Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Analiza czasowa z wykorzystaniem (nieco) ukrytych danych [Czwartki z OSINTem]
W poprzedniej części cyklu „Czwartki z OSINT-em” pisałem o weryfikacji zdarzeń na podstawie zmian widocznych na zdjęciach satelitarnych. Czasami jednak serwisy mapowe nie podają informacji na temat czasu wykonania zdjęcia. Jak wtedy stwierdzić, z jakiego momentu ono pochodzi? Na szczęście jest na to sposób. Wymaga wprawdzie zagłębienia się nieco w zagadnienia techniczne (a konkretnie w narzędzia programistyczne w przeglądarce), jednak kiedy już opanujemy tę technikę, będziemy mogli weryfikować nie tylko datę wykonania zdjęcia, ale także inne aspekty czasowe w mediach społecznościowych, jak chociażby moment opublikowania multimediów.
Jednym z serwisów, które nie udostępniają wprost informacji o czasie wykonania zdjęcia, jest Bing Maps. To bliźniacza wersja map Google prezentująca mapy drogowe i satelitarne (zwane tutaj lotniczymi). Dla wybranych miejsc na Ziemi udostępnia także widok z lotu ptaka, jednak nie są to zdjęcia w pełnym 3D, tak jak w Google, gdzie mamy możliwość zmieniania kąta nachylenia widoku i kierunku, w którym jest on zorientowany. Dają one za to pewne złudzenie widoku trójwymiarowego poprzez prezentację zdjęć wykonanych pod mniejszym kątem niż zdjęcia lotnicze i możliwość wyboru jednego z czterech ujęć – po jednym dla każdego kierunku geograficznego. Aby nie było zbyt prosto i intuicyjnie, tryb ten włącza się nie z menu w prawym górnym rogu, jak pozostałe opcje tej mapy, ale z menu kontekstowego, dostępnego po naciśnięciu prawego przycisku myszy na mapie. Jak wspomniałem, nie dla każdego miejsca dostępny jest widok z lotu ptaka – w Europie ta usługa ogranicza się jedynie do większych miast.
Weryfikacji, z jakiego okresu pochodzą zdjęcia lotnicze i te z lotu ptaka, można dokonać przez analizę nagłówków odpowiedzi dla pojedynczego kafelka mapy. W celu ich odczytania należy otworzyć stronę map Bing i przejść do jednego ze wspomnianych widoków, a następnie otworzyć narzędzia deweloperskie (DevTools) przez naciśnięcie klawisza F12. Zwiększając przybliżenie widoku mapowego lub przesuwając go, można zauważyć w zakładce Sieć (lub Network, w wersji anglojęzycznej) żądania pochodzące z adresów kończących się na dynamic.tiles.virtualearth.net i posiadające typ jpeg. Jeśli ustawimy kursor myszy nad takim żądaniem, powinniśmy zobaczyć podgląd kafelka mapy, który został przesłany w odpowiedzi na to żądanie. Po zaznaczeniu wpisu na liście żądań w oknie poniżej lub po prawej stronie (w zależności, czy panel DevTools mamy ustawiony pionowo czy poziomo) wyświetlają się dodatkowe związane z nim informacje (na przykład nagłówki). Interesującym nas nagłówkiem będzie x-ve-tilemeta-capturedatesrange, pokazujący, jak sama nazwa wskazuje, zakres dat, z których pochodzi dany wycinek. Dodatkowo potwierdza to nagłówek x-ve-tilemeta-capturedatemaxyymm – tutaj data sformatowania jest zgodna z opisem zawartym w nazwie: yymm, czyli dwie cyfry roku i dwie cyfry miesiąca. Dla przykładu z prezentowanego zrzutu ekranu będzie to sierpień 2019 roku.
Widok narzędzi deweloperskich z zaznaczonym żądaniem dla pojedynczego kafelka mapy i nagłówkami, zawierającymi zakres dat wykonania zdjęcia.
Podobną technikę, jednak w zupełnie innym serwisie, zastosował belgijski dziennikarz, Brecht Castel, podczas weryfikacji fake newsa dotyczącego domniemanych skutków szczepionki Pfizer. Widoczny na rozpowszechnianym w mediach społecznościowych filmie wijący się w ludzkim oku robak miał być dowodem na istnienie grupy, która za cel stawia sobie przejęcie kontroli nad światem przy pomocy szczepionek. Po nitce do kłębka, poprzez analizę poszczególnych klatek filmu, dziennikarz dociera do kolejnych, wcześniejszych tweetów i filmików na TikToku udostępniających tego newsa. W końcu trafia na ten sam materiał wideo, ale w zupełnie innym kontekście.
Jak jednak stwierdzić, kto pierwszy umieścił go w Internecie?
