Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L07
العمليات والتقصيمتقدم90mL07

OSINT — تشتغل محقق فيدرالي بجد

تلاقي، تتأكد، تسند — وأدوات الناس اللي بتشتغل بجد

#OSINT#Recon#Investigation#Maltego#Sock Puppets

هو OSINT ده إيه أصلاً؟

اللي إنت بتعمله ع Google ولا حاجة جدّية؟

اللي بتعمله Bellingcat لما بيكشفوا قاتل في سوريا من صورة ظل، ده نفس اللي إنت بتعمله لما بتدوّر على إيميل صاحبتك القديمة؟

الـ FBI analyst اللي قاعد يحلّل APT operator، شغله في Maltego ده "بحث على Google" برضه؟

بُص. الإجابة: لا، آه، وآه. الفرق مش في الأدوات — الفرق في العقلية.

تشبيه — شرح مبسط
OSINT مش جاسوس بكاميرا في فيلم. OSINT هو المخبر القديم اللي قاعد على القهوة. عينه على كل اللي بيعدي. بياخد باله من اللافتة، من الإعلان، من الكلمة اللي اتقالت بصوت عالي. مش بيكسر باب. مش بيطلب أوراق. بس آخر اليوم، عارف كل اللي محتاج يعرفه. الفرق بينه وبينك إنه بيشك في كل حاجة، وبيدوّن كل حاجة، وبيربط الحاجات ببعض.

OSINT (Open-Source Intelligence) = جمع منظّم لمعلومات متاحة للعامة: مواقع، شبكات اجتماعية، سجلات شركات، DNS، صور أقمار صناعية، تسريبات بيانات منشورة.

أي Red Team بيعمل recon، أي threat intel analyst شغّال على incident، أي محقق فيدرالي بيتابع actor — بيبدأ من هنا. مفيش غنى عنه.

السيناريو: APT operator سرّب إيميل، اعمل إيه؟

تعالى نمشي على حالة. وصلك إيميل تسريب: shadow_op_42@protonmail.com. التسريب بيقول إن صاحب الإيميل ده عنصر في مجموعة بتستهدف بنية تحتية حكومية. مفيش حاجة تانية. ابدأ منين؟

ما تيجيش تفتح Google وتكتب الإيميل وتضغط Enter. ده شغل عيال صغيرة. اشتغل بعقلية المخبر.

دورة حياة OSINT — خمس مراحل

الأكاديميين عاملين ليها أسامي رنانة. أنا هقولهالك بالبلدي.

01
Direction — إنت بتدوّر على إيه؟
ابدأ بسؤال محدّد. "اعرف كل حاجة عن الـ operator" سؤال عك. "إيه الـ aliases التانية اللي بيستخدمها shadow_op_42؟ في أي forums؟ من امتى؟" — ده سؤال شاطر. لو السؤال مش محدّد، الإجابة هتبقى ضوضا.
02
Collection — اجمع الـ raw
Sherlock بيدوّر الـ username عبر 400+ موقع. Hunter.io بيشوف الإيميل اتنشر فين. Dehashed بيقولك التسريبات اللي فيها الإيميل ده. Wayback بيوريك حسابات قديمة اتشالت. اجمع كل حاجة. ما تفلتر هنا — هتفلتر بعدين.
03
Processing — نضّف الزبالة
صورة LinkedIn مش دليل. اسم متشابه مش نفس الشخص. اتأكد من المصدر، من التاريخ، من السياق. فلترة الضوضا أهم من إنك تكتر منها. الـ junior بيجمع 5000 حاجة، الـ senior بيرمي 4900 ويبقى فاضل عنده 100 موثوقة.
04
Analysis — اربط القطع
shadow_op_42 بيستخدم نفس الـ username على XSS forum من 2019. هناك بيتكلم روسي. بس في commit واحد على GitHub قديم بيستخدم نفس الإيميل، فيه typo بيقول "habibi" — مش راجل من موسكو يا حبيبي. كده إنت بتبني صورة.
05
Dissemination — وصّلها لمين بيحتاجها
التقرير اللي ما حدش قراه = ما اتكتبش. اعرف عميلك. الـ SOC analyst عايز IOCs. الـ executive عايز bullet points. الـ prosecutor عايز chain of custody.

