Bezpieczeństwo

OSINT z własną konferencją

Michał Rosiak

26 marca 2026

OSINT - inaczej Open Source INTelligence. Pod tą tajemniczo brzmiącą nazwą tkwi pozyskiwanie danych z otwartych źródeł, czyli tzw. Biały Wywiad. Kiedyś - aktywność kojarzona raczej z wywiadem gospodarczym. Szerszą popularność zyskała dzięki grupie Bellingcat, wykorzystującej OSINT w wyszukiwaniu sprawców zbrodni wojennych. Na co dzień natomiast źli ludzie używają jej do rozpoznania potencjalnych ofiar phishingu, dobrzy zaś - m.in. do poszukiwania tą drogą sieciowych przestępców.

Warszawska impreza to póki co jedna z niewielu konferencji na świecie poświęconych stricte OSINT-owi. W jej agendzie pojawiło się z grubsza pół na pół prelegentów angielsko- i polskojęzycznych, a zaczynała jedna ze światowych gwiazd w tej materii, szef popularnej wśród europejskich organów ścigania platformy OSINT Industries. Jak przystało na start, temat był wyjątkowo ciekawy, a dotyczył tego, jak OSINT-owcy wyśledzili członków bazującego w Irlandii międzynarodowego syndykatu przestępczego. Czasem wystarczy, by figurant użył swojego maila w ogólnodostępnym serwisie, po czym okazało się, że nick, który tam wykorzystał, da się znaleźć w Mapach Google. W tych samych mapach, w których... radośnie recenzował restauracje. Niestety - w Dubaju, który nieprzesadnie ochoczo wysyła przestępców do rodzinnych krajów. Nie mamy pewności? To przejrzymy zdjęcia z tych restauracji. O, niespodzianka! O ile ktoś, kto wygląda jak nasz figurant siedzi tyłem, to obok niego widzimy dżentelmena, który bez wątpienia jest jego również poszukiwanym przez DEA synem!

OSINT i HumInt w jednym stały domu

Nie będę rzecz jasna opisywał całej imprezy, bo z jednej strony - nie o to chodzi, a z drugiej - tak sobie myślę, że o ile żadna prezentacja nie była oznaczona jako "no media", to mam wrażenie, że większość prelegentów niekoniecznie chciałaby głośno mówić o tym, co pojawiało się na ekranach OSINT Shadows. Marcin Maj, na prowadzonym przez którego szkoleniu spędziłem dwa pełne wiedzy dni, trochę odromantyzował robotę OSINTowca. Choć w sumie takie sprowadzenie na ziemię niektórym mogłoby się przydać. To fajna robota, czasami też ją wykorzystuję wyszukując źródła kampanii phishingowych, czy też szukając dowodów, że fałszywe sklepy faktycznie są fałszywe, ale do geniuszy z Bellingcata nie śmiem się porównywać.

AI to zło? A gdzie tam, do OSINT-u całkiem się nadaje, czego dowiódł twórca legendarnej aplikacji Maltego, dr Leonida Reitano. Słuchając ppłk dra Tomasza Gołębiowskiego z Dowództwa Operacyjnego Rodzajów Sił Zbrojnych czułem się jak na kartach szpiegowskiej powieści, gdy opowiadał o procedurach wypytywania w oparciu o kognitywny model Johna Buckleya. Podobnie jak Tomasz Broniś - były oficer Agencji Wywiadu, a obecnie prywatny detektyw. Jego "konikiem" był HumInt (human intelligence, wywiad osobowy/ludzi), a w trakcie zarówno prezentacji jak i późniejszego półtoragodzinnego warsztatu sypał zanonimizowanymi opowieściami z dawnej roboty. Dla mnie najlepszą prezentację pokazał tryskający charyzmą Robert "ProXy" Kruczek, który opowiadał o losach fizycznego pentestera-socjotechnika i m.in. tym, jak spokojną, wyważoną gadką załatwił wpuszczenie obcego faceta (czyli siebie) bez opieki do serwerowni atakowanej firmy.

Pierwszy i oby nie ostatni raz

9 godzin konferencji minęło jak z bicza strzelił. Sporo się nauczyłem, zrobiłem sporo zdjęć, zanotowałem informacje, nazwy i adresy wielu ciekawych narzędzi, które mi się w przyszłości przydadzą. W sytuacji, gdy tak wiele z naszego życia dzieje się w sieci, dla ludzi z Jasnej Strony Mocy wiedza dotycząca OSINT będzie coraz istotniejsza. Trzeba jednak pamiętać, że to działa w obie strony. Nie tylko źli ludzie zostawiają w sieci cyfrowe ślady. My też - dlatego jeśli szukamy przestępców, my też musimy na siebie uważać. Gdy podczas swojego warsztatu Piotr Oleksiak z Osintowni mówił, jak bardzo trzeba uważać, myślałem, że przesadza. Gdy jednak zdał obecnym sprawę z tego, że przykładowo poważny dealer narkotyków czując nasz oddech na plecach nie ma nic do stracenia... Cóż, mnie też zrobiło się gorąco. Potwierdzić, że rzekomy sklep nie istnieje, to jedno. Przeszkodzić komuś w milionowym biznesie i zostawić po sobie ślad? Faktycznie, trzeba bardzo uważać.

To był dobrze spędzony dzień. Mnóstwo wartościowej wiedzy. Wielu ludzi, którzy chętnie się nią dzielili. Gdy wspominany Piotr Oleksiak zapytał: "Kto robi w OSINT-cie?" - ręce podniosło kilka osób. Coś czuję, że gdy/jeśli spotkamy się za rok, będzie nas dużo więcej.

Please prove you are human by selecting the house.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.