Сканирование портов и сервисов: Nmap, массовое сканирование, интерпретация результатов

Сканирование портов — это процесс проверки сетевых портов на целевой системе для определения, какие сетевые службы (веб-сервер, SSH, FTP, база данных и т.д.) запущены и доступны. Это один из самых информативных, но и наиболее «активных» методов технического OSINT. В отличие от пассивной разведки (DNS, WHOIS, сертификаты), сканирование портов напрямую взаимодействует с целью, оставляя следы в логах. Поэтому критически важно различать легальное сканирование (с разрешения владельца, в рамках пентеста или исследования собственной инфраструктуры) и несанкционированное (противозаконное).

Данная статья описывает методы и инструменты сканирования портов, а также способы получения аналогичной информации пассивно через публичные базы (Shodan, Censys). Акцент будет сделан на интерпретации результатов и на том, как использовать эти данные для составления картины инфраструктуры.

Активное vs пассивное сканирование

для разведки без риска сначала используйте Shodan/Censys. Только при наличии письменного разрешения (или на собственной инфраструктуре) переходите к активному Nmap.

Этап 1: Пассивное сканирование через Shodan

Shodan — поисковая система по интернет-подключенным устройствам. Она постоянно сканирует весь интернет по многим портам (80, 443, 22, 21, 25, 3389, 3306, 5900 и т.д.) и сохраняет баннеры (ответы сервисов). Вы можете искать по IP, домену, организации, порту, географической локации и многим другим фильтрам.

Поиск по IP в Shodan:

https://www.shodan.io/host/8.8.8.8

Что покажет Shodan:

• Открытые порты (с номером и названием службы).
• Баннер (HTTP заголовки, версия SSH, сообщение FTP).
• Страна, город, ASN, организация.
• История изменений (даты сканирований, если подписка).

Пример фильтрации:

hostname:example.com                     # все IP, связанные с example.com
port:443 org:"Google"                    # порт 443 у организаций, содержащих Google
ssl.cert.subject.CN:"*.example.com"      # сертификаты

Shodan API (Python):

import shodan

api = shodan.Shodan('YOUR_API_KEY')
host = api.host('8.8.8.8')
for item in host['data']:
    print(f"Port {item['port']}: {item.get('banner', '')[:100]}")

Censys — альтернатива Shodan, с фокусом на сертификаты и глубокую информацию о портах. Интерфейс сложнее, но часто даёт больше данных.

Этап 2: Активное сканирование с Nmap (с разрешения!)

Nmap (Network Mapper) — стандарт де-факто для активного сканирования портов. Он поддерживает десятки техник сканирования (TCP SYN, TCP connect, UDP, NULL, FIN и т.д.), определение служб, версий, ОС и скриптовые проверки.

Основные типы сканов:

Базовые команды Nmap:

# Сканирование топ-1000 портов TCP
nmap example.com

# Сканирование определённого диапазона портов
nmap -p 22,80,443,8080 example.com

# Сканирование всех портов (медленно!)
nmap -p- example.com

# Определение версий служб (баннеры)
nmap -sV example.com

# Использование скриптового движка (безопасные скрипты)
nmap -sC example.com

# Сохранение результатов в файл
nmap -oA scan_results example.com

Пример сканирования с определением служб и скриптов:

nmap -sV -sC -p- --min-rate 1000 -T4 example.com

Примечание: --min-rate 1000 и -T4 ускоряют сканирование, но могут вызвать срабатывание IDS. Для легальных тестов это допустимо, для разведки — нежелательно.

Продвинутые техники Nmap:

• Сканирование подсети: nmap 192.0.2.0/24
• Сканирование из файла со списком IP: nmap -iL hosts.txt
• Использование специальных профайлов для времени (для скрытности): -T0 (очень медленно) или -T1 (параноидальный).

Этап 3: Массовое сканирование (masscan, Zmap)

Для сканирования больших диапазонов IP (например, всей сети /16) используют массовые сканеры. Они не определяют версии служб, а только проверяют, открыт ли порт.

Пример masscan:

masscan 192.0.2.0/24 -p80,443,22 --rate=10000

массовое сканирование легко обнаруживается и может быть расценено как атака.

Этап 4: Интерпретация результатов сканирования

Результат сканирования (например, из Nmap или Shodan) — это перечень портов и служб. Что делать дальше?

Таблица портов и типовых служб:

Особые случаи:

• Порт 8080, 8443, 8000 — часто альтернативные веб-порты (панели администрирования, прокси).
• Порты с нестандартными службами (например, SSH на 2222) — попытка скрыть сервис.
• Большое количество открытых портов может указывать на отсутствие файрвола или наличие docker-контейнеров.

Этап 5: Анализ баннеров

Баннер — это текстовая строка, которую сервер отправляет при подключении (например, HTTP заголовок Server: nginx/1.18.0). Из баннера можно узнать версию ПО, что важно для оценки уязвимостей.

Примеры:

• SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.5 → уязвимости OpenSSH 8.2.
• 220 ProFTPD 1.3.5 Server → старая версия ProFTPD (много уязвимостей).
• HTTP/1.1 200 OK → баннер неинформативен (скрыт).

Инструменты для анализа баннеров:

• WhatWeb — определяет CMS, технологии по HTTP баннерам.
• Wappalyzer (расширение для браузера) — удобно для быстрого анализа веб-сайтов.
• Httpx (от ProjectDiscovery) — быстрый HTTP-клиент для массового извлечения баннеров.

Этап 6: Скриптовые проверки (NSE)

Скриптовый движок Nmap содержит сотни скриптов для обнаружения уязвимостей, брутфорса, сбора информации.

Категории скриптов:

• safe — не опасные, не нарушающие работу сервиса.
• intrusive — могут вызвать сбои или оставить следы.
• vuln — проверяют на известные уязвимости.
• brute — подбор паролей.

Пример безопасного скрипта:

nmap --script=http-title,http-headers,ssl-cert -p 443 example.com

Этап 7: Мониторинг изменений портов

Инфраструктура меняется: открываются новые порты, закрываются старые. Важно отслеживать эти изменения.

Методы:

• Периодическое сканирование с сохранением результатов в файл.
• Использование Shodan (есть история сканирований, но не для всех портов).
• Censys — предоставляет снимки на разные даты.

Автоматизация сбора данных через Shodan API:

import shodan
import time

api = shodan.Shodan('YOUR_API_KEY')
domains = ['example.com', 'target.org']
for domain in domains:
    try:
        results = api.search(f'hostname:{domain}')
        for result in results['matches']:
            print(f"{domain}: {result['ip_str']} port {result['port']} - {result.get('data','')[:80]}")
        time.sleep(1)  # не превышать rate limit
    except Exception as e:
        print(e)

Этап 8: Обнаружение ложных срабатываний

• Некоторые порты могут быть открыты, но фильтроваться файрволом (Nmap покажет filtered или closed).
• Порты, отображаемые как открытые в Shodan, могут быть уже закрыты (данные устарели).
• Облачные провайдеры часто перенаправляют трафик через глобальные балансировщики (порты могут быть открыты на всех IP одновременно).

Практический пример: анализ инфраструктуры по портам

Задача: проанализировать открытые порты домена target.org.

1. Shodan: по IP 203.0.113.20 найдены порты 80, 443, 22, 8080.
• 80 → HTTP (nginx/1.18.0).
• 443 → HTTPS, сертификат для target.org.
• 22 → SSH, баннер OpenSSH 8.2.
• 8080 → панель управления Jenkins.
2. Nmap (с разрешения):
• nmap -sV -p 22,80,443,8080 -sC target.org
• На порту 8080 Jenkins версия 2.277 (уязвимая, возможно CVE-2024-23897).
• На порту 22 слабые алгоритмы шифрования (можно попробовать брутфорс).
3. Анализ: Jenkins доступен из интернета (потенциальная уязвимость). SSH устаревший. Веб-сервер требует проверки на веб-уязвимости.
4. Рекомендация: закрыть порт 8080 для внешнего доступа, обновить SSH.

• Никогда не сканируйте чужие системы без письменного разрешения. Даже SYN-сканирование может быть расценено как попытка взлома.
• Для обучения используйте собственные VPS, локальные виртуальные машины, или специальные площадки (HackTheBox, TryHackMe).
• Если вам нужны данные о публичных системах для исследования — используйте Shodan, Censys, BinaryEdge.
• В некоторых странах несанкционированное сканирование портов является уголовным преступлением.

Сканирование портов и служб — мощный метод технического OSINT, но он должен применяться с осторожностью и только на законных основаниях. Пассивные источники (Shodan, Censys) дают почти ту же информацию без риска. Активное сканирование (Nmap) — для глубокого анализа по разрешению. Интерпретация результатов требует знаний о типовых портах, службах и уязвимостях. В связке с поддоменами и DNS это позволяет картировать внешнюю поверхность атаки.

Анализ IP-адресов и ASN: геолокация, владельцы, соседние сети, BGP

IP-адреса — это «координаты» устройств в интернете. Зная IP-адрес сервера цели, можно определить его географическое положение, узнать, какому интернет-провайдеру или хостинговой компании он принадлежит, выявить другие сайты, находящиеся на том же сервере, и даже восстановить структуру сетевой инфраструктуры организации через BGP-маршрутизацию. Анализ IP и ASN (автономных систем) — важнейший этап технического OSINT, позволяющий перейти от доменных имен к физическим сетям и их владельцам.

Что такое ASN и зачем он нужен?

ASN (Autonomous System Number) — это уникальный номер, присваиваемый автономной системе (Autonomous System, AS). Автономная система — это совокупность IP-сетей (подсетей) под единым административным управлением (например, Ростелеком, МГТС, Amazon AWS, Google). Организации, имеющие собственные IP-диапазоны и публично объявляющие о них через BGP, получают ASN.

Ценность ASN для технического OSINT:

• Зная ASN цели, можно получить все IP-диапазоны, которые принадлежат организации (полная картина её «цифровой земли»).
• Можно обнаружить соседние подсети (соседние AS) — потенциальных партнёров или транзитных провайдеров.
• Выявить изменения (появление новых подсетей, выбытие старых) через мониторинг BGP.

Этап 1: Базовый анализ IP-адреса

Самый простой способ начать анализ IP — использовать онлайн-сервисы или утилиты командной строки.

