Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Mastodon – OSINT-owa analiza coraz popularniejszej alternatywy dla Twittera [OSINT hints]
Od kiedy Twitter został kupiony przez Elona Muska, coraz więcej osób wieszczy jego szybki koniec albo co najmniej ogromną utratę wartości, zaufania i interesujących informacji. Niezależnie od tego, czy jest to prawdą, czy nie, na sile przybrała tendencja do zakładania bądź odświeżania kont na alternatywnych mediach społecznościowych. Jednym z nich jest Mastodon – platforma na pierwszy rzut oka bardzo przypominająca Twittera. Zerknijmy więc na nią z OSINT-owego punktu widzenia.
Czym jest Mastodon?
Mastodon to sieć rozproszonych serwerów (tzw. instancji), które razem tworzą wspólną platformę, przypominającą nieco wczesnego Twittera. Każdy może uruchomić swój węzeł z oprogramowaniem Mastodon i dołączyć do sieci, dzięki czemu możliwe jest komunikowanie się pomiędzy serwerami, co jest podstawą tzw. fediversum (ang. fediverse – od złożenia słów „federation” i „universe”). Właśnie idea zdecentralizowanej sieci społecznościowej może być na nieco myląca dla osób, które przyzwyczajone są do takich serwisów jak Twitter, Facebook czy Instagram. Najprościej rzecz ujmując, sieć instancji Mastodon można przyrównać do serwerów mailowych, które pomimo różnych domen i właścicieli stanowią sieć umożliwiającą komunikację pomiędzy nimi. Główną instancją jest mastodon.social, na której aktualnie nie można się już rejestrować, gdyż dotarł on już do krańca swoich możliwości. Twórcy udostępnili jednak kolejny serwer – mastodon.online, który obecnie umożliwia natychmiastowe założenie i aktywowanie konta. A nie jest to takie oczywiste, jak mogłoby się wydawać, gdyż niektóre instancje umożliwiają zakładanie kont, jednak proces aktywacji wykonywany jest ręcznie przez administratorów. Na chwilę obecną istnieją jeszcze dość duże wątpliwości co do idei działania samej platformy, gdyż zgodnie z zasadami tam panującymi wspomnienie kogoś w prywatnej rozmowie dołącza ową osobę do czatu, a wiadomości są przechowywane bez jakiegokolwiek szyfrowania, co pozwala administratorom serwera na łatwy dostęp do nich.
Zagłębiając się nieco bardziej w portal Mastodon, musimy przyswoić nieco zmienioną nomenklaturę w stosunku do Twittera. Wpisy określane są mianem „toot”, zamiast retweetowania jest podbijanie (ang. boost), a zamiast polubienia (ikona z serduszkiem na Twitterze) mamy dodanie do ulubionych i ikonę gwiazdki.
Interfejs Mastodona na pierwszy rzut oka bardzo przypomina Twittera.
Spójrzmy jednak na ten portal nie od strony funkcjonalnej, a od strony możliwości analizy w ramach OSINT-u. Mnogość serwerów oznacza, że równie liczne mogą być konta użytkowników o tej samej nazwie, podobnie jak można mieć taki sam login w poczcie np. na Gmailu i na outlook.com. Jeśli więc zależy nam na konkretnej nazwie, musimy poszukać serwera, na którym dany login nie będzie jeszcze zajęty. Jako ciekawostkę można dodać, że swój własny serwer ma na przykład niemiecka administracja rządowa.
Z punktu widzenia OSINT-u jest to pewne utrudnienie, gdyż w celu odszukania osoby o danym pseudonimie musimy przeanalizować wszystkie serwery. Pomocą w tym zakresie może być narzędzie autorstwa OSINT Tactical – Masto, które pomaga wyszukać użytkownika o danym loginie na różnych instancjach lepiej, niż to robi wbudowana wyszukiwarka w Mastodon.
Przykładowe wyszukiwanie w narzędziu Masto.
Jedną z instancji można także aktualnie przeszukiwać za pomocą narzędzia whatsmyname.app, służącego do znajdowania profili w różnych portalach społecznościowych. Można oczywiście też użyć wyszukiwarki, poszukując adresów na różnych serwerach Mastodon ze znakiem „@”, który jest zawsze umieszczany w adresie profilu przed pseudonimem, np. https://mastodon.online/@SEINT.
