⚪️Ежедневная рубрика - Интересный факт.

🛡Факт: Современные спецслужбы в первую очередь читают не «секретные базы», а открытые источники.
Соцсети, фото, вакансии и утечки метаданных дают до 80% полезной разведывательной информации – легально и без взлома.

👁Люди сами рассказывают о себе больше, чем думают.

🔘Ежедневная рубрика — Интересный факт.

🧠Факт: Большинство цифровых следов остаётся навсегда, даже если вы «удалили» информацию.
Кеши поисковиков, веб-архивы, репосты и скриншоты позволяют восстановить данные спустя годы — без доступа к закрытым системам.

💼В интернете забывчивых нет — есть только те, кто недооценивает OSINT.

🇷🇺Русский

🔘Ежедневная рубрика — Интересный факт.

🧠Факт: Обычная фотография может раскрыть больше, чем кажется.
Метаданные (EXIF) нередко содержат модель устройства, дату, время и даже координаты съёмки — если файл не был корректно очищен.

💼Иногда один снимок даёт больше информации, чем десятки сообщений. OSINT начинается с мелочей.

🇺🇸🇬🇧English

🔘Daily feature — Interesting fact.

🧠Fact: A simple photo can reveal more than it seems.
Metadata (EXIF) often contains the device model, date, time, and even GPS coordinates — if the file wasn’t properly cleaned.

💼Sometimes one image provides more intelligence than dozens of messages. OSINT starts with details.

✈️ 20 реакций — даю крупную публичную базу Telegram

✈️ 20 reactions — get a large public Telegram database

🇷🇺Русский

🔘Ежедневная рубрика — Интересный факт.

💡Факт: Никнейм в интернете — это тоже след.
Даже без личных данных один и тот же никнейм, используемый на разных платформах, позволяет связать аккаунты, восстановить активность и выстроить цифровой профиль человека.

💼Иногда один ник говорит больше, чем длинная переписка. OSINT начинается с закономерностей.

🦶Проверь свой ник прямо сейчас:
https://whatsmyname.me/

🇺🇸🇬🇧English

🔘Daily feature — Interesting fact.

💡Fact: A username is a digital footprint too.
Even without personal data, reusing the same nickname across platforms can link accounts, reveal activity patterns, and help build a digital profile.

💼Sometimes a single alias says more than long conversations. OSINT starts with patterns.

🦶Check your username right now:
https://whatsmyname.me/

🇷🇺Русский

⚙️Добавлены новые разделы: «Уровень после курса», «Профессиональные роли после курса», «Практические навыки» и «Координация и институциональное взаимодействие».

🎥С наступающим Новым годом! 🔔

🆕 Ещё пара дней — и мы подведём итоги года, обсудим результаты и поделимся возможными спойлерами о будущей книге.

🇺🇸🇬🇧English

⚙️ New sections added: "Post-Course Level", "Professional Roles After the Course", "Practical Skills", and "Coordination & Institutional Interaction".

🎥Happy New Year! 🔔

🆕 Just a couple more days until we wrap up the year, review our achievements, and share some possible spoilers about the upcoming book.

OSINT Academy | Discord | Telegram 🙏

🎄Итоги года 2025

Этот год был про системную работу, рост и создание фундамента.
Без шума особого шума, но с результатом.

За этот год:

— 💙Реализовано 3 проекта
Каждый проект создан с нуля и ориентирован на практику, реальное применение и долгосрочную ценность.

— 🔝Авторская работа: 3 книги

За год написано три книги:
⚪️Одна уже вышла,
⚪️Вторая выходит сегодня,
💦Третья осталась фундаментом для дальнейших проектов.

Все материалы основаны на реальном опыте, исследованиях и прикладных кейсах.

— 🚁Некоммерческая помощь правоохранительным органам
В течение года оказывалась некоммерческая аналитическая и исследовательская помощь в операциях полиции, в рамках открытых источников и правового поля.

— 🔔Аудитория и масштаб
Общая аудитория русскоязычных проектов превысила 50 000 человек.

За этот год также удалось:
выйти за пределы СНГ,

сформировать и начать развивать итальянскую аудиторию.

— 🦋Первый в СНГ OSINT-фреймворк
Создан первый в СНГ OSINT-фреймворк — большая структурированная библиотека инструментов и методик, собранных в единую систему.

— 💼Академия и сообщество

🔗Запущена и развивается наша академия (в апреле ей исполнится 1 год).