Что можно узнать по IP:

• Геолокация (страна, регион, город, иногда координаты) — не всегда точная, основывается на базах данных организаций.
• Провайдер / хостинг-компания (название, контакты).
• ASN (номер автономной системы, которой принадлежит IP).
• Тип IP (провайдерский, хостинговый, прокси, VPN, Tor exit node).
• История IP (к каким доменам привязывался ранее).

Инструменты быстрого анализа IP:

Команды:

# whois по IP
whois 8.8.8.8

# curl к ipinfo.io
curl ipinfo.io/8.8.8.8
curl ipinfo.io/8.8.8.8/json

# dig для обратного DNS (PTR)
dig -x 8.8.8.8 +short

Пример ответа ipinfo.io:

{
  "ip": "8.8.8.8",
  "hostname": "dns.google",
  "city": "Mountain View",
  "region": "California",
  "country": "US",
  "loc": "37.4056,-122.0775",
  "org": "AS15169 Google LLC",
  "postal": "94043",
  "timezone": "America/Los_Angeles"
}

Этап 2: ASN и BGP — что скрывается за номером AS?

Каждый IP принадлежит какой-то автономной системе (AS). Узнав ASN, можно запросить BGP-информацию: какие IP-диапазоны анонсирует эта AS (то есть какие адреса принадлежат организации), а также с кем эта AS граничит (пировые связи, транзитные провайдеры).

Инструменты для получения ASN по IP:

Пример через Team Cymru:

dig +short 8.8.8.8.origin.asn.cymru.com TXT
# результат: "15169 | 8.8.8.0/24 | US | arin | 1992-12-01"

Этап 3: Получение всех IP-диапазонов AS

Зная ASN, можно скачать все подсети (CIDR-блоки), которые эта AS объявляет в BGP. Это даст полную картину всех IP-адресов, находящихся под контролем организации (включая те, что не связаны напрямую с доменом).

Где взять данные:

• BGP.he.net — по ASN отображает список подсетей.
• RIPE Stat — API для получения маршрутов AS.
• CAIDA — архив BGP.
• Radb (whois.radb.net) — база маршрутов.

Пример через whois.radb.net:

whois -h whois.radb.net -- '-i origin AS15169' | grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}/[0-9]+'

BGP.he.net API (пример):

curl https://bgp.he.net/AS15169
# нужно парсить HTML, есть неофициальное API

Python-функция (через Team Cymru):

import requests

def get_ip_routes_by_asn(asn):
    url = f"https://api.cymon.io/bgp/routes/origin/{asn}"
    # можно использовать альтернативные сервисы
    # более простой: whois -h whois.radb.net -- '-i origin AS15169'

Этап 4: Поиск соседних доменов на том же IP (Reverse IP Lookup)

Один IP-адрес может хостить множество доменов (shared hosting, виртуальные серверы). Если цель использует невыделенный IP, то можно найти другие домены, связанные с той же инфраструктурой.

Инструменты Reverse IP:

SecurityTrails API пример:

curl -H "APIKEY: YOUR_KEY" https://api.securitytraits.com/v1/domain/8.8.8.8/domain

Ограничения: на shared-хостинге могут быть тысячи доменов, большинство не связано с целью. Используйте фильтрацию (похожие тематики, SSL-сертификаты, даты создания).

Этап 5: Анализ BGP-пиров (соседних AS)

Смотря на BGP-таблицы, можно увидеть, между какими AS существует прямое сетевое соединение (пиринг). Это может указывать на деловые отношения, транзитный трафик или использование CDN.

Инструменты:

• BGP.he.net → страница AS, раздел “Peers” (соседние AS).
• BGPView → альтернативный визуализатор.
• CAIDA AS Rank — ранжирование AS по количеству пиров.

Анализ пиров:

• Если AS цели пирится с крупным облачным провайдером (AWS, Google Cloud), часть инфраструктуры может быть там.
• Если пирится с AS, принадлежащим провайдеру DDoS-защиты (Cloudflare, Akamai), то сайт использует их услуги.

Этап 6: Геолокация IP — методы и ограничения

Геолокация по IP основана на базах данных (MaxMind, IP2Location), которые не всегда точны (особенно для мобильных сетей, VPN, облаков). Следует относиться к ней как к ориентиру, а не к истине.

Как повысить точность:

• Сравнить несколько баз: ipinfo.io, MaxMind, IP2Location.
• Использовать обратный DNS (PTR) — иногда содержит географические указатели (например, hosting-in-moscow.example.com).
• Проверить сертификаты (в них может быть указан юридический адрес).
• Запросить BGP-локацию (определённые AS имеют географическую привязку, но не точную).

Инструменты для сравнения геолокации:

• IP2Location (разные версии).
• DB-IP.
• GeoIP Tool (geoiptool.com).

Этап 7: История IP (предыдущие домены, предыдущие владельцы)

IP-адреса переходят от одного сервера к другому, меняются владельцы блоков. История IP позволяет найти, какие домены ранее были привязаны к этому адресу, и восстановить старые конфигурации.

Источники истории IP:

• SecurityTrails Historical IP (показывает домены, привязанные к IP в прошлом).
• ViewDNS.info IP History (ограничен).
• Censys — сохраняет снимки IP-сканирований (порты, сертификаты) за разные даты.
• Wayback Machine для страниц, доступных по IP.

Этап 8: Выявление cloud-сервисов и CDN

Многие IP-адреса принадлежат облачным платформам. Идентификация облачного провайдера может помочь сузить географию или определить используемые сервисы.

Как определить облачный IP:

• whois покажет организацию (например, "AWS", "Microsoft Corporation", "Google Cloud").
• Сравнить ASN со списками облачных AS (например, AS15169 — Google, AS14618 — AWS, AS8075 — Microsoft).
• Специальные списки: (например, https://raw.githubusercontent.com/cloudflare/ip-list/master/cloudflare.ipv4 для Cloudflare).

Практический пример: анализ инфраструктуры домена

Задача: проанализировать IP-адреса домена target.com.

1. DNS-запрос A → target.com -> 192.0.2.10.
2. whois 192.0.2.10 → организация Example Hosting Ltd., страна US.
3. ipinfo.io → "org": "AS65535 Example Hosting", "city": "New York".
4. Reverse IP (SecurityTrails) → на том же IP еще 50 доменов, в основном мелкие сайты. Shared-хостинг.
5. ASN → AS65535. Через BGP.he.net получаем все подсети этой AS: 192.0.2.0/24, 198.51.100.0/24, ...
6. Поиск других IP в этих подсетях, которые могут принадлежать цели.
7. BGP-пиры → ASN цели соединен с AS15169 (Google). Возможно, сайт использует Google Cloud CDN.
8. История IP → 2 года назад IP был 203.0.113.55, который принадлежал другой AS (предыдущий хостинг).
9. Вывод: цель использует shared-хостинг у Example Hosting; старый сервер больше не активен; через Google Cloud, вероятно, используется кэширование.

Автоматизация сбора данных по IP и ASN (Python)

import requests
import ipaddress

def ip_info(ip):
    resp = requests.get(f"https://ipinfo.io/{ip}/json")
    return resp.json() if resp.status_code == 200 else None

def get_asn(ip):
    info = ip_info(ip)
    org = info.get("org", "")
    if org.startswith("AS"):
        asn = org.split()[0][2:]  # "AS15169" -> "15169"
        return asn
    return None

def get_prefixes_by_asn(asn):
    # через whois.radb.net (упрощённо)
    import subprocess
    cmd = f"whois -h whois.radb.net -- '-i origin AS{asn}' | grep -Eo '([0-9]+\\.){3}[0-9]+/[0-9]+'"
    result = subprocess.run(cmd, shell=True, capture_output=True, text=True)
    return result.stdout.splitlines()

# Пример
ip = "8.8.8.8"
print(ip_info(ip))
asn = get_asn(ip)
print(f"ASN: {asn}")
prefixes = get_prefixes_by_asn(asn)
print(f"Prefixes: {prefixes[:5]}...")

• WHOIS по IP, DNS-запросы, BGP-данные — это публичные данные. Их сбор безопасен и легален.
• Массовый reverse DNS или перебор IP-диапазонов без разрешения может считаться активным сканированием, если выполняется в больших объёмах. Используйте осторожно и с уважением к чужой инфраструктуре.
• Сервисы типа SecurityTrails имеют условия использования, запрещающие массовые автоматические запросы без оплаты.

Анализ IP и ASN позволяет преобразовать сетевую инфраструктуру организации в карту подсетей, обнаружить скрытые активы и соседние ресурсы, определить географическое расположение и используемые облачные провайдеры. Ключевые инструменты: whois, ipinfo.io, BGP.he.net, SecurityTrails. В сочетании с данными о поддоменах и DNS это даёт практически полную картину внешней поверхности атаки.

В следующей статье цикла мы рассмотрим сканирование портов и сервисов — активный этап, который требует особой осторожности, а также освоим инструменты Nmap, массовое сканирование и Shodan.

Поиск поддоменов: инструменты и методы

Поддомены — это «входные двери» в инфраструктуру организации. Часто основные сервисы располагаются на поддоменах типа www.example.com, mail.example.com, vpn.example.com, а забытые поддомены (test.example.com, dev.example.com) могут быть уязвимы или раскрывать внутреннюю структуру. Поиск поддоменов — ключевой этап технического OSINT, позволяющий обнаружить скрытые активы, не связанные напрямую с основным доменом. Данная статья посвящена методам и инструментам пассивного поиска поддоменов.

Почему поддомены важны для разведки?

Классификация методов поиска поддоменов

Этап 1: Поиск через сертификаты (Certificate Transparency Logs)

Современные SSL/TLS сертификаты публикуются в публичные логи Certificate Transparency (CT). Каждый выданный сертификат (включая те, что для поддоменов) появляется в этих логах. Это наиболее надежный пассивный источник поддоменов.

Инструменты CT-логов:

Использование crt.sh:

• Веб-интерфейс: https://crt.sh/?q=%25.example.com (где %25 — это URL-кодированный символ %, означающий "любые символы перед .example.com").
• API: https://crt.sh/?q=.example.com&output=json

Пример API-запроса (Python):

import requests
import json

def get_subdomains_from_crt(domain):
    url = f"https://crt.sh/?q=%25.{domain}&output=json"
    response = requests.get(url)
    if response.status_code == 200:
        data = response.json()
        subdomains = set()
        for entry in data:
            name = entry.get('name_value', '')
            if name.endswith(f'.{domain}') or name == domain:
                subdomains.add(name)
        return sorted(subdomains)
    else:
        return []

subs = get_subdomains_from_crt('example.com')
print(subs)

crt.sh возвращает много дублей, мёртвые сертификаты, включает домены, принадлежащие другим организациям (если сертификат содержит несколько имен). Требуется пост-обработка.

