практической разведке это работает как фильтр для гипотез. Если вы видите, что профиль объекта внезапно удален, Бритва Оккама заставляет вас в первую очередь рассмотреть бытовую версию — например, пользователь просто устал от соцсетей или нарушил правила платформы. Это гораздо вероятнее, чем сложная схема инсценировки смерти или работы спецслужб по зачистке цифрового следа.

Главная ценность этого подхода для аналитика заключается в экономии времени. Вместо того чтобы тратить часы на проверку невероятных связей между двумя случайными людьми с одинаковыми фамилиями, вы сначала отрабатываете версию простого совпадения. Каждое новое «если», которое вы добавляете к своей версии, делает её геометрически менее надежной.

Бритва Хэнлона

Никогда не приписывайте злой умысел тому, что вполне можно объяснить глупостью

В расследованиях бритва Хэнлона работает как предохранитель от «переусложнения» картины. Если вы видите, что объект расследования удалил профиль в соцсетях или в базе данных всплыла странная опечатка, не всегда стоит сразу видеть в этом попытку заметать следы или контрразведку. Часто это оказывается обычным сбоем системы, некомпетентностью администратора или случайным действием пользователя, который даже не подозревает о вашем интересе.

Бритва Хитченса

Что можно утверждать без доказательств, то можно и отвергнуть без доказательств

В отличие от «Бритвы Оккама», которая выбирает простейшее из объяснений, «Бритва Хитченса» просто позволяет игнорировать любые заявления, не подкрепленные фактами. Именно на нее и ссылались многие, кто решал мою последнюю CTF, однако они игнорировали тот факт, что доказательства предоставлены и наша задача их проверить.

Если у нас есть сообщение, что на каком-то кошельке лежит запредельная сумма, то оно является инфошумом и поводом для проверки, а не истиной в последней инстанции. Главная идея здесь — бремя доказательства, которое лежит на том, кто утверждает. Если автор тезиса не предоставил доказательства, то тезис отбрасывается до появления первого доказательства в блокчейн-эксплорере.

Метод исключения

Если все варианты кроме одного отпали — этот один и есть истина

Метод исключения в разведке — это логический фильтр, который отсекает все невозможные или противоречивые версии, пока не останется одна-единственная, какой бы невероятной она ни казалась.

При расследовании мы начинаем с широкого поиска мест, где объект мог находиться. Затем мы систематически исключаем те места, где его присутствие невозможно, противоречит документам или просто не имеет смысла. Этот подход тесно связан с принципом проверки фактов. Если что-то кажется подходящим, но при ближайшем рассмотрении обнаруживается явное несоответствие — например, объект не мог быть в определенном офисе, потому что был в другом городе - мы полностью отвергаем эту зацепку. Мы продолжаем сужать круг поиска, пока не придем к твердому, неопровержимому факту.

Индуктивное обобщение

Если действие повторяется всегда, это устойчивая привычка объекта

Индуктивное обобщение — это способ делать выводы на основе конкретных примеров или фактов. Оно помогает предсказывать закономерности, исходя из того, что мы уже знаем. Однако в отличие от дедукции, выводы, сделанные с помощью индукции, не являются стопроцентно точными, а лишь вероятными.

Например, если наш субъект ставит запятую после пробела, то это закономерность, и мы должны смотреть сообщения из списка подозреваемых аккаунтов где она проявляется.

Проверка на непротиворечивость

Если отрицание какого-то предложения из системы может быть доказано в теории, то о самом предложении говорится, что оно опровержимо в ней.

Проверка на непротиворечивость — это процедура, гарантирующая отсутствие логических противоречий, взаимоисключающих утверждений или конфликтов данных внутри системы, базы данных или теории. Она подтверждает, что структура и содержание объекта соответствуют установленным правилам, обеспечивая достоверность информации.

Простой пример — если у нас есть предприятие, но ИП владельца ликвидирован, то это всегда либо ошибка в базе, либо намеренное действие для сокрытия чего бы то не было.

Круг в доказательстве

Если тезис обосновывается аргументами, которые, в свою очередь, выводятся из самого тезиса, то тезис не действителен.

Достоверность сведений в OSINT определяется не количеством упоминаний, а независимостью каналов их получения. Если два независимых источника показывают одну и ту же картину — это подтвержденный факт. Однако если сведения получены из созависимых источников, мы попадаем в логическую ловушку.

Созависимые источники (агрегаторы, зеркала сайтов, боты с общим API) не создают второго подтверждения. Они лишь дублируют первичную запись. Если в исходной утечке данных была допущена ошибка — например, неверно привязан номер телефона к ФИО — то каждый последующий агрегатор, втянувший эту базу, будет транслировать эту ошибку как истину.

Выводы

Основная проблема современной разведки не дефицит информации, а сложность ее верификации. Когда данных избыточно много, или наоборот, мало, возникает когнитивная ловушка

Чтобы не подвергнуться когнитивным искажениям достаточно соблюдать всего 10 правил, однако в современной разведке важно не превращать их в догму. Они помогают очистить мусор на начальном этапе, но если дальнейшие объяснения не укладываются или начинают противоречить новым найденным фактам, то мы должны переходить к более сложным моделям.

Все эти правила создают только одно направление: дальнейшая перепроверка.

March 11, 21:34
0 views
0 reposts