W tym celu pomocna okazuje się właśnie analiza kodu strony z wyświetlonym filmem na TikToku. Dla pewności, że znajdujemy się na stronie wyłącznie z naszym materiałem wideo do analizy, najlepiej kliknąć w wyświetlany film. Za pomocą klawisza F12 (lub przez opcje przeglądarki) otwieramy DevTools i tym razem w zakładce Inspektor (lub Elementy w przeglądarkach Chrome i Edge), czyli de facto w kodzie źródłowym strony, szukamy ciągu createTime. Będzie on wskazywał bardzo precyzyjnie datę utworzenia wpisu i będzie miał format tzw. uniksowego timestampa, który omawiałem już w jednym z poprzednich artykułów. Jeśli wyfiltrowanie tego ciągu znaków będzie kłopotliwe w realizacji, można wyświetlić kod strony w osobnej zakładce przy użyciu opcji Pokaż źródło strony i tam go wyszukać.
Miejsce, w którym znajduje się timestamp pokazujący moment wgrania filmu na TikToka
Po jego zamianie na datę bardziej przyjazną człowiekowi (na przykład przy użyciu serwisu EpochConverter) możemy jednoznaczne stwierdzić, kiedy wpis został utworzony. To ustalenie umożliwiło Castelowi z kolei weryfikację, kto pierwszy opublikował film, a więc kto tak naprawdę jest jego autorem. Link do konta na TikToku, na którym po raz pierwszy opublikowano film z robakiem w oku, widoczny na screenach w śledztwie Castela, już nie działa, gdyż konto ma aktualnie przypisaną inną nazwę użytkownika. Możemy jednak potwierdzić, że jest to to samo konto, które analizował Brecht Castel, przez wyszukanie widocznej na jego screenach nazwy użytkownika w wyszukiwarce Google. W jednym z wyników, który odnosi się do innego filmu na TikToku, bazującego na poszukiwanym przez nas materiale, widać link do profilu autora oryginalnego filmu. Jednak po kliknięciu w link jesteśmy przenoszeni do profilu o nowej nazwie. Wygląda na to, że po zmianie nazwy użytkownika na TikToku linki do profilu utworzone wcześniej nadal mają w opisie pierwotną nazwę konta, ale adres URL jest podmieniony na nowy, co daje nam możliwość znalezienia konta o nowej nazwie.
Przy okazji analizy tego tematu natknąłem się na jeszcze jedną ciekawą właściwość TikToka. Nie jest ważne, jaką nazwę użytkownika wpiszemy w adresie konkretnego filmu, ważny jest jedynie identyfikator klipu wideo. Jest to zatem druga metoda na dotarcie do nowego profilu danej osoby: po wpisaniu adresu konkretnego filmu TikTok przekierowuje na adres wskazujący aktualną nazwę konta. Możecie to sprawdzić sami, wyświetlając dowolny film na TikToku i zmieniając nazwę występującą po znaku @, ale przed znakiem /. Pomimo zmian w nazwie użytkownika zawsze jesteście przenoszeni do właściwego filmu.
Opis linku do profilu (zaznaczony na czerwono) zawiera starą nazwę użytkownika, ale prowadzi już do nowego konta, ze zmienioną nazwą
Po analizie źródłowego materiału filmowego i konsultacji z ekspertem od pasożytów okazało się, że obecność takiego dziwnego organizmu w ludzkim oku nie jest związana ze szczepionką, a z najzwyklejszym pasożytem, naturalnie występującym w Afryce. Dodatkowym elementem weryfikacji było znalezienie map obrazujących występowanie owego pasożyta na świecie i potwierdzenie związku pomiędzy wskazanymi tam obszarami a miejscem zamieszkania autora filmu. Zainteresowanych szczegółami tego tematu zachęcam do obejrzenia filmiku belgijskiego badacza na YouTube, w który przedstawia poszczególne etapy weryfikacji tego fake newsa.
Po raz kolejny dzięki analizie kodu źródłowego stron serwisów w Internecie możliwe było wskazanie czasu, z którego pochodzą publikowane tam media. Taka umiejętność w epoce dezinformacji i zalewających nas zewsząd fake newsów jest niezmiernie przydatna. Wskazane tutaj przykłady to tylko mały wycinek serwisów, które można analizować pod tym kątem. Pobieranie danych z TikToka i innych portali to zagadnienie, które krok po kroku omawiam też na szkoleniu OSINT master #1. Zachęcam również do samodzielnych prób wyszukiwania podobnych danych na innych stronach internetowych.
OSINT case 06 – podsumowanie i rady:
- Wiele serwisów internetowych zamieszcza informacje o dacie utworzenia obrazu lub filmu, jednak nie publikuje ich wprost. Niekiedy konieczne jest samodzielne wyszukanie takich informacji w kodzie lub w nagłówkach przesyłanych przez strony.
- Każdą znalezioną informację należy dodatkowo zweryfikować z innymi dostępnymi źródłami lub – w przypadku bardzo konkretnych i nieznanych nam dziedzin – skonsultować z ekspertem w danym temacie.
- Przeglądarki dają coraz większe możliwości analizy przesyłanych danych – od kodu źródłowego strony przez rodzaje odbieranych danych i ich źródło aż po nagłówki zapytań oraz odpowiedzi.
Krzysztof Wosiński @SEINT_pl
Kolejna dawna OSINT-owych tricków. Artykuł fajnie się czyta, a jeszcze fajniej testuje się wskazówki, dzięki :)