Этап 2: Поиск через DNS-историю

Исторические DNS-записи содержат поддомены, которые уже могли быть удалены, но все еще могут указывать на активные IP.

Инструменты:

• SecurityTrails — позволяет искать поддомены по домену и видеть историю.
• DNSdumpster — отображает все поддомены, найденные из разных источников.
• ViewDNS.info (Reverse IP lookup) — показывает домены на одном IP, что может косвенно выявить поддомены.

SecurityTrails API (пример):

curl -H "APIKEY: YOUR_KEY" https://api.securitytrails.com/v1/domain/example.com/subdomains

Этап 3: Активный DNS-брутфорс (словарный перебор)

Перебор возможных имен поддоменов с использованием словаря (или генерация на основе правил). Это активный метод, так как генерирует множество DNS-запросов к резолверам цели или к публичным DNS.

Плюсы: находит поддомены, которые не попали в сертификаты или историю.
Минусы: шумный, может быть расценен как атака, требует хорошего словаря.

Инструменты брутфорса:

• Sublist3r — комбинирует пассивные источники + брутфорс.
• Amass — мощный фреймворк (пассивный + активный).
• dnsrecon — включает брутфорс и AXFR.
• dnsenum — классика.
• Gobuster с модулем dns.

Пример использования Sublist3r:

sublist3r -d example.com -o subdomains.txt

amass enum -passive -d example.com -o subdomains.txt

Активный брутфорс с Amass:

amass enum -active -d example.com -brute -w wordlist.txt

Словари для брутфорса:

• SecLists/Discovery/DNS/subdomains-top1million-5000.txt — популярный.
• commonspeak2-wordlists.
• Собственные списки, сформированные из известных поддоменов (например, www, mail, remote, vpn, dev, test, staging, api, admin, portal, blog, shop, support, ftp, ns1, mx1).

Этап 4: Поиск через поисковые системы

Использование операторов поиска для нахождения страниц, индексированных на поддоменах.

Google Search:

site:*.example.com
site:example.com -www

Bing / Yandex — аналогично.

Особенности: находит только проиндексированные поисковиком поддомены; часто дает неполный результат.

Этап 5: Поиск через ASN и IP-диапазоны

Если известен ASN (автономная система) цели или диапазон IP-адресов, можно выполнить обратный поиск PTR-записей для всех IP в диапазоне.

Метод:

1. Определить ASN цели (через whois IP или BGP.he.net).
2. Получить список IP-диапазонов этого ASN (из базы RIPE/ARIN).
3. Выполнить массовый reverse DNS-запрос (но осторожно, чтобы не перегружать сеть). Инструменты: dnsrecon -r, massdns, собственные скрипты.

Пассивный вариант: использовать сервис Censys (ранее — Project Sonar), который публикует данные reverse DNS сканирований.

Этап 6: Поиск в репозиториях кода (GitHub, GitLab)

В коде, конфигурационных файлах, документации часто встречаются поддомены.

GitHub поиск:

*.example.com extension:conf
"example.com" path:config

Инструменты:

• GitHub Code Search (веб).
• TruffleHog (поиск секретов, может найти и поддомены).
• GitRob / GitGrab — поиск по организациям.

Этап 7: Комплексные фреймворки для поддоменов

Для полного покрытия использовать комбинацию: Amass (пассивный режим) + Subfinder + crt.sh + SecurityTrails (если есть ключ).

Этап 8: Обработка и фильтрация результатов

Список поддоменов обычно содержит:

• Дубликаты.
• Поддомены, не относящиеся к цели (например, из общих сертификатов).
• Некорректные записи (звездочки, wildcards).

Фильтрация:

def clean_subdomains(raw_list, target_domain):
    cleaned = set()
    for sub in raw_list:
        sub = sub.strip().lower().rstrip('.')
        if sub.endswith(target_domain) and sub != target_domain:
            # Убрать wildcard (*)
            if sub.startswith('*.'):
                sub = sub[2:]
            cleaned.add(sub)
    return sorted(cleaned)

Валидация: для каждого поддомена выполнить DNS-запрос (A или AAAA), чтобы убедиться, что он резолвится в IP.

Этап 9: Визуализация и анализ поддоменов

После сбора поддоменов полезно:

• Сгруппировать их по IP-адресам (один IP — несколько поддоменов).
• Выявить общие подсети.
• Обнаружить поддомены, указывающие на облачные сервисы (AWS, Azure, GCP).
• Построить граф связей.

Инструменты визуализации:

• Aquatone — создает скриншоты поддоменов, отображает сгруппированные по IP.
• EyeWitness — аналогично.
• Gephi — для графа связей.

Практический пример: поиск поддоменов example.org

1. crt.sh → найдено 45 поддоменов, включая admin.example.org, dev-api.example.org, test.example.org.
2. Subfinder → добавил mail.example.org, remote.example.org, vpn.example.org.
3. Amass (пассивный) → нашел grafana.internal.example.org, jenkins.example.org.
4. DNSdumpster → подтвердил большинство и добавил ftp.example.org.
5. Проверка через DNS: dev-api.example.org разрешается в 203.0.113.89, jenkins.example.org — в 198.51.100.22.
6. Анализ IP: оба IP принадлежат одному хостинг-провайдеру, но разным подсетям. jenkins.example.org имеет открытый порт 8080 (Jenkins), что является потенциально критичным.
7. Вывод: обнаружен Jenkins-сервер, доступный из интернета, который можно проверить на наличие уязвимостей.

Автоматизация сбора поддоменов (Python-скрипт-агрегатор)

import subprocess
import requests

def get_subdomains(domain):
    subs = set()
    # crt.sh
    url = f"https://crt.sh/?q=%25.{domain}&output=json"
    resp = requests.get(url)
    if resp.status_code == 200:
        for entry in resp.json():
            name = entry.get('name_value', '')
            if name.endswith(domain):
                subs.add(name)
    # Subfinder (запуск внешней команды)
    result = subprocess.run(['subfinder', '-d', domain, '-silent'], capture_output=True, text=True)
    for line in result.stdout.split():
        subs.add(line.strip())
    return sorted(subs)

domains = get_subdomains('example.com')
for d in domains:
    print(d)

Пассивный поиск (crt.sh, SecurityTrails, DNS-история) легален и безопасен.

Активный брутфорс может генерировать тысячи запросов к DNS-серверам цели, что может быть расценено как атака или нарушение условий хостинга.

Использование публичных резолверов (8.8.8.8) для брутфорса предпочтительнее, чем запросы напрямую к NS цели, но все равно генерирует сетевой трафик.

Поиск поддоменов — многоэтапный процесс, требующий комбинации пассивных источников (crt.sh, SecurityTrails, DNS-история) и аккуратного активного брутфорса. Самые мощные инструменты — Amass и Subfinder. Полученный список поддоменов необходимо очистить, провалидировать и проанализировать (выявить IP, открытые порты, технологии). Это позволит составить полную карту внешней инфраструктуры организации.

DNS-разведка: whois, dig, nslookup, история DNS, reverse DNS

DNS (Domain Name System) — это «телефонная книга» интернета, преобразующая доменные имена в IP-адреса и обратно. Для специалиста по техническому OSINT DNS является одним из самых информативных источников: записи DNS раскрывают инфраструктуру организации, ее почтовые серверы, поддомены, политики безопасности и даже историю изменений. Данная статья посвящена методам DNS-разведки с использованием открытых инструментов и баз данных.

Почему DNS-разведка важна?

Этап 1: WHOIS — кто владелец домена или IP?

WHOIS-запрос возвращает регистрационные данные домена (или IP-диапазона). Хотя многие регистраторы скрывают персональные данные за PrivacyGuard, многое остается доступным.

Что можно узнать из WHOIS:

• Дата регистрации домена (дата создания).
• Дата окончания регистрации (можно оценить, активен ли домен).
• Регистратор (например, GoDaddy, Namecheap, REG.RU).
• DNS-серверы (NS записи).
• Контактная информация (имя, email, телефон, адрес — если не скрыта).
• Для IP-блока: организация-владелец, страна, диапазон.

Инструменты WHOIS:

Пример командной строки:

whois example.com
whois 8.8.8.8

Этап 2: Базовые DNS-записи (dig, nslookup)

dig (Linux/macOS) и nslookup (Windows, Linux) — основные утилиты для прямых DNS-запросов.

Примеры dig:

dig example.com A               # A запись (IPv4)
dig example.com AAAA            # AAAA запись (IPv6)
dig example.com MX              # MX записи (почта)
dig example.com TXT             # TXT записи
dig example.com NS              # NS записи
dig example.com CNAME           # CNAME записи
dig example.com SOA             # SOA запись

# Указание конкретного DNS-сервера
dig @8.8.8.8 example.com A

# Краткий вывод (+short)
dig example.com A +short

Пример nslookup:

nslookup example.com
set type=MX
example.com

Использование публичных DNS-серверов:

• 8.8.8.8 (Google Public DNS)
• 1.1.1.1 (Cloudflare)
• 9.9.9.9 (Quad9)
• 77.88.8.8 (Яндекс DNS)

Этап 3: История DNS (DNS History)

Записи DNS меняются: серверы переезжают, поддомены создаются и удаляются. История DNS позволяет найти старые IP, забытые поддомены, предыдущих хостинг-провайдеров.

Инструменты истории DNS:

Пример использования SecurityTrails:

# Через веб-интерфейс: https://securitytrails.com/domain/example.com/history
# Через API (требуется ключ)
curl -H "APIKEY: YOUR_KEY" https://api.securitytrails.com/v1/history/example.com/a

Что можно найти:

• Старые IP-адреса, где ранее хостился домен.
• Удаленные поддомены (иногда забытые, но все еще разрешающиеся).
• Смену DNS-провайдера.

Этап 4: Reverse DNS (PTR запись)

Reverse DNS преобразует IP-адрес в доменное имя. Часто используется почтовыми серверами для проверки подлинности.

Поиск PTR записи:

dig -x 8.8.8.8 +short        # Результат: dns.google.
nslookup 8.8.8.8

Для диапазона IP: можно выполнить обратный поиск по всем IP в подсети (но массовые запросы могут быть заблокированы).

