Dlaczego hackowanie aplikacji webowych jest proste? Zapisz się na darmowe szkolenie od sekuraka.

OPSEC przede wszystkim [Czwartki z OSINTem]

26 maja 2022, 10:02 | Teksty | 1 komentarz

Zanim przejdziemy do treści wszystkie dotychczasowe odcinki serii „Czwartki z OSINTem” możecie przeczytać tutaj. Żeby niczego nie przegapić oraz otrzymać dodatkowe materiały zachęcamy do zapisania się do listy poniżej (po zapisie sprawdź swoją skrzynkę, potwierdź zapis; jeśli nie przyszedł e-mail, sprawdź też spam):

***

To już ostatni z artykułów w ramach serii „Czwartki z OSINT-em”, jednak chciałbym poruszyć w nim temat do rozważenia jeszcze przed rozpoczęciem jakichkolwiek czynności OSINT-owych, a dotyczący zapewnienia sobie odpowiedniego poziomu bezpieczeństwa w ramach prowadzonych działań (określanego często jako OPSEC, czyli Operations Security).

Jedną z historii, które dają pogląd na to, jak ważne jest oddzielenie informacji na kontach wykorzystywanych do anonimowych działań od wszelkich elementów naszej prawdziwej tożsamości, jest przypadek domniemanego wyśledzenia konta dyrektora FBI, Jamesa Comeya. Domniemanego, gdyż nie udało się uzyskać potwierdzenia, że namierzone konto na Twitterze naprawdę należy do niego, jednak wszystkie poszlaki na to wskazują, łącznie z komentarzem samego zainteresowanego. Przyjrzyjmy się zatem bliżej błędom, jakie zostały popełnione podczas zakładania i utrzymywania tego konkretnego konta.

Błąd 1. – przyznanie, że konta w ogóle istnieją

Wszystko zaczęło się od pewnego spotkania, a konkretnie od Intelligence and National Security Alliance Dinner, na którym pod koniec marca 2017 roku przemawiał właśnie James Comey. Podczas godzinnego wystąpienia, w którym przekazywał informacje o tym