Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L72
العمليات والتقصيمتقدم90mL72

الاستخبارات من المصادر المفتوحة (OSINT)

البحث، التحقق، الإسناد، وأدوات المحقق الفيدرالي

#OSINT#Recon#Investigation#Maltego#Sock Puppets

ما هو OSINT ولماذا يهم محقق فيدرالي؟

تشبيه — شرح مبسط
تخيل أنك تبحث عن شخص في مدينة كبيرة. لا تستطيع كسر الأبواب أو طلب وثائق، لكن يمكنك أن تقرأ لافتاته، تتابع نشاطه على لوحة الإعلانات، وتجمع كل ما يقوله بصوت عالٍ في مكان عام. هذا هو OSINT — جمع المعلومات من مصادر مفتوحة بشكل قانوني، ثم تحويل القطع المتفرقة إلى صورة قابلة للاستخدام في تحقيق.

OSINT (Open-Source Intelligence) هو الجمع المنظم للمعلومات المتاحة علناً: مواقع، شبكات اجتماعية، سجلات الشركات، نطاقات DNS، صور الأقمار الصناعية، تسريبات بيانات منشورة. كل ما يفعله محقق Red Team أو محلل تهديدات في مرحلة الاستطلاع يبدأ من هنا.

دورة حياة OSINT — أربع مراحل

01
التخطيط (Planning)
ابدأ بسؤال محدد. "اعرف كل شيء عن الشركة" سؤال سيئ. "ما هي عناوين IP العامة لـ target.gov ومن يدير DNS؟" سؤال جيد.
02
الجمع (Collection)
اجمع البيانات الخام: subdomains، WHOIS، شهادات TLS، حسابات اجتماعية، صور EXIF، سجلات GitHub.
03
المعالجة والتحقق (Processing)
نظف البيانات، تأكد من المصدر. صورة شخصية على LinkedIn ≠ دليل. فلترة الضوضاء أهم من جمعها.
04
التحليل والإسناد (Analysis)
اربط القطع. شخص A يستخدم نفس username في 4 مواقع، يعمل في الشركة X، ظهر في صورة EXIF موقعها بمدينة Y.

فئات المصادر الأساسية

بصمة البنية التحتية
  • WHOIS / RDAP — مالك النطاق
  • crt.sh — شهادات TLS و subdomains
  • Shodan / Censys — أجهزة وخدمات مكشوفة
  • SecurityTrails / DNSdumpster — تاريخ DNS
  • Wayback Machine — نسخ الصفحات القديمة
OSINT بشري (HUMINT)
  • LinkedIn — هيكل الشركة، التقنيات
  • GitHub — كود مسرّب، asecrets، أسماء المطورين
  • Telegram / Discord — قنوات مغلقة
  • صور EXIF — موقع، كاميرا، وقت
  • سجلات تسريبات (HIBP, DeHashed) — كلمات مرور قديمة

أدوات يومية

bash
# اكتشاف subdomains
subfinder -d target.gov -all -silent | tee subs.txt
amass enum -passive -d target.gov

# شهادات TLS من crt.sh
curl -s "https://crt.sh/?q=target.gov&output=json" | jq -r '.[].name_value' | sort -u

# WHOIS و reverse-IP
whois target.gov
curl -s "https://api.hackertarget.com/reverseiplookup/?q=$(dig +short target.gov | head -1)"

# Wayback URLs
curl -s "https://web.archive.org/cdx/search/cdx?url=target.gov/*&output=text&fl=original&collapse=urlkey"
$ subfinder -d target.gov -silent
api.target.gov mail.target.gov portal.target.gov dev.target.gov old-staging.target.gov
$ shodan host 198.51.100.42
Hostnames: portal.target.gov Ports: 22, 80, 443, 8080 Services: OpenSSH 7.6, nginx 1.18 Vulns: CVE-2023-XXXX (medium)

OSINT للإسناد — من فعل ماذا؟

عند تحليل حملة هجومية، OSINT هو ما يحول "هاكر مجهول" إلى "مجموعة في منطقة زمنية محددة، تستخدم نفس البنية التحتية في حملة سابقة، يكتب اسمها في commits على GitHub". هذا أصعب جزء.

مؤشرات إسناد قوية
  • إعادة استخدام الـ infrastructure (نفس IP، نفس registrar، نفس SSL fingerprint)
  • أخطاء OPSEC (نسي VPN، ظهر IP حقيقي في log واحد)
  • أنماط لغوية في المالوير (تعليقات، أخطاء إملائية، توقيت compile)
  • إعادة استخدام usernames أو email aliases
حدود قانونية
OSINT قانوني، لكن خطوات مثل تجاوز حواجز الدخول، إنشاء حسابات مزيفة لاختراق مجموعات خاصة، أو الوصول إلى بيانات مسرّبة قد لا تكون قانونية في كل ولاية. اعمل دائماً ضمن authorization مكتوب وراجع 18 U.S.C. § 1030 ومراسيم الوكالة قبل أي اختبار.
الدفاع — تقليل بصمة OSINT
  • راقب ما يظهر عن منظمتك في crt.sh و Shodan أسبوعياً (digital footprint monitoring)
  • منع تسريب metadata في الصور و PDF قبل النشر
  • سياسة GitHub: scan كل repo بـ TruffleHog قبل الجعل public
  • درّب الموظفين على ما لا يجب نشره على LinkedIn (مكدس تقنيات داخلي مثلاً)

مصادر

  • OSINT Framework — osintframework.com
  • Bellingcat Online Investigation Toolkit
  • SANS SEC487 / SEC587 — OSINT analysis
  • MITRE ATT&CK — Reconnaissance (TA0043)
السابق
أمن Angular — Sanitizer و Template Injection
التالي
تصعيد الصلاحيات على Linux