Применение в OSINT:

• Подтверждение, что IP действительно принадлежит организации.
• Поиск других доменов, указывающих на тот же IP (не всегда, только если PTR корректно настроен).

Этап 5: DNS-трассировка (поиск всех поддоменов)

Базовые DNS-запросы не дают список поддоменов. Для их поиска используются другие методы (подробнее в статье 3). Но базово:

• NS записи → указывают на DNS-серверы, но не перечисляют поддомены.
• Зонная передача (AXFR) — редкий случай, когда DNS-сервер разрешает выгрузку всей зоны. Проверить:bashdig @ns.example.com example.com AXFR

Этап 6: DNS-записи и безопасность (SPF, DKIM, DMARC)

TXT записи часто содержат политики безопасности почты.

SPF (Sender Policy Framework): перечисляет IP, которые могут отправлять почту от имени домена.

dig example.com TXT | grep "v=spf1"

Пример: v=spf1 include:_spf.google.com ~all → используется Google Workspace.

DKIM (DomainKeys Identified Mail): цифровая подпись писем.

dig selector._domainkey.example.com TXT

DMARC (Domain-based Message Authentication, Reporting & Conformance): указывает, что делать с письмами, не прошедшими SPF/DKIM.

dig _dmarc.example.com TXT

Ценность для OSINT:

• Определение используемых почтовых провайдеров (Google, Microsoft, Яндекс, Mail.ru).
• Выявление устаревших или неправильных конфигураций.
• Возможный email для отчетов (в DMARC).

Этап 7: DNS-серверы и CDN

CNAME записи часто указывают на CDN (Cloudflare, Akamai, Amazon CloudFront). Это маскирует реальный IP-адрес сервера.

Как определить CDN:

• A запись ведет на IP, принадлежащий CDN (проверить WHOIS).
• CNAME на xxx.cloudfront.net, xxx.cdn.cloudflare.net и т.д.

Этап 8: Анализ DNS без командной строки — онлайн-сервисы

Практический пример: разведка по домену

Задача: собрать информацию о домене target.org.

1. WHOIS → регистратор Namecheap, дата создания 2010-05-01, дата окончания 2026-05-01, DNS-серверы ns1.namecheap.com, контакты скрыты.
2. DNS-записи (dig):
• A → 192.0.2.10
• MX → mail.target.org (приоритет 10)
• TXT → v=spf1 a mx include:spf.protection.outlook.com -all (использует Office 365)
• NS → ns1.namecheap.com, ns2.namecheap.com
• CNAME (www) → target.org (тот же IP)
3. Reverse DNS для IP 192.0.2.10 → web.target.org.
4. SPF-анализ → используются серверы Office 365. Предположительно, целевая организация использует Microsoft 365.
5. История DNS (SecurityTrails):
• 2 года назад A-запись была 203.0.113.55 (другой хостинг).
• Был поддомен dev.target.org, сейчас не разрешается.
6. DNSdumpster → находит дополнительные поддомены: mail.target.org, remote.target.org, vpn.target.org.
7. Вывод: инфраструктура включает веб-сервер на 192.0.2.10, почту на Office 365, VPN-поддомен. Ранее использовался другой хостинг.

Инструменты для автоматизации DNS-запросов (Python)

import dns.resolver

def query_dns(domain, record_type):
    try:
        answers = dns.resolver.resolve(domain, record_type)
        return [str(r) for r in answers]
    except Exception as e:
        return None

domain = "example.com"
for rtype in ["A", "MX", "TXT", "NS"]:
    records = query_dns(domain, rtype)
    print(f"{rtype}: {records}")

ограничения

• DNS-запросы — это публичные данные. Их сбор не является активным сканированием и обычно разрешен.
• Однако массовые запросы к DNS-серверу могут быть расценены как атака (DDoS). Используйте задержки, авторитетные публичные резолверы.
• Некоторые сервисы (SecurityTrails) имеют условия использования, запрещающие автоматизированный массовый сбор без подписки.

DNS-разведка — фундамент технического OSINT. WHOIS дает информацию о владельце и датах, dig/nslookup — текущие записи. История DNS и reverse DNS расширяют картину прошлых конфигураций. SPF/DKIM/DMARC раскрывают используемые почтовые сервисы. Владение этими методами позволяет бесконтактно составить детальную карту инфраструктуры домена.

В следующей статье цикла мы рассмотрим более сложный этап — поиск поддоменов, включая инструменты Amass, Sublist3r, crt.sh и техники перебора.

Введение в технический OSINT: что такое киберразведка из открытых источников

Технический OSINT — это направление открытой разведки, сфокусированное на сборе и анализе данных об информационно-технической инфраструктуре организаций, сайтов, сетей и цифровых активов. В отличие от классического OSINT, работающего с текстами, социальными сетями и медиа, технический OSINT оперирует IP-адресами, доменами, сертификатами, сетевыми портами, DNS-записями, заголовками HTTP и другими техническими артефактами. Данная статья открывает цикл, посвященный методам, инструментам и практикам технической разведки.

Что такое технический OSINT?

Технический OSINT (Technical OSINT, TECHINT в части открытых источников) — это процесс сбора и анализа технической информации о цели из общедоступных источников без активного взаимодействия с ее системами (то есть без сканирования, которое может быть обнаружено). Результаты технической разведки используются для:

• Оценки внешней поверхности атаки организации.
• Выявления устаревших, забытых или небезопасно настроенных сервисов.
• Подготовки к легальному пентесту (разведка без касания).
• Мониторинга собственной инфраструктуры на предмет утечек.
• Расследований инцидентов (когда нужно понять, что злоумышленник мог узнать об организации).

Отличие технического OSINT от активного сканирования

Ключевые объекты технического OSINT

Методологическая схема технического OSINT-исследования

1. Сбор исходных данных — получение начальных идентификаторов (домен, IP, название организации).
2. Пассивная разведка домена — WHOIS, DNS, история, поддомены, сертификаты.
3. Пассивная разведка IP и ASN — геолокация, соседние сети, хостинг.
4. Пассивный анализ веб-сервисов — заголовки, технологический стек, скрытые пути.
5. Поиск в общедоступных базах — Shodan, Censys, BinaryEdge, PublicWWW.
6. Анализ репозиториев и утечек — поиск ключей, паролей, токенов.
7. Сбор данных о сотрудниках и инфраструктуре из соцсетей — LinkedIn, GitHub, Twitter.
8. Синтез и визуализация — построение карты внешней поверхности атаки.

Этапы технического OSINT-расследования: пример

Задача: оценить внешнюю поверхность атаки компании example.com.

1. WHOIS → регистратор, дата создания, контактные данные (если не скрыты).
2. DNS → A-записи (IP), MX (почта), TXT (SPF, DMARC), NS (какие серверы).
3. Поддомены → crt.sh (сертификаты), SecurityTrails, DNSdumpster.
4. IP-адреса поддоменов → кластеризация (одни IP, разные поддомены).
5. ASN → принадлежность IP, другие IP в той же автономной системе.
6. Соседние домены на тех же IP → возможна аренда виртуального хостинга.
7. Shodan / Censys → открытые порты, баннеры, устаревшие сервисы.
8. GitHub → поиск example.com в коде, ключах, комментариях.
9. Вывод → список активов, потенциально уязвимых сервисов, забытых поддоменов.

Основные источники данных для технического OSINT

Практические рекомендации для начинающего исследователя

1. Начинайте с домена, переходите к IP, затем к ASN.
2. Всегда проверяйте несколько источников — crt.sh может пропустить поддомен, но SecurityTrails покажет.
3. Ведите базу найденных активов (таблица: тип, значение, источник, дата обнаружения).
4. Не путайте пассивную разведку с активной — не сканируйте цели без разрешения.
5. Автоматизируйте — используйте скрипты на Python (запросы к API SecurityTrails, crt.sh, Shodan).
6. Документируйте — скриншоты, ссылки, даты для юридической значимости.

Этические и правовые ограничения

• Технический OSINT использует только открытые источники (публичные базы, DNS, сертификаты).
• Активное сканирование (nmap, массовые запросы) технически является активным и может быть незаконным без разрешения владельца.
• Даже пассивный сбор данных может нарушать условия использования сервисов (например, Shodan запрещает массовый выгруз без подписки).
• Данные WHOIS, скрытые сервисом PrivacyGuard, не должны быть деанонимизированы нелегальными методами.

Технический OSINT — это первый и обязательный этап любого исследования внешней инфраструктуры организации. Он позволяет бесконтактно составить максимально полную карту цифровых активов, выявить устаревшие или забытые сервисы, а также оценить потенциальные векторы атаки. В следующих статьях цикла мы детально разберем каждый этап: DNS-разведку, поиск поддоменов, анализ IP и ASN, работу с сертификатами, использование Shodan и Censys, анализ репозиториев и многое другое.

Инструментарий медиа-OSINT: обзор, сравнение, рекомендации

Завершающая статья цикла посвящена систематизации инструментов, используемых в медиа-OSINT и верификации контента. Рынок инструментов обширен: от бесплатных онлайн-сервисов до профессиональных платформ. Данная статья поможет исследователю сориентироваться в этом многообразии, выбрать оптимальные инструменты для конкретных задач и выстроить эффективный рабочий процесс.

Классификация инструментов медиа-OSINT

1. Поиск и мониторинг

2. Архивация

3. Верификация фото и видео

4. Геолокация

5. Временной анализ

6. Анализ социальных сетей и аккаунтов

7. Анализ аудио

8. Автоматизация и сбор данных

Рекомендации по выбору инструментов

1. Начинайте с бесплатных:
• Не торопитесь покупать платные подписки.
• Освойте базовые Google, Yandex, обратный поиск, Wayback Machine, EXIF-анализаторы.
2. Интегрируйте в браузер:
• Расширения InVID/WeVerify, SingleFile, Search by Image (для быстрого доступа к поиску по картинкам).
3. Используйте командную строку для автоматизации:
• ExifTool, FFmpeg, Sherlock — мощнее, чем онлайн-версии.
• Пригодятся, если нужно обработать много файлов.
4. Комбинируйте:
• Ни один инструмент не дает 100% результата. Перекрестная проверка обязательна.
5. Документируйте:
• Hunchly, ArchiveBox, Wayback Machine — фиксируют доказательства с временными метками.
6. Уважайте ограничения (rate limits):
• Не перегружайте API бесплатных сервисов. Используйте задержки, авторизацию.

