Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Co powie mapa, czyli o otwartych danych w serwisach mapowych [czwartki z OSINTem]
Serwisy mapowe, takie jak chociażby Google Maps, stały się częścią codziennego życia wielu osób. Coraz rzadziej można już usłyszeć spektakularne historie o tym, jak poprowadzony przez nawigację kierowca wjechał do jeziora, bo takie wskazówki otrzymał od swojej aplikacji. Dzisiejsze mapy są na bieżąco aktualizowane, zarówno jeśli chodzi o topografię miast, jak i zobrazowanie satelitarne. Czy jednak możemy im w pełni zaufać?
Nie wszystko, co widzisz, jest prawdziwe
Serwisy mapowe udostępniające zdjęcia satelitarne mogą zostać uznane za najbardziej wiarygodne, bo przecież dużo trudniej jest zmienić coś na zdjęciu niż „dorysować” ulicę tam, gdzie jej nie ma. Jak pokazał jednak swego czasu Benjamin Strick, można odnaleźć miejsca, w wypadku których zdecydowano się na modyfikację zdjęć satelitarnych, aby ukryć przed oczyma ciekawskich obszary wojskowe. Temat dotyczy obiektów zlokalizowanych w Korei Południowej, więc na mapach koreańskiego serwisu Naver w miejscu bazy wojskowej znajduje się las. Jeśli jednak będziemy chcieli obejrzeć ten sam obszar w Google Maps, okaże się, że został on doklejony. Samego procesu sztucznego „zalesiania” terenu nie wykonano ze zbytnią starannością, gdyż tu i ówdzie drzewa wyrastają nagle w połowie ulicy.
Widok jednej z baz w Korei Południowej. Źródło: Twitter
Na mapie koreańskiej ulice zastąpił las. Źródło: Twitter
Przedstawiony powyżej sposób zaciemniania informacji dotyczących obiektów militarnych jest dość unikatowy. Z reguły tego typu miejsca są widoczne w dużo niższej rozdzielczości niż reszta zdjęcia z danego obszaru lub fragmenty zobrazowania są nieostre. Takich przykładów na całym świecie jest wiele i są one w większości związane z terenami jednostek wojskowych lub innymi obiektami albo obszarami ważnymi ze względu na bezpieczeństwo państwa. Można tutaj przywołać chociażby przykład pewnej francuskiej bazy marynarki wojennej. Na mapach Google obraz satelitarny w jej lokalizacji został „zapikselowany” i nie da się obejrzeć, co dokładnie znajduje się na nabrzeżu. Podobnie sprawa wygląda w serwisach Bing Maps i Apple Maps, gdzie obraz jest rozmazany. W Internecie istnieją jednak źródła map satelitarnych, które umożliwiają obejrzenie zabudowań w dość wysokiej rozdzielczości, bez żadnego zamazania ani zapikselowania.
Widok francuskiej bazy marynarki wojennej kolejno w serwisach: Google Maps, Bing Maps i Apple Maps
Niestety (dla instytucji chcących zachować prywatność), mnogość serwisów oferujących tego typu zdjęcia sprawia, iż zawsze istnieje niebezpieczeństwo, że nie na wszystkich z nich możliwe będzie zaciemnienie informacji. Celowo nie pokazuję tutaj widoku opisywanego miejsca w takim serwisie mapowym, chociaż jestem świadomy, że zdobycie tych informacji nie należy do szczególnie trudnych. Taki już jednak jest urok OSINT-u.
W powyższym przykładzie posłużyłem się m.in. mapami Apple, które domyślnie są dostępne tylko na urządzeniach tego producenta. Istnieje jednak kilka sposobów na wyświetlenie map autorstwa tej firmy w przeglądarce – niezależnie od systemu operacyjnego, jakim dysponujemy. Pierwszym z nich jest skorzystanie z wyszukiwarki DuckDuckGo. Po wyszukaniu interesującego miejsca wystarczy kliknąć w link „Mapy” u góry ekranu. Dostępne tam warstwy zdjęć satelitarnych pochodzą właśnie z Apple Maps. Drugim sposobem jest skorzystanie z serwisu satellites.pro, w którym możliwe jest wybranie m.in. tego źródła zobrazowania.
Wracając jeszcze do map południowokoreańskich, okazuje się, że zachodnie serwisy mapowe nie umożliwiają planowania tras dojazdu w tym kraju ze względu na obowiązujące tam przepisy prawa dotyczące prywatności. Pozostaje więc wykorzystanie lokalnych serwisów, które, jak zostało to wcześniej pokazane, także nie oferują prawdziwego i pełnego zestawu informacji. Żeby było jeszcze trudniej, jeśli wybieracie się do tego kraju i planujecie zabrać ze sobą lokalizatory typu AirTag lub Tile, najprawdopodobniej nie zadziałają one tam z powodu tych samych przepisów.
Ograniczenia w Google Street View
Nie tylko Korea mocno ogranicza informacje zawarte na mapach. Bardzo zdecydowane podejście Niemców i Austriaków do swojej prywatności nadal powstrzymuje Google przed zobrazowaniem w Street View większej części tych krajów, niż udało się to wykonać jeszcze zanim ogromna liczba obywateli tych państw zaczęła protestować przeciw upublicznianiu widoków ich ulicy i prosić o zamazanie zdjęć posesji. Niemcy pozostają więc „białą plamą” na mapie Google Street View, co może być pewnym utrudnieniem np. podczas poszukiwań miejsca wykonania zdjęcia lub filmu.