تصنيف المصادر — INTs الخمسة

الناس بتسمع الكلمات دي وتجري. بُص، الموضوع بسيط:

  • HUMINT (Human Intelligence) — معلومات من بشر. مقابلات، forums، قنوات Telegram. مثال: تحليل بوستات Conti اللي اتسرّبت من العضو المتخاصم في 2022 — كله HUMINT من leaked chats.
  • SIGINT (Signals Intelligence) — اعتراض اتصالات. في الـ open source: passive DNS، BGP feeds، شهادات TLS من crt.sh.
  • IMINT (Imagery Intelligence) — صور أقمار صناعية. مثال: Bellingcat استخدمت Sentinel-2 و Maxar عشان يثبتوا تحرّكات روسية في 2022 قبل ما الحرب تبدأ.
  • SOCMINT (Social Media Intelligence) — Twitter, LinkedIn, Telegram, Discord. الـ APT operators بيعملوا OPSEC ممتاز في الـ malware، وبيكتبوا اسمهم الحقيقي على Twitter. حقيقة.
  • GEOINT (Geospatial Intelligence) — موقع جغرافي. EXIF في الصور، سحاب في الخلفية، ظل عمارة، لافتة شارع. الـ Bellingcat geolocation challenges أحسن مدرسة.
بصمة البنية التحتية
  • WHOIS / RDAP — مالك النطاق
  • crt.sh — شهادات TLS و subdomains
  • Shodan / Censys — أجهزة وخدمات مكشوفة
  • SecurityTrails / DNSdumpster — تاريخ DNS
  • Wayback Machine — نسخ صفحات قديمة
OSINT بشري (HUMINT)
  • LinkedIn — الهيكل التنظيمي والتقنيات
  • GitHub — كود مسرّب، secrets، أسامي المطوّرين
  • Telegram / Discord — قنوات مقفولة
  • EXIF في الصور — موقع وكاميرا ووقت
  • قواعد التسريبات (HIBP, DeHashed) — باسوردات قديمة

الأدوات — متى تستخدم كل واحدة

الواقع vs المفروض: المفروض إنك تعرف كل أداة. الواقع، إنت محتاج تعرف امتى تستخدم كل واحدة. الفرق كبير.

  • Maltego — لما الـ entities كتير وعايز ترسم الـ graph. ممتاز للـ attribution. مش ممتاز للسرعة.
  • Spiderfoot — automation كامل. بتدّيله target، بيرجعلك تقرير. كويس للـ scoping السريع، ضعيف في الـ depth.
  • Sherlock — username عبر 400 موقع. أداتك الأولى لما يبقى عندك alias.
  • Hunter.io — لما عايز إيميلات موظفي شركة. بدون ما تحرق نفسك.
  • dehashed / HIBP — التسريبات. بس انتبه — في دول استخدامها مش قانوني من غير warrant.
  • Shodan — أي حاجة فيها IP. الـ banner بيقولك حاجات الـ vendor نفسه نسي يخفيها.
  • theHarvester — جمع سريع لإيميلات و subdomains من passive sources. كويس كنقطة بداية.

أدوات يومية

bash
# اكتشاف subdomains
subfinder -d target.gov -all -silent | tee subs.txt
amass enum -passive -d target.gov

# شهادات TLS من crt.sh
curl -s "https://crt.sh/?q=target.gov&output=json" | jq -r '.[].name_value' | sort -u

# WHOIS و reverse-IP
whois target.gov
curl -s "https://api.hackertarget.com/reverseiplookup/?q=$(dig +short target.gov | head -1)"

# Wayback URLs
curl -s "https://web.archive.org/cdx/search/cdx?url=target.gov/*&output=text&fl=original&collapse=urlkey"
$ subfinder -d target.gov -silent
api.target.gov mail.target.gov portal.target.gov dev.target.gov old-staging.target.gov
$ shodan host 198.51.100.42
Hostnames: portal.target.gov Ports: 22, 80, 443, 8080 Services: OpenSSH 7.6, nginx 1.18 Vulns: CVE-2023-XXXX (medium)

OSINT للإسناد — من فعل ماذا؟

لما بتشرّح حملة هجومية، الـ OSINT هو اللي بيحوّل "هاكر مجهول" لـ "مجموعة في منطقة زمنية معيّنة، مستخدمة نفس الـ infrastructure من حملة سابقة، واسمها ظهر في commit على GitHub".