Инструментарий медиа-OSINT обширен и постоянно обновляется. Эффективный исследователь не пытается освоить все инструменты сразу, а выстраивает рабочий процесс, комбинируя несколько ключевых решений для каждой задачи: поиск → верификация (метаданные, обратный поиск) → геолокация → временной анализ → архивация → документирование. Автоматизация (Python, FFmpeg) — следующий уровень, позволяющий обрабатывать большие объемы данных. Главное — не количество инструментов, а системный подход и критическое мышление. Инструменты лишь помогают, но выводы делает аналитик.

OSINT-расследование: от новости до вывода — пошаговая методология

Предыдущие статьи цикла были посвящены отдельным методам верификации: анализу источников, геолокации, временной привязке, работе с архивами, аутентификации фото, видео, аудио, выявлению скоординированных кампаний. Данная статья объединяет эти методы в единую, воспроизводимую методологию OSINT-расследования — от обнаружения подозрительной новости до формулирования итогового вывода.

Что такое OSINT-расследование (применительно к медиа)?

OSINT-расследование — это систематический процесс сбора, верификации, анализа и интерпретации информации из открытых источников для проверки достоверности конкретного утверждения, новости или события.

Принципы OSINT-расследования

Воспроизводимость

Другой исследователь, следуя той же методологии, должен прийти к тому же выводу

Прозрачность

Все источники, методы и промежуточные выводы документируются

Скептицизм

Любая информация изначально считается недостоверной, пока не доказано обратное

Триангуляция

Вывод должен быть подтвержден несколькими независимыми источниками

Консерватизм

Выводы делаются на основе имеющихся доказательств. При отсутствии — «недостаточно данных»

Этичность

Не навредить невиновным, не раскрывать личную информацию без необходимости

Пошаговая методология OSINT-расследования

Шаг 1: Исходная информация (триггер)

Обнаружено утверждение, новость, фото, видео, требующее проверки.

Зафиксировать:

• Дата и время обнаружения.
• Источник (URL, название канала/группы, автор).
• Формулировка утверждения (дословно, «кавычки»).

Шаг 2: Предварительный анализ

Быстрая первичная оценка (занимает 5–15 минут).

Что оценить:

1. Правдоподобность утверждения: Соответствует ли здравому смыслу, известным фактам?
2. Источник: Насколько надежен? Первичный или вторичный?
3. Эмоциональность: Текст чрезмерно эмоционален? Цель — вызвать гнев/страх?
4. Наличие доказательств: Есть ли ссылки, фото, видео? Косвенные признаки.
5. Возможный мотив: Кому выгодно распространение этой информации?

Результат: Вердикт: тривиально (очевидно), требует проверки, почти наверняка ложь.

Шаг 3: Планирование расследования

Определить:

• Ключевые вопросы: Что именно проверяем? (место? дата? личность? событие?).
• Необходимые данные: Какие нужны подтверждения? (геолокация, временная метка, официальное заявление).
• Методы проверки: Какие инструменты и методы необходимы? (геолокация, обратный поиск, анализ метаданных, поиск по базам).

Шаг 4: Сбор данных

Систематический сбор информации из открытых источников.

Категории источников:

Поисковые системы

Google, Yandex, Bing, DuckDuckGo

Социальные сети

Twitter, Facebook, VK, Instagram, Telegram, TikTok

Карты и панорамы

Google Maps, Яндекс.Карты, Wikimapia, Mapillary

Архивы

Wayback Machine, Archive.today, Google Cache

Официальные источники

Сайты госорганов, пресс-службы, статистика

Базы данных

OpenCorporates, ЕГРЮЛ, Reestr, Wikidata

Специализированные OSINT-инструменты

Sherlock, ExifTool, InVID, FotoForensics

Шаг 5: Верификация

Применение методов проверки к собранным данным.

Методы (по медиатипу):

Новость/утверждение

Поиск первоисточника; проверка по официальным источникам; наличие независимых подтверждений

Фото

Метаданные (EXIF); ELA; обратный поиск; геолокация; анализ теней/освещения

Видео

Покадровый анализ; извлечение метаданных; геолокация по элементам; аудио-анализ

Аудио

Спектрограмма; анализ пауз/шумов; сравнение с эталонным голосом

Аккаунт

Дата создания; активность; связи; обратный поиск аватара; поиск по username

Шаг 6: Триангуляция (кросс-референс)

Подтверждение выводов из независимых источников.

Пример: Видео утверждает, что взрыв произошел в городе N 15 мая.

• Подтверждение 1: Спутниковый снимок (Sentinel Hub) того же района через 2 дня — здание цело (не подтверждает).
• Подтверждение 2: Официальная сводка МЧС — нет сообщений о взрывах.
• Подтверждение 3: Поиск по ключевым словам в соцсетях — ни одного UGC из города N за эту дату.
• Подтверждение 4: Метеоданные — в тот день был дождь, на видео солнечно.
• Вывод: Видео недостоверно (не подтверждено независимыми данными).

Шаг 7: Анализ и интерпретация

Собранные данные обобщаются, формулируются выводы.

Что включить в анализ:

• Согласованность данных: Не противоречат ли друг другу?
• Степень достоверности: Каждому утверждению — степень уверенности.
• Альтернативные объяснения: Может ли быть другое объяснение тем же фактам?
• Пробелы: Чего не хватает для полной уверенности?

Шаг 8: Формулирование вывода

Типы выводов (по степени уверенности):

Подтверждено

Несколько независимых источников, высокая степень уверенности (90%+)

Высокая вероятность

Сильные косвенные улики, но прямых подтверждений нет (70–90%)

Средняя вероятность

Есть некоторые улики, но возможны альтернативные объяснения (50–70%)

Не подтверждено

Улик недостаточно (или они противоречивы) для вывода (30–50%)

Опровергнуто

Доказательства ложности (фальсификации) (90%+)

Шаг 9: Документирование (подготовка отчета)

Результаты расследования оформляются в отчет.

Структура отчета:

1. Executive Summary (краткое изложение исходного утверждения, процесса, вывода, уверенности).
2. Введение (контекст, дата, источник, формулировка утверждения).
3. Методология (какие методы, инструменты, базы данных использовались).
4. Ход расследования (пошаговое изложение: шаг 1, шаг 2, ... со скриншотами, ссылками).
5. Результаты (что найдено: метаданные, другие источники, геолокация и т.д.).
6. Анализ (интерпретация, согласованность, альтернативные объяснения).
7. Вывод (четкий вывод, степень уверенности).
8. Приложения (скриншоты, ссылки, данные в машиночитаемом формате).

Шаг 10: Публикация или передача результатов

Заказчику, в открытый доступ (если журналистское расследование), архивация.

Чек-лист OSINT-расследования

1 Исходное утверждение зафиксировано (скриншот, ссылка, текст)

2 Проведен предварительный анализ

3 Сформулированы ключевые вопросы

4 Составлен план сбора данных

5 Собраны данные (поисковики, соцсети, архивы, карты, базы данных)

6 Проведена верификация (метаданные, обратный поиск, геолокация, таймкод)

7 Выполнена триангуляция (независимые источники)

8 Проанализированы согласованность и альтернативные версии

9 Сформулирован вывод (со степенью уверенности)

10 Подготовлен отчет (скриншоты, ссылки, методология)

Пример шаблона отчета

# OSINT-расследование: [Название]

**Дата расследования:** 
**Исследователь:** 
**Статус:** Завершено

## 1. Executive Summary
**Исходное утверждение:** [дословно]
**Источник:** [URL, автор, дата]
**Вывод:** [Подтверждено / Опровергнуто / Недостаточно данных]
**Уверенность:** [высокая / средняя / низкая]

## 2. Введение
[Контекст, почему проверяли]

## 3. Методология
**Инструменты:** [ExifTool, Google Images, Sentinel Hub, ...]
**Базы данных:** [WHOIS, OpenCorporates, ...]
**Методы:** [обратный поиск, геолокация, анализ метаданных, ...]

## 4. Ход расследования
### Шаг 1: Анализ источника
[Описание, скриншот]

### Шаг 2: Геолокация
[Сравнение с картами, вывод]

### Шаг 3: Дата-время
[EXIF, тени, погода, ...]

### Шаг 4: Другие источники
[Поиск в соцсетях, новостях]

## 5. Результаты
**Что установлено:**
- Геолокация: [координаты, адрес]
- Дата съемки: [дата, время]
- Источник: [первичный источник]
- Подтверждения: [список независимых подтверждений]

## 6. Анализ
- Согласованность данных: [высокая / средняя / низкая]
- Альтернативные объяснения: [есть / нет]
- Пробелы: [чего не хватает]

## 7. Вывод
[Формулировка]
Степень уверенности: [высокая / средняя / низкая]

## 8. Приложения
- Скриншот 1: [ссылка]
- Скриншот 2: [ссылка]

Кейс: Полное расследование вирусного видео (сводка)

Задача: Видео в Telegram утверждает: «В городе К. снаряд попал в жилой дом, много жертв». Видео низкого качества, видны разрушения, крики.

1. Источник: Анонимный канал, создан неделю назад. Ранее публиковал фейки. Высокий риск.
2. Геолокация: Вывеска магазина на русском, но название не найдено в городе К. Номера автомобилей — другой регион. Яндекс.Панорамы: дом найден в городе М (300 км от К.).
3. Временная привязка: EXIF отсутствует. Тени короткие (лето, полдень). Погода: солнечно. Но в новостях города К. за эту дату — ливень.
4. Метаданные: Файл видео содержит дату создания — за 2 года до заявленного события.
5. Обратный поиск ключевых кадров: Это же видео найдено на YouTube, загружено 2 года назад, описано как «последствия урагана, город М».
6. Официальные источники: Сводка МЧС города К. не содержит сообщений о разрушении жилых домов. Местные СМИ молчат.
7. Другие UGC: Поиск по геотегам города К. за эту дату — ни одного сообщения о взрыве.
8. Вывод: Опровергнуто (высокая уверенность). Старое видео из города М. о последствиях урагана выдается за свежее событие в городе К. Анонимный источник — фейковый канал. Уверенность >95%.

Системная методология OSINT-расследования — это не просто набор инструментов, а структурированный процесс от исходного утверждения до вывода. Ключевые этапы: предварительный анализ (быстрая проверка); сбор данных (поисковики, соцсети, архивы); верификация (метаданные, обратный поиск, геолокация); триангуляция (независимые источники); формулирование вывода (с указанием степени уверенности); документирование (для воспроизводимости, прозрачности). Дисциплина и следование методологии важнее отдельных инструментов.