🔗Discord-сообщество стало крупнейшим сообществом OSINT-энтузиастов в русскоязычном сегменте.

— 🩵Интеграции и партнёрства
Появились новые партнёрства и совместные проекты, часть из которых пока остаётся непубличной.

🌱Главный фокус года:
Качество, глубина и реальная польза. Без погони за хайпом, цифрами ради цифр и пустыми обещаниями.

🖱️Планы на следующий год:
— масштабирование проектов и фреймворка
— развитие академии и сообщества
— новые книги и форматы
— выход на новые аудитории

Спасибо всем, кто был частью этого пути — участникам, читателям, партнёрам и тем, кто поддерживал молча.

С наступающим ❤️

Дальше — больше.
Дальше — лучше.

🪐Сфера:
Cyber Threat Intelligence (киберразведка угроз),
OSINT-driven Infrastructure Analysis (инфраструктурный анализ на основе открытых источников),
Infrastructure & Network Intelligence (разведка сетевой и инфраструктурной среды).

🩵В центре анализа находится инцидент. Он рассматривается не как единичное событие, а как точка входа в инфраструктуру. Анализ строится вокруг него и направлен на восстановление структуры, динамики и связей инфраструктуры во времени.

💼Первый уровень — идентификация объектов: основной домен, субдомены, IP-адреса как узлы во времени, ASN, хостинг-провайдеры и платформы. Объекты фиксируются в контексте их изменений, а не как статические значения.

🩵Второй уровень — базовые веб-данные: HTTP-статусы, серверные заголовки, title и meta-информация, веб-архивы. Эти данные используются для первичной валидации ресурсов и выявления повторяющихся конфигураций.

🩵Третий уровень — DNS и WHOIS: текущие и исторические DNS-записи, пассивный DNS, история владения. Анализируются цепочки делегирования, временные окна и синхронные изменения между разными объектами.

🩵Четвёртый уровень — SSL-сертификаты: текущие и исторические сертификаты, общие сертификаты, смены и переиспользование. Сертификаты рассматриваются как устойчивые корреляционные артефакты между доменами и инфраструктурными узлами.

🩵Пятый уровень — изменения и временная динамика: смены IP и SSL, первое появление, последнее изменение, периоды активности, синхронные события. Время используется как ключевой фактор выявления связей.

🩵Шестой уровень — технологии и технический анализ: обнаруженные технологические стеки, серверы, WAF, CDN и резервные прокси. Применяются фингерпринтинг, хеширование конфигураций и анализ возможных уязвимостей как идентификаторов среды, а не целей эксплуатации.

🩵Седьмой уровень — корреляция инфраструктуры: сопоставление данных DNS, SSL, ASN, технологий и фингерпринтов. Формируется карта инфраструктуры, экосистема доменов, связи с организациями и институциональными структурами.

🩵Восьмой уровень — поведенческий анализ: частота и характер изменений, типичные интервалы активности, повторяющиеся шаблоны конфигураций и сценарии миграций. Поведение рассматривается как более устойчивый признак, чем отдельные ресурсы.

🩵Девятый уровень — оценка устойчивости инфраструктуры: выделяются стабильные элементы, часто меняющиеся компоненты, якорные артефакты и маскирующие элементы. Это позволяет отделить операционно значимые признаки от шума.

🌿На основе собранных данных формируются гипотезы: единый оператор, миграция инфраструктуры, смена провайдера или намеренное укрытие. Гипотезы проверяются через повторяемость, временную корреляцию и согласованность данных.

🌳Каждый вывод сопровождается уровнем уверенности — высоким, средним или низким. Уровень уверенности отражает плотность и качество подтверждающих данных.

💡Дополнительно учитываются связанные кейсы: похожие инфраструктуры, повторяющиеся артефакты, связанные инциденты. Это позволяет выявлять экосистемы и повторяющихся операторов.

🐍Анализ всегда фиксирует ограничения: отсутствующие данные, недоступные источники, возможные искажения и слепые зоны.

🌱Финальный этап — следующие шаги: подтверждение гипотез, дополнительная проверка и мониторинг. Отдельно фиксируются отвергнутые гипотезы и шумовые данные.

🧪Инфраструктурные узлы классифицируются по ролям: основной, вспомогательный, временный, брошенный.

