Che cos’è l’OSINT? Chi “fa” OSINT e perché?

Partiamo dalle basi e cerchiamo di definire l’Open Source Intelligence. Come suggerisce il nome si tratta dell’insieme delle tecniche atte alla raccolta, analisi ed elaborazione delle informazioni. Nel dettaglio l’insieme dei processi è ben più complesso, solitamente quindi si preferisce definire l’intelligence cycle, che affronteremo in un secondo momento.

“Fare OSINT” è un’espressione errata, è invece più corretto associare all’OSINT un mindset e restando nell’astratto possiamo dire che c’è un modus operandi che si presenta nelle varie situazioni, al di là delle tecnologie che intendiamo utilizzare e delle informazioni che vogliamo raccogliere. Prima di addentrarci nei dettagli operativi è bene sfatarne uno dei più gradi miti.

Ebbene, non è necessario essere delle spie del calibro di 007 o agenti segreti di chi sa quale agenzia investigativa, l’OSINT è per chiunque, persino per i più giovani che vengono contattati da estranei sui social networks e che vogliono saperne di più della persona con cui stanno conversando. È chiaramente usato per la maggior parte da investigatori di ogni genere, ad esempio quelli finanziari per monitorare i movimenti di denaro, identificarne e tracciarne il riciclo, o anche dai “cacciatori delle minacce” (threat hunters) per capire chi si cela dietro un determinato cyberattacco. Non da meno sono le aziende che si vogliono tutelare dalle contraffazioni dei propri prodotti o dallo spionaggio industriale, ad esempio.

Vediamo ora quattro punti fondamentali e comuni in qualsiasi operazione di open source intelligence.

Il mindset

Source: fitteam.com

Come il nome suggerisce, esso viene praticamente prima di tutto e alla base di questo ci sono alcune domande chiave che possiamo porci e che ci guideranno durante l’intera fase investigativa, ad esempio:

  • qual è lo scopo della ricerca? Dobbiamo porci una domanda specifica, cercare “tutto” di una persona è quindi sbagliato in partenza;
  • che fonti possiamo utilizzare? Sono affidabili?
  • stiamo pensando con senso critico? Le fake news costituiscono un problema, è quindi importante saperle riconoscere;
  • quali sono le nostre parole chiave?

È chiara quindi la necessità di definire un piano d’azione che, in questo caso, può subire mutamenti e che quindi può (e dovrebbe) essere rivisto quando importanti passi in avanti vengono fatti.

È inoltre altrettanto importante individuare le domande di cui non siamo riusciti a trovare una risposta, sia perché possono essere rielaborate con l’aiuto di informazioni acquisite in secondo momento, sia perché ci possono aiutare a definire il nostro range di ricerca soprattutto nelle fasi iniziali.

Altri vincoli possono essere riferimenti temporali e spaziali, come si è dimostrato in un recente caso di BBC News Africa.

 

Raccolta e analisi di informazioni

Source: mindit.com.lb

Grazie all’avvento di internet la quantità delle informazioni a cui possiamo accedere è piuttosto vasta. Pensiamo ad esempio ai Social Networks, chat pubbliche, chi più ne ha più ne metta. Sorge così un altro problema: come scegliamo le informazioni da raccogliere?

Una regola base è: non si butta via niente. Anzi, in casi di analisi forense è importante tenere le informazioni allo stato grezzo, ad esempio uno screenshot di una pagina web o meglio ancora la registrazione del traffico internet generato, così facendo risulta molto facile verificare che un’informazione è stata ricavata dal un determinato sito in un determinato momento.

Sulla base dell’obbiettivo della ricerca possiamo definire dei risultati da aspettarci, ad esempio è molto probabile che una persona con un’età compresa tra i 18-35 abbia un profilo in almeno un Social Network, non si può dire lo stesso di un ultrasessantenne.

Una volta raccolte le informazioni dobbiamo darci un peso, ma come? Come facciamo a definire la qualità di un’informazione? Alla base di tutto ciò c’è la validità della fonte dell’informazione, ad esempio il log di una chat con nomi, date e indirizzi IP può essere abbastanza per un mandato.

È importante notare che, OSINT o no, per qualsiasi informazione raccolta è necessario saper dimostrare la legalità con cui è stata ottenuta.

 

Intelligence cycle

Source: picstopin.com

È il ciclo delle operazioni che si ripetono, le informazioni raccolte vengono analizzate e poi utilizzate per raccoglierne altre ancora. La qualità di questo processo definisce la qualità della ricerca, saper cosa cercare, che strada prendere, definire le risorse, tutto ciò viene definito nell’intelligence cycle.

A volte può capitare che questo ciclo venga interrotto per varie ragioni, ad esempio non riuscire a proseguire in una data direzione che magari pensavamo corretta, ed è per questo che è importante definire ogni passaggio effettuato e annotare ogni singola decisione, ciò ci permette di ricostruire uno storico delle nostre azioni e quindi aiutarci a identificare possibili errori, mancanze o altre possibili vie da percorrere.

 

Fase di rapporto

Solitamente arrivati a questo punto i risultati sono principalmente due: soddisfatto o non soddisfatto. Il secondo caso è ovviamente il peggiore, e può significare che ci siamo posti la domanda sbagliata, o che alcune informazioni hanno inquinato l’indagine sviandola da quello che sarebbe dovuto essere il search plan corretto. Oppure, nel migliore dei casi, l’indagine richiede più tempo del previsto. Dobbiamo anche tener presente che le risorse solo molto costose e un’investigazione non può durare per sempre.