Анализ информационных кампаний: выявление скоординированных действий, ботов и вбросов

Отдельные фейковые новости и манипуляции — это лишь вершина айсберга. В современном информационном пространстве дезинформация часто распространяется в рамках скоординированных кампаний — организованных действий групп аккаунтов, ботов, троллей и медиаресурсов, направленных на формирование определенного общественного мнения. Данная статья посвящена методам выявления, анализа и документирования таких кампаний.

Что такое скоординированная информационная кампания?

Скоординированная кампания — это использование множества аккаунтов, страниц, сайтов и других ресурсов для продвижения определенного нарратива, часто с нарушением правил платформ и использованием неаутентичного поведения.

Признаки скоординированной кампании:

Внезапный всплеск активности

Резкий рост числа постов на определенную тему в короткий промежуток времени

Однотипный контент

Множество аккаунтов публикуют идентичные или очень похожие сообщения

Синхронные действия

Аккаунты начинают и прекращают активность одновременно

Аномальные сетевые связи

Подписки, репосты, лайки между аккаунтами образуют плотный кластер

Общие шаблоны (написанные фразы, хэштеги)

Повторяющиеся формулировки, ошибки, хэштеги

Аномальное поведение аккаунта

Созданы недавно, мало личного контента, накрученные подписчики

Типы неаутентичных аккаунтов

Бот (автоматический)

Управляется скриптом, публикует по расписанию, репостит

Тролль / пропагандист

Реальный человек, оплачиваемый для продвижения определенных нарративов

Спящий аккаунт

Создан давно, не использовался, затем активирован для кампании

Клон

Почти идентичный аккаунт (зеркало)

Ферма аккаунтов

Сеть из сотен аккаунтов, управляемая одной группой

Методология выявления скоординированных кампаний

Этап 1: Обнаружение аномальной активности

Что мониторить:

• Платформы: Twitter, Facebook, Instagram, VK, Telegram, TikTok.
• Ключевые слова, хэштеги, темы.

Инструменты для обнаружения всплесков:

• CrowdTangle: Анализ распространения постов в Facebook/Instagram.
• TweetDeck + search operators: Мониторинг Twitter в реальном времени.
• Telegram Analytics (TGStat, Telemetr): Динамика упоминаний.
• Google Trends: Общая популярность темы.

Этап 2: Выявление подозрительных аккаунтов

После обнаружения всплеска — сбор подозрительных аккаунтов, участвующих в нем.

Критерии отбора:

• Дата создания: Большинство аккаунтов создано недавно (дни, недели).
• Имена / юзернеймы: Сгенерированные (СлучайноеИмя123).
• Аватар: Отсутствует, стоковый, или украденный (обратный поиск).
• Активность: Только репосты (оригинального контента нет), нет личных постов.
• Содержание: Только на одну тему, копипаста.
• Взаимодействия: Подозрительные репосты и лайки.

Этап 3: Анализ сетевых связей (социальный граф)

Построение визуализации связей между подозрительными аккаунтами.

Типы связей:

• Подписки (следуют друг за другом).
• Репосты / ретвиты.
• Лайки.
• Упоминания (@).
• Ответы.

Аномалии в графе:

• Звездообразный кластер: Один аккаунт (центр) — источник, остальные (периферия) репостят.
• Полносвязный кластер: Аккаунты подписаны друг на друга (неестественно).
• Изолированный кластер: Не взаимодействует с обычными пользователями.

Этап 4: Анализ контента и лингвистики

Что анализировать:

• Повторяющиеся фразы: Одинаковые формулировки, хэштеги.
• Синтаксические конструкции, ошибки: Однотипные ошибки указывают на один источник.
• Средняя длина сообщений: Неестественная краткость или одинаковость.

Инструменты:

• Python + NLTK / spaCy: Частотный анализ, кластеризация текстов.
• LSTM / BERT (продвинутый уровень): Классификация авторства, выявление одного автора.

Этап 5: Анализ временных паттернов

Построение временной шкалы активности.

Аномалии:

• Синхронный старт / финиш: Аккаунты начинают постить одновременно (поработали 2 дня и замолкли).
• Периодичность: Публикация через равные промежутки (бот).
• Регулярное «дежурство»: Активность в одни и те же часы (рабочие часы троллей).

Этап 6: Анализ распространения в медиасреде

Что отслеживать:

• Первоисточник (источник утечки/вброса). Откуда пошла тема?
• Сайты-подсайты: Созданные специально для кампании (список).
• Репост другими СМИ: Кто подхватил, на каком уровне эскалации?
• Нарратив (история, смысл): Как меняется со временем?

Этап 7: Документирование кампании

Фиксация данных для анализа и возможного использования.

Что документировать:

• Список аккаунтов (ID, дата создания, имя, юзернейм, URL).
• Скриншоты (с адресной строкой браузера, датой).
• Список публикаций.
• Даты начала/пика/затухания кампании.

Практические методики

Методика 1: Поиск ботов по шаблону имени

Боты часто используют шаблонные имена: «Имя_Фамилия_число», «Слово + число».

Алгоритм:

1. Собрать 100+ подозрительных аккаунтов.
2. Найти общие шаблоны в именах.
3. Поискать другие аккаунты с такими же шаблонами.
4. Проанализировать их активность (та же тематика, одновременный старт).

Методика 2: Анализ сетевых связей (Gephi)

1. Собрать 200+ аккаунтов (подозрительных и обычных).
2. Внести данные в Gephi (таблицы: ID, связи «подписан на», репостнул у»).
3. Визуализировать граф (алгоритм Force Atlas 2).
4. Найти кластеры с высокой плотностью связей (неестественную).
5. Изучить их (те же даты создания, те же формулировки).

Методика 3: Временной анализ активности

1. Собрать таймстампы публикаций подозрительных аккаунтов.
2. Построить гистограмму активности по часам.
3. Сравнить с нормальным распределением (обычные аккаунты).
4. Обнаружить пики в нехарактерное время (ночью).
5. Обнаружить повторяющиеся интервалы (каждые 4 часа).

Методика 4: Проверка на предмет связи с известными фермами троллей

Существуют базы известных тролль-ферм (например, IRA — Internet Research Agency, Агентство интернет-исследований, АНО «Диалог» — российские, ЦИПсО — украинские, Trolls from Rwanda — наемные).

Что проверять:

• IP-адреса (если есть доступ). Совпадают ли с IP известных ферм?
• Языковые особенности (орфография, сленг) — характерные для конкретного региона.
• Время активности (рабочее время часового пояса).

Кейс: Выявление бот-фермы в поддержку корпорации
Задача: Внезапно тысячи постов в соцсетях хвалят корпорацию N (на фоне скандала). Выявить ботов.

1. Сбор данных: Через Twitter API (или парсинг) собраны аккаунты, упоминавшие корпорацию N за 48 часов (5000 аккаунтов).
2. Выявление подозрительных:
• 3000 аккаунтов созданы в течение последнего месяца.
• Имена: user_1234, client_5678.
• Аватары: геометрические фигуры, отсутствуют.
3. Анализ контента:
• 2500 из 3000 написали один из 10 шаблонных текстов («N — лучшая!», «Я люблю N!»).
• Ошибки: одинаковые («лучшая» написано как «лучшаяя»).
4. Временной анализ:
• Начали постить в 2 часа ночи по местному времени, остановились к утру. Нечеловеческий паттерн.
5. Анализ сети:
• Все подозрительные аккаунты подписаны на @Official_N (аккаунт корпорации) и друг на друга. Искусственная связка.
6. Триангуляция: Независимых обзоров, положительных отзывов от реальных пользователей нет. Официального заявления — нет.
7. Вывод: Бот-ферма (или скоординированные неаутентичные действия). Искусственная поддержка. Тысячи аккаунтов созданы для этой кампании.

Инструменты для анализа кампаний

CrowdTangle

Анализ распространения в Facebook/Instagram

TweetDeck

Мониторинг Twitter (реалтайм)

Gephi

Визуализация сетевых связей

Botometer

Оценка вероятности бота (Twitter)

SparkToro

Анализ аудитории соцсетей

Hoaxy

Визуализация распространения (Twitter)

Telegram Analytics (TGStat, Telemetr)

Анализ каналов

Python (pandas, networkx, matplotlib)

Автоматизация анализа

Этические и правовые аспекты

1. Аккаунты реальных людей: Не все активные сторонники — боты. Осторожно: обвинение реального человека.
2. Правила платформ: Некоторые методы (массовый сбор данных) нарушают правила.
3. Атрибуция: Даже доказанная скоординированная кампания может не доказывать, кто за ней стоит. Осторожно с обвинениями конкретного правительства, организации без прямых улик.

Выявление скоординированных кампаний — это детективная работа, сочетающая сбор данных, сетевой анализ, лингвистику и временной анализ. Боты, тролли и фермы аккаунтов оставляют множественные цифровые следы: паттерны регистрации, шаблонный контент, синхронную активность, аномальные сетевые связи. Комбинация инструментов (CrowdTangle для соцсетей, Gephi для графов, Botometer для проверки ботов) и аналитического мышления позволяет выявить искусственную активность и понять реальные масштабы информационной операции.

Верификация аудиозаписей: голос, монтаж, контекст и инструменты

Аудиозаписи — мощный, но коварный источник информации. Голос политика, признание очевидца, перехват разговора — такие записи могут стать ключевым доказательством. Однако современные технологии позволяют редактировать аудио без видимых следов, синтезировать голос (deepfake) с поразительной точностью и вырывать фразы из контекста. Данная статья посвящена методам верификации аудиоматериалов: от анализа спектрограммы до выявления признаков монтажа и аутентификации голоса.

Почему аудиозаписи сложны для верификации?

Отсутствие визуального ряда

Невозможно увидеть артефакты монтажа, не синхронизировать с видео

Синтез речи (TTS, голосовые клоны)

ИИ генерирует правдоподобный голос

Высокое качество сжатия

Маскирует следы редактирования

Легкость вырезания / вставки

Любой смартфон позволяет это сделать

Сложность верификации контекста

Фраза вырвана из разговора, значение изменено

Типы манипуляций с аудио

Обрезка (вырезание)

Удаление части записи

Вставка / наложение

Добавление из другого источника

Изменение скорости

Ускорение или замедление

Изменение тона / высоты голоса

Сокрытие личности (автотюн)

Синтез голоса (TTS, AI clone)

Создание речи с нуля

Зашумление / фильтрация

Скрытие признаков редактирования

Дезинформация через контекст

Правильная запись, но ложное описание

Методология верификации аудио

Этап 1: Изучение источника

Кто, где, когда, зачем опубликовал аудиозапись?