🎥Задача подхода — не ответить на вопрос «что это за ресурс», а установить «как инфраструктура живёт, меняется и связана во времени».

OSINT Academy | Discord | Telegram

✍️Wireshark, сетевой трафик, протоколы, метаданные и технические следы коммуникаций - всё это относится к SIGINT.
Это не классический OSINT, но крайне прикладная история. Сегодня будет разбор одного из направлений.

💼Помимо этого блога у нас есть то, что делает всё это по-настоящему сильным -
наше Discord-сообщество по информационной безопасности.

Это крупнейшее русско-язычное (СНГ) комьюнити в индустрии, где собрались специалисты с разным опытом, разными интересами и разным уровнем подготовки - от тех, кто только заходит в кибербезопасность и ИБ, до практиков из SOC, Red Team, Blue Team, Pentest и AppSec.

Здесь:

Новички получают помощь и понятные ответы без токсичности (активное противодействие троллингу)
Практики делятся реальными кейсами и инструментами
Обсуждаются уязвимости, атаки и защита (в этичных рамках)
Собираются команды на CTF и проекты
Публикуются вакансии и стажировки (скоро)
И формируется среда, где можно расти быстрее, чем в одиночку

Ссылка на Discord 🎥

✍️SIGINT на практике: что реально можно вытащить из трафика

Берём pcap-дамп или живой трафик. Без «взломов», без MITM — обычный захват сети.

🤔DNS — самая жирная точка входа

Даже при HTTPS ты видишь:

все домены, к которым обращается система

частоту запросов

нестандартные TLD

DGA-подобное поведение

Практика:

фильтр: dns
смотри повторяющиеся и длинные домены

выявляй управляющие сервера, трекеры, CDN, прокси

📌В расследованиях DNS часто важнее содержимого трафика.

⚙️ SNI и TLS-метаданные

HTTPS ≠ невидимость.

В TLS можно вытащить:
- SNI (имя хоста)
- версию TLS
- наборы шифров
- поведение клиента

Практика:

- фильтр: tls.handshake.extensions_server_name
- сопоставляй домены с DNS
- смотри, какие сервисы реально используются

📌Полезно для атрибуции софта и инфраструктуры.

🤔IP и инфраструктура

Каждое соединение — это цифровой след.

Практика:
- фильтр: ip.addr == x.x.x.x
- смотри направления, количество сессий, интервалы
- выделяй «маячки» (beaconing)

📌 Регулярные короткие сессии = красный флаг.

🤔HTTP (когда он есть)

Редко, но до сих пор встречается.

Практика:
- фильтр: http
- User-Agent
- URI
- методы запросов

📌Пример: по UA часто определяется:
- библиотека
- язык
- конкретный инструмент

🤔Поведенческий анализ (самое важное)

Не контент, а паттерн.

Практика:
- Statistics < Conversations
- Statistics < Endpoints
- Statistics <
IO Graphs

Ищешь:
- периодичность
- аномальные пики
- странные объёмы данных

📌 Это база для threat hunting и расследований.

Что это даёт в реальности

На выходе ты можешь:
- понять, что делает система
- найти скрытые сервисы
- подтвердить использование конкретных инструментов
- связать сетевую активность с объектом OSINT

Это и есть SIGINT руками, а не «что такое Wireshark».

🎥Современные ограничения и обходы

В реальных сетях всё чаще встречаются технологии, которые пытаются скрыть метаданные.

DoH / DoT (DNS over HTTPS / TLS)
DNS может быть зашифрован. Тогда домены не видны напрямую, но остаётся SIGINT:

какой DoH-провайдер используется (Cloudflare, Google, NextDNS и т.д.)
IP, тайминги и объёмы запросов
поведенческий профиль резолвера

📌 Даже «скрытый» DNS остаётся отпечатком системы.

ECH (Encrypted ClientHello)
В новых версиях TLS SNI может быть зашифрован.
Имя сайта не видно, но остаются:

IP и CDN
размер и структура TLS-рукопожатия
fingerprint клиента

📌 SNI может исчезнуть, но инфраструктура - нет.

TLS fingerprints (JA3 / JA4)
Каждый TLS-клиент имеет уникальный «отпечаток»:

порядок cipher suites
расширения
версии протокола

По JA3/JA4 можно:

отличить Chrome от curl
браузер от malware
легитимный софт от C2

📌 Это основа атрибуции даже при полностью зашифрованном трафике.

Подписаться на проект