وده أصعب شغل في الـ field كله.

مؤشرات إسناد قوية
  • إعادة استخدام الـ infrastructure (نفس IP، نفس registrar، نفس SSL fingerprint)
  • غلطات OPSEC — نسي يفتح VPN، فظهر IP حقيقي في log واحد
  • أنماط لغوية في الـ malware (تعليقات، أخطاء إملائية، توقيت الـ compile)
  • إعادة استخدام usernames أو email aliases عبر خدمات مختلفة
الإسناد بيحرق ناس كتير — اوعى تكون منهم

قصة حقيقية. في 2017 حصل هجوم على Olympic Destroyer (PyeongChang Olympics). كل المؤشرات في أول يوم كانت بتقول روسيا. lazarus كمان دخلت في القايمة. كل التحليلات الأولية ربطت الموضوع بـ Fancy Bear.

طلع المهاجمين كانوا حاطين false flags عن قصد. عاملين الكود كأنه شغل لازاروس الكوري. الـ timestamps متظبّطة على Pyongyang. الـ comments بكوري.

كل اللي اتسرّع وقال "روسيا" أو "كوريا الشمالية" في أول يوم، اتحرق.

الـ junior بيشوف IP روسي، يقول "روسيا". الـ senior بيقول "ممكن، بس ليه IP روسي مكشوف؟ ده شغل junior ولا false flag؟"

غلطة الـ attribution ممكن تجيب حرب. بُص. ما تستعجلش.

القانون — للـ federal analyst تحديداً

إنت داخل على الـ federal SOC. قبل ما تكتب أمر واحد، اعرف:

  • الـ OSINT في حد ذاته قانوني — قراية مواقع عامة، WHOIS، Shodan، crt.sh، LinkedIn — كل ده مفيش فيه مشكلة.
  • تعدية access controls = جريمة تحت 18 U.S.C. § 1030 (CFAA). حتى لو الـ login form ضعيف. حتى لو الباسورد "admin/admin". إنت لو دخلت من غير authorization، إنت مخالف.
  • Breach corpora (HIBP, DeHashed, COMB) — استخدامها للأبحاث الـ defensive عادي. بس الـ federal analyst محتاج warrant أو exigent circumstances قبل ما يستخدم credentials منها لـ pivot على حساب فعلي.
  • Sock puppets في جروبات مقفولة — لو الجروب فيه expectation of privacy، إنت محتاج warrant. الـ Fourth Amendment مش بيختفي لأنك على Telegram.
  • الـ FISA Section 702 بيحكم كل اللي بيتجمع على non-US persons. والـ Section 215 بيحكم metadata. اعرف الفرق قبل ما تجمع حاجة.
القاعدة الذهبية
لو في شك، اتكلم مع الـ legal counsel بتاع الوكالة قبل ما تجمع. مش بعد. الـ evidence اللي اتجمعت غلط بترميها المحكمة، والقضية بتطير. الـ prosecutor مش هيرحمك.
الحماية — قلّل بصمتك في OSINT
  • راقب اللي بيطلع عن مؤسستك على crt.sh و Shodan أسبوعياً (digital footprint monitoring)
  • شيل metadata من الصور و PDF قبل النشر
  • سياسة GitHub: كل repo يتسكن بـ TruffleHog قبل ما يبقى public
  • درّب الموظفين على اللي ما يتحطش على LinkedIn (الـ stack الداخلي مثلاً)

الخلاصة الناشفة

OSINT مش كلمة مفتاح في Google.

هي عقلية شك منظّمة.

اللي بيشتغل بيها صح، بيشوف اللي مش شايفه التانيين. اللي بيستعجل، بيغلط في الـ attribution، وبيوقّع نفسه في مشاكل قانونية، وبيحرق القضية.

اوعى تستعجل على الإسناد. اشتغل بهدوء. شك في كل حاجة. وثّق كل خطوة.

مصادر

  • OSINT Framework — osintframework.com
  • Bellingcat Online Investigation Toolkit
  • SANS SEC487 / SEC587 — OSINT analysis
  • MITRE ATT&CK — Reconnaissance (TA0043)
السابق
Recon — قبل ما تكتب أول أمر
الوحدة التالية
Scanning بدون ما الـ SOC يشوفك