Что проверять:

• Автор публикации: Известный, анонимный? Имеет ли репутацию? Есть ли мотив фальсифицировать?
• Источник записи: Кто предоставил файл? Где, когда и при каких обстоятельствах произведена запись?
• Цепочка распространения: Какая самая ранняя публикация? Кто еще переопубликовал?
• Контекст: Согласуется ли с другими данными? Официальные заявления? Новости?

Этап 2: Извлечение метаданных (аудиофайл)

Метаданные аудиофайла (ID3, Vorbis comments) могут быть информативны.

Что проверять:

• Программное обеспечение: Программа записи, редактор (Audacity, Adobe Audition).
• Устройство: Диктофон, телефон (модель может быть указана).
• Дата и время: Соответствует заявленному событию?
• Изменения файла: Несколько дат изменения.

Инструменты:

• ExifTool: exiftool audio.mp3 (а также WAV, OGG, M4A).
• MediaInfo: mediainfo audio.mp3 (кодек, битрейт, длительность).
• FFmpeg: ffmpeg -i audio.mp3 (информация).

Ограничения: Метаданные удаляются мессенджерами, соцсетями. Могут быть подделаны (редакторами, утилитами).

Этап 3: Анализ спектрограммы (визуализация звука)

Спектрограмма — графическое представление частотного состава звука во времени. Следы редактирования могут быть видны.

Что искать:

• Резкие обрывы / скачки: На границе склейки (несколько файлов).
• Изменение шумового фона: В тишине или паузах — фоновый шум резко меняется (например, щелчки).
• Неестественные паузы, провалы: Между словами или предложениями — отсутствие естественного дыхания, шума.
• Постоянный тон (гул) на высоких частотах: Может указывать на применение фильтрации для скрытия.
• Искажения частот: Разные участки имеют разную частотную характеристику — разные микрофоны, наложение.

Инструменты:

• Audacity: Бесплатный редактор (меню «Анализ» → «Спектрограмма»).
• Sonic Visualiser: Специализированный инструмент.
• SpectrumView (онлайн).

Этап 4: Анализ шумового профиля и фоновых артефактов

Каждая запись имеет уникальный шумовой след: шум микрофона, комнаты, улицы.

Что делать:

• Выделить участок тишины (между словами, в начале/конце).
• Проанализировать спектр шума: Постоянный или меняется?
• Искать несоответствия:
• Резкое изменение шума при переходе от одного говорящего к другому — разные источники записи.
• Исчезновение шума при монтаже (слишком чисто вставленный участок).
• Добавление искусственного шума для маскировки.

Практический пример: Запись разговора двух людей. Спектрограмма показывает, что голос А имеет постоянный низкочастотный гул (кондиционер), а голос Б — нет. Вероятно, голоса записаны в разных местах и склеены.

Этап 5: Анализ формант и высоты голоса (спектральный анализ)

Голос человека имеет уникальный спектр — форманты.

Что делать:

• Сравнение участков с голосом одного человека: Должны иметь схожий формантный профиль.
• При резком изменении: Проследить, не было ли смены говорящего.
• Изменение высоты тона: Признак тонирования, автотюна, синтеза.

Инструменты:

• Praat: Специализированная программа для фонетического анализа (форманты, высота, энергия).
• Audacity: Базовый анализ (спектрограмма).

Этап 6: Выявление синтеза речи (голосовые deepfake, TTS)

Современные нейросети (ElevenLabs, VALL-E, Resemble.ai) создают реалистичные копии голоса.

Признаки AI-синтеза в речи:

• Роботизированный тембр: Неестественно ровный тембр.
• Отсутствие естественных пауз, шумов дыхания: Речь слишком «чистая».
• Неестественная артикуляция: Сложные звуки произносятся нечетко.
• Аномальная скорость речи: Слишком быстрая или медленная.
• Отсутствие эмоциональной модуляции: Монотонная интонация.
• Артефакты на границах фонем: Щелчки, провалы.

Инструменты детекции AI-синтеза:

• WaveFake (исследовательский проект): Детекция синтезированной речи.
• WeVerify / InVID (расширения браузера) — функции верификации аудио (находятся в активной разработке).
• Resemble.ai Detector (коммерческий, есть демо).
• Mozilla Common Voice Detector (исследовательский).

Этап 7: Транскрибация и контекстуальный анализ

Преобразование речи в текст для дальнейшего анализа.

Инструменты транскрибации:

• Whisper (OpenAI): Бесплатный локальный движок. Наиболее точный.bashwhisper audio.mp3 --language Russian
• Google Speech-to-Text (платный API, точность высокая).
• Яндекс SpeechKit (русский язык, платный API).
• Otter.ai (английский, бесплатный до лимита).

Что анализировать в транскрипте:

• Логика и последовательность: Есть ли нелогичные переходы, неожиданные смены темы?
• Лексика и стиль: Соответствует ли известному стилю говорящего?
• Факты: Упоминаются ли даты, места, имена? Согласуются ли с внешними источниками?
• Противоречия: Содержит ли запись внутренние противоречия?

Этап 8: Сравнение с эталонными образцами голоса

Если есть образцы голоса предполагаемого говорящего (интервью, публичные выступления), можно сравнить.

Что сравнивать:

• Форманты (частотные пики).
• Высоту голоса (среднюю и диапазон).
• Произношение фонем (особенности речи, дефекты).
• Темп речи, паузы, характерные слова-паразиты.

Инструменты:

• Praat: Расширенный анализ формант.
• VoiceMatch (платформа): Автоматическое сравнение голосов (ограниченно).

Этап 9: Поиск других записей того же события (триангуляция)

Метод повышает уверенность и позволяет выявить расхождения.

• Поиск по ключевым словам, дате, месту: В соцсетях, YouTube, Telegram, новостных сайтах.
• Сравнение аудиодорожек: Пересекаются ли? Одни и те же фразы? Контекст совпадает?

Инструмент кросс-проверки:

• YouTube Data Tools (YouTube Search): Поиск по дате, ключевым словам.

Практические методики

Методика 1: Анализ границ монтажа

1. Прослушать аудио на предмет резких переходов.
2. Визуализировать спектрограмму в Audacity/Sonic Visualiser.
3. Найти скачки (обрывы) с изменением шумового фона.
4. Увеличить масштаб: На границе могут быть артефакты (щелчки, провалы, сдвиг фазы).
5. Сравнить шум «до» и «после»: Если шум меняется — граница редактирования.

Методика 2: Подтверждение авторства голоса

1. Собрать эталонные записи предполагаемого говорящего (публичные выступления, интервью).
2. Изолировать одинаковые фразы (слова): «Здравствуйте», «Я считаю».
3. Сравнить спектрограммы этих фраз: Должны быть похожи по формантам, высоте.
4. Если расхождения велики: Запись не является голосом этого человека (или запись в другом акустическом окружении, но с тем же голосом).

Методика 3: Обнаружение шумоподавления

1. Выделить участок тишины (фоновый шум).
2. Проанализировать спектр шума (Audacity, частотный анализ). Если шума нет или диапазон сильно обрезан — шумоподавление. Само по себе не фальсификация (могло быть улучшение), но заставляет усомниться в подлинности (возможно, скрыт монтаж).

Инструменты для верификации аудио

Audacity

Редактирование, спектрограмма, анализ

Sonic Visualiser

Продвинутая спектрограмма

Praat

Фонетический анализ (форманты, высота)

ExifTool

Метаданные аудиофайла

FFmpeg

Конвертация, извлечение метаданных

Whisper (OpenAI)

Транскрипция речи в текст

InVID / WeVerify

Верификация видео/аудио (расширение)

WaveFake

Детекция синтезированной речи

Исследовательский

YouTube Data Tools

Поиск видео по дате

Кейс: Верификация «слитого» разговора политиков

Задача: В Telegram появилась аудиозапись (2 минуты), якобы разговора двух высокопоставленных чиновников (условные Иванов и Петров). Обсуждается секретная сделка. Запись низкого качества.

1. Источник: Анонимный Telegram-канал, созданный за день до публикации. Высокий риск подозрительности.
2. Метаданные: ExifTool показывает дату создания — «вчера», программное обеспечение — «Audacity 3.2.0». Явно редактировалась.
3. Спектрограмма: Визуализация спектрограммы в Audacity. Резкий обрыв и изменение шумового фона через 45 секунд. Склейка.
4. Шумовой профиль: «Иванов» имеет гул (вентиляция), «Петров» — нет (разные помещения). Склейка на границе реплик «Иванов→Петров» — неестественная пауза.
5. Синтез речи? Warmer и естественнее, но без артефактов — подозрений не вызывает.
6. Транскрипт: Нелогичный переход темы (сделка→футбол). Возможно, вставка из другого разговора.
7. Сравнение с эталонами: Найдены публичные выступления Иванова. Форманты отличаются, высота голоса не совпадает. Голос не его.
8. Триангуляция: Поиск «Иванов сделка»: другие источники не подтверждают, новостей нет. Официальный представитель опровергает.
9. Вывод: С высокой долей уверенности — подделка (монтаж, чужой голос). Недостоверна.

Верификация аудиозаписей требует сочетания технического анализа (спектрограмма, шумы, форманты) и контекстуальной проверки (источники, транскрипт, эталоны). Признаки монтажа: резкие обрывы на спектрограмме, изменение шумового фона, артефакты. Выявление deepfake (синтеза речи): неестественная ровность, отсутствие дыхания. Ключевой принцип: не доверять не проверенным записям, особенно анонимным, с признаками редактирования, без официального подтверждения, от неизвестного источника.

Верификация пользовательского контента (UGC): работа с очевидцами и социальными медиа

Пользовательский контент (User-Generated Content, UGC) — фотографии, видео, аудиозаписи, текстовые сообщения, созданные очевидцами или участниками событий — часто является наиболее ценным, но и наиболее сложным для верификации источником информации. UGC может быть подлинным свидетельством, но может также быть ошибочным, вводящим в заблуждение или намеренно сфальсифицированным. Данная статья посвящена методам сбора, оценки и верификации пользовательского контента из социальных сетей, мессенджеров и других открытых источников.