W trakcie prac nad artykułem powstało jeszcze jedno narzędzie – imagstodon, które stworzyłem, aby móc wyszukiwać obrazki profilowe za pomocą zapytań do różnych instancji Mastodona.
Należy pamiętać, że konto o takim samym loginie, ale na różnych instancjach, wcale nie musi należeć do tej samej osoby. Może wystąpić także sytuacja, że pomimo wizualnej zgodności kont pomiędzy instancjami, jedno lub więcej z nich będzie podszywało się pod prawdziwego właściciela. Administratorzy starają się jednak wyłapywać tego typu sytuacje, chociaż czasami są w tym nieco nadgorliwi.
Plusem aktualnego zamieszania z Twitterem i przechodzenia wielu użytkowników na inne serwisy społecznościowe jest to, że bardzo często informują oni o swoich pseudonimach, pod którymi występują w innych portalach, co w przypadku OSINT-u wykonywanego w stosunku do danej osoby będzie dla śledczych bardzo pomocne. Nie zawsze oczywiście takie zachowanie musi być złe – w bardzo wielu przypadkach informacje te przydają się osobom śledzącym dany profil, gdzie mogą go znaleźć w przypadku nagłego krachu np. Twittera.
Jednym z trików OSINT-owych, który odkryłem niedawno przez przypadek, jest możliwość obejrzenia obrazka, będącego grafiką tła danego profilu na Mastodonie, w formie nieprzyciętej. Normalnie na stronie profilu wyświetlany jest obraz o rozmiarze 1500×500 pikseli. Nie jest on jednak przycinany podczas wgrywania, a jedynie wyświetlany w części. Wystarczy więc z menu pod prawym klawiszem myszy na obrazku tła profilu wybrać opcję „Pokaż obraz w nowej karcie”, aby obejrzeć go w całości. Może się okazać, że taki obraz w domyślnie niewidocznych obszarach zawiera jakieś interesujące informacje, które mogą się przydać w ramach śledztwa OSINT-owego.
Sposób wyświetlenia pełnego obrazka tła oraz pełny obrazek.
Inną ciekawą techniką podzielił się niedawno Sector035 na Twitterze, wskazując, że do adresu profilu na Mastodonie wystarczy dodać końcówkę „.json”, aby otrzymać informacje o danym użytkowniku w formie ładnie sformatowanego (tu niespodzianka) JSON-a, co może okazać się ułatwieniem w przypadku automatyzacji poszukiwań. Może się także okazać, że w takim pliku będzie zawartych więcej informacji niż jest wyświetlanych na stronie danego profilu. Ten sam trik działa dla rozszerzenia .rss.
Widok profilu w formatowaniu JSON.
Mastodon na pewno aktualnie ma swoje 5 minut. Niezależnie od tego, czy stanie się on konkurentem lub nawet następcą Twittera, czy też pozostanie w jego cieniu, warto mieć świadomość, że jest to kolejne miejsce, które należy sprawdzić prowadząc OSINT-owe poszukiwania.
Krzysztof Wosiński
@SEINT@mastodon.online
Link: https://sklep.securitum.pl/osint-dla-kazdego-podstawy-poszukiwan-informacji-w-internecie
Swój własny serwer ma również KE
„Główną instancją jest mastodon.social” nie, nie na tym polega federacja żeby wszyscy pchali się na jedną instancję jak na gmaila.
co do OSINTu, myślę że warto wspomnieć też o tym że:
– Mastodon ma swoje, otwarte REST API z JSONem, do którego klucze OAuth zdobywa się jednym requestem (https://docs.joinmastodon.org/client/intro/), dużo ładniejsze niż te z obiektami ActivityPub
– da się wyszukiwać konta z innych serwerów (które się zfederowały z tym, gdzie szukamy)
Jako ciekawostkę można dodać, że swoją własną instancję posiada również Unia Europejska (jako instytucja): https://social.network.europa.eu/explore
Mam duże nadzieje związane z Mastodonem, od lat powoli (bardzo powoli ale jednak) przebija się do szerszej świadomości. Chyba pierwszy projekt związany z fediverse który ma szansę wybić się poza krąg nerdów.
Aż się łezka w oku kręci. Taki otwarty jak księga, jak na samym początku internetu.
ja piernicze ale stary już jestem…