Pokrycie terytorium Niemiec zdjęciami Google Street View jest znacznie mniejsze niż w innych krajach Europy
Chiński pomysł na zabezpieczenie przed dokładną lokalizacją
Chiny z kolei podeszły dość kreatywnie do zobrazowania swojego kraju na mapach satelitarnych: w serwisie Google Maps zobaczymy linie ulic przesunięte o losowe odległości, o 100–700 metrów od ich faktycznego położenia. Chińskie prawo nie pozwala na zbieranie i publikowanie dokładnych danych geograficznych przez osoby i firmy nieposiadające stosownego zezwolenia Chińskiej Republiki Ludowej. W Wikipedii, w tekście dotyczącym projektu OpenStreetMap, można nawet przeczytać, że zgodnie z chińskim prawem wszyscy cudzoziemcy zbierający dane geograficzne bez pozwolenia zostaną dotkliwie ukarani. Ma to mieć związek z potrzebą utrzymania odpowiedniego poziomu bezpieczeństwa kraju i jego obywateli.
Widoczne przesunięcie dróg w stosunku do zdjęć satelitarnych na terytorium Chin
Technicznie rzecz biorąc, przesunięcie na mapach związane jest z wykorzystaniem innych geograficznych systemów odniesienia. Mapy satelitarne są pozycjonowane z zastosowaniem systemu WGS-84, który używany jest także przez urządzenia GPS, natomiast rozkład ulic pozycjonowany jest przy użyciu chińskiego systemu GCJ-02, który nie pokrywa się z WGS-84 i wprowadza przesunięcia. Rozkład ulic wyświetlany w OpenStreetMap jest poprawny jedynie dlatego, że teren został spozycjonowany przy wykorzystaniu nielegalnych odbiorników GPS.
Podsumowanie i rady
Dostępne w Internecie mapy satelitarne umożliwiają rozpoznanie i śledzenie zmian w danym terenie oraz weryfikację informacji pochodzących z innych źródeł. Możliwość uzyskania zdjęć analizowanego obszaru jest pożądana z punktu widzenia osoby wykonującej rozpoznanie, ale jednocześnie niewskazana z punktu widzenia osób odpowiadających za bezpieczeństwo. Dlatego zapewne wyścig pomiędzy tymi, którzy próbują te dane ukryć lub chociażby nieco utrudnić ich szczegółową analizę, a tymi, którzy będą tych danych poszukiwali, będzie trwał nadal. Jak przy każdej analizie pozyskanych informacji, warto jest konfrontować te same dane pochodzące z różnych źródeł, aby uniknąć pomyłki wynikającej z niekompletności lub celowego zafałszowania obrazu.
PS
Czy wiedzieliście, że gdy upuścimy Pegmana (ludzika Google Street View) nad jeziorem Loch Ness, stanie się on zielonym stworkiem, a nad Strefą 51 zmieni się w UFO? :)
Krzysztof Wosiński @SEINT_pl / @SEINT@infosec.exchange
Co tydzień, w czwartki publikujemy nowy tekst autorstwa Krzyśka Wosińskiego. Jeśli nie chcesz przegapić żadnego odcinka, zapisz się poniżej (okazyjnie możemy Ci też podsyłać inne informacje od ekipy sekuraka):
Jako dodatkowy bonus, po zapisaniu się na naszą listę powyżej (oraz potwierdzeniu zapisu – zerknijcie ew. też w spam i w razie potrzeby kliknijcie: to nie jest spam ;-) – otrzymacie też od razu (w kolejnym e-mailu) dobry bonus linków do prezentacji OSINT’owych z Mega Sekurak Hacking Party:
- OSINT – historia prawdziwa #1 autorstwa Tomka Turby. Czyli szukanie uprowadzonej nastolatki.
- OOPSEC – wpadki i wypadki przy zabezpieczaniu danych. Czyli jak (nie) cenzurować zdjęć i dokumentów autorstwa Krzyśka Wosińskiego.
- OSINT – historia prawdziwa #2 autorstwa Tomka Turby. Czyli szukanie uprowadzonego dziecka.
Tylko do końca kwietnia istnieje możliwość zamówienia Pakietu EKSPERT OSINT/OPSEC które obejmuje szkolenia OSINT/OPSEC – narzędzia, techniki śledcze, ochrona przed śledzeniem (2 dni), które odbędzie się w dniach 27-28 kwietnia https://sklep.securitum.pl/osint-opsec-szkolenie
oraz nasze NOWE (26 maja) szkolenie OSINT w praktyce https://sklep.securitum.pl/osint-w-praktyce
Ta wyjątkowa okazja to 3 dni kompleksowej wiedzy z zakresu OSINT/OPSEC oraz oszczędność ponad 1100 złotych netto. Pakiet można zamówić pod tym linkiem: https://sklep.securitum.pl/osint-opsec-szkolenie
Można i porównywać z tradycyjnymi mapami, historycznymi itp. Nagrania z mediów, smartfonów…Benedyktyńska robota, ale jak by sprawa wymagała. A u nas ostatnio publikują gdzie są schrony itp. A jak, co tam bezpieczeństwo…
można też po prostu pobrać zdjęcia satelitarne u źródła i ręcznie je wyrenderować 🙃