Почему UGC требует особого подхода?

Отсутствие редакторской проверки

Ошибки, преувеличения, намеренная ложь

Анонимность или псевдонимность

Невозможно оценить репутацию автора

Отсутствие контекста

Фото/видео вырвано из временной или пространственной привязки

Высокая эмоциональность

Искажение фактов под влиянием стресса

Возможность манипуляции

Легкость редактирования, фальсификации

Скорость распространения

Ложь распространяется быстрее, чем ее успевают опровергнуть

Типология пользовательского контента

Первичный UGC

Создан очевидцем события в момент события

Вторичный UGC

Републикация, пересказ, монтаж первичного UGC

Постановочный UGC

Создан для имитации реального события, но не является таковым

Фальсифицированный UGC

Намеренно создан для введения в заблуждение

Заимствованный UGC

Старый контент, выданный за новый на основе актуального события

Методология верификации UGC

Этап 1: Оценка автора (источника)

Прежде чем анализировать контент, необходимо понять, кто его создал.

Параметры оценки:

Аккаунт

Дата создания, активность, подписчики

Давно ли создан? Есть ли другие посты? Нормальное ли количество фолловеров?

Репутация

Прошлые публикации, надежность

Был ли автор точен ранее? Имеет ли мотив фальсифицировать?

Локация

Геотеги, язык, друзья

Находится ли автор физически в этом месте?

Сеть

Связи, взаимодействия

Кто на него подписан? С кем общается?

Верификация

Наличие подтвержденных аккаунтов

Есть ли галочка (Twitter, Instagram)?

Инструменты:

• Sherlock / Maigret: Поиск аккаунта по username на других платформах.
• Twitter Audit: Оценка вероятности, что аккаунт — бот.
• Botometer: Анализ бот-активности Twitter-аккаунта.
• Social Bearing: Анализ истории Twitter-аккаунта.

Признаки подозрительного автора UGC:

• Аккаунт создан накануне публикации.
• Нет аватара или аватар украден (обратный поиск по изображению).
• Непропорционально мало/много подписчиков.
• Однотипные посты или их отсутствие.
• Аккаунт недавно менял имя/username.

Этап 2: Пространственная верификация (геолокация)

Определение места съемки UGC.

Методы:

• Извлечение GPS из метаданных: ExifTool, онлайн-анализаторы.
• Визуальные ориентиры: Здания, вывески, памятники, природа, транспорт.
• Сравнение с картами и панорамами: Google Maps, Яндекс.Карты, Google Street View, Яндекс.Панорамы.
• Анализ автомобильных номеров и дорожных знаков.
• Поиск по уникальным объектам: Поиск в Google Images ориентира.

Инструменты:

• ExifTool
• Google Earth / Google Maps
• Яндекс.Карты / Яндекс.Панорамы
• Mapillary (краудсорсинговые панорамы)

Этап 3: Временная верификация (датировка)

Определение, когда на самом деле создан UGC.

Методы:

• Извлечение даты из метаданных: EXIF DateTimeOriginal.
• Анализ теней и освещения: Оценка времени суток, сезона.
• Анализ растительности и погоды: Листва, снег, цветущие растения.
• Технологические маркеры: Модели телефонов, автомобилей, одежда.
• Событийные маркеры: Упоминания событий, дат.
• Поиск по хэштегам: Поиск дат в подписях, репостах.

Инструменты:

• SunCalc.org: Для расчета времени по теням.
• Wolfram Alpha: Расчет солнечного азимута.
• Weather Underground (архивы погоды): Сопоставление погоды на дату.

Этап 4: Оценка целостности контента (подлинность)

Является ли UGC подлинным или сфальсифицированным?

Методы:

• ELA (Error Level Analysis): Выявление областей, подвергавшихся редактированию.
• Анализ шумовых паттернов: Разные уровни шума указывают на монтаж.
• Анализ метаданных: Программы редактирования, даты изменения.
• Поиск первоисточника: Обратный поиск по изображению.
• Анализ аудио (для видео): Несоответствие звука изображению, неестественные паузы.

Инструменты:

• FotoForensics: ELA и другие методы.
• Forensically (29a.ch): Онлайн-инструменты фото-криминалистики.
• InVID / WeVerify (браузерное расширение): Инструменты верификации видео.

Этап 5: Контекстуальная верификация (crowdsourcing и OSINT)

Согласуется ли контент с другими данными?

Методы:

• Поиск других источников: Есть ли другие очевидцы, опубликовавшие похожий контент?
• Проверка в соцсетях: Поиск по геотегам, хэштегам, ключевым словам в одно и то же время.
• Использование краудсорсинга: Bellingcat, Global Leaks, Reddit (сабреддиты для верификации).
• Мониторинг новостных лент: Сопоставление с официальными сообщениями, заявлениями.

Инструменты:

• TweetDeck: Мониторинг Twitter по ключевым словам.
• CrowdTangle: Анализ распространения контента в Facebook/Instagram.
• Telegram-поиск: Поиск по геолокациям, ключевым словам.
• Reddit Search: Поиск по сабреддитам (r/OSINT, r/CombatFootage и др.).

Этап 6: Работа с удаленным или недоступным UGC

UGC может быть удален или находиться в приватных группах.

Стратегии:

• Поиск в кешах: Google Cache, Yandex Cache, Bing Cache.
• Архивы: Wayback Machine, Archive.today (если страница была сохранена).
• Поиск в агрегаторах: News aggregators, RSS-ленты.
• Косвенные упоминания: Цитаты, скриншоты в других публикациях.
• Telegram-боты: Поиск по контенту, удаление которого стерто, иногда сохраняет.

Практические методики верификации UGC

Методика 1: Восстановление цепочки распространения (Provenance)

1. Найти самую раннюю публикацию UGC.
2. Определить автора (если возможно) самой ранней публикации.
3. Проследить путь распространения: Кто и когда репостил.
4. Сравнить ранние и поздние версии: Не добавлялись ли искажения, подписи, монтаж.
5. Сделать вывод: Является ли автор первичным источником? Доверяем ли мы ему?

Методика 2: Триангуляция UGC

1. Найти несколько независимых UGC одного события (фото, видео, тексты).
2. Сравнить их на предмет противоречий/согласованности:
• Одинаковые ли время, место, объекты?
• Одинаковые ли детали (одежда, номера машин)?
3. Сделать вывод: Высокая согласованность подтверждает подлинность.
4. Низкая согласованность: указывает на возможную фальсификацию или разные события.

Методика 3: Анализ метаданных социальной платформы

Платформы (Twitter, Facebook, Instagram) добавляют свои метаданные, которые могут помочь.

• Twitter: Дата и точное время поста (UTC), идентификатор твита, клиент (Twitter Web, iPhone, Android).
• Instagram: Дата поста (UTC), фильтры, местоположение (если добавлено).
• Telegram: Дата сообщения (локальное время сервера), просмотры.

Методика 4: Поиск UGC по геолокации и времени

1. Определить координаты (или приблизительный район) и интервал времени.
2. Использовать поисковые запросы:
• Twitter: geocode:55.75,37.62,1km since:2025-03-10 until:2025-03-12.
• Instagram: поиск без API, через геотеги.
• Telegram: поиск по геолокации (поисковые боты).
3. Собрать все UGC за интервал.
4. Сравнить и выбрать релевантные.

Пример кода: поиск UGC в Twitter по геолокации (Tweepy)

import tweepy

# Авторизация (требуется API key)
auth = tweepy.OAuthHandler('API_KEY', 'API_SECRET')
api = tweepy.API(auth)

# Поиск твитов в радиусе 1 км от координат за определенный период
tweets = api.search_tweets(
    geocode="55.7558,37.6176,1km",
    since_id="2025-03-10",
    until="2025-03-12",
    count=100
)

for tweet in tweets:
    print(tweet.created_at, tweet.text, tweet.user.screen_name)

Типичные ошибки при верификации UGC

Подтверждающее искажение

Принимаем UGC, потому что он соответствует нашим ожиданиям

Игнорирование контекста

UGC вырван из контекста, но мы его принимаем

Постановочное видео как реальное

Инсценировка, но срежиссированная

Ложь в подписи

UGC настоящий, но описание ложное

Устаревший UGC как свежий

Старое видео под новым соусом

Кейс: Верификация видео "зверств" в городе N

Задача: Видео (10 секунд) распространяется в Telegram: утверждается, что в городе N военные стреляют по мирным жителям. Видео снято на телефон, виден дым и бегущие люди.

1. Автор: Аккаунт создан 2 дня назад, нет аватара, больше нет постов. Высокий риск анонимности.
2. Геолокация:
• Анализ вывесок: на одном здании вывеска на русском, но название магазина не найдено в городе N.
• Номера автомобилей: номера другого региона.
• Сравнение с Яндекс.Панорамами: здание найдено в городе M за 500 км от N.
3. Дата съемки:
• EXIF удален.
• Тени короткие (солнце в зените) — лето, а событие якобы зимой.
• Одежда людей — летняя.
4. Контент:
• Поиск по ключевым кадрам в Google Images: найдено это же видео на YouTube от 2018 года, где оно описано как "учебная тревога, город М".
5. Другие источники:
• Поиск по городу N за заявленную дату: нет сообщений о стрельбе в официальных сводках, нет других UGC этих событий.
6. Вывод: Видео не соответствует заявленной локации и дате. Это старое видео из другого города, выдаваемое за актуальное событие. Высокая уверенность, что подделка.

Инструменты для верификации UGC (сводная таблица)

InVID / WeVerify

Плагин для браузера (Chrome, Firefox) — верификация видео, извлечение кадров, метаданные

Reverse Image Search

Google Images, Yandex.Images, TinEye

Geolocation Tools

Google Earth, SunCalc, Wikimapia

EXIF Tools

ExifTool, Jeffrey's Exif Viewer

Video Forensics

FFmpeg (покадрово), VLC

Social Media Search

TweetDeck, CrowdTangle, Telegram search bots

Archive

Wayback Machine, Archive.today

Верификация пользовательского контента — многоступенчатый детективный процесс. Ключевые факторы: не доверять на слово, проверять автора, место, дату и целостность. Искать независимые источники и подтверждения. Быть особенно осторожным с анонимными и новыми аккаунтами, вирусным и эмоциональным контентом, старым видео под новой датой. UGC — ценный, но не бесспорный источник. Критическое мышление и методологическая дисциплина — основа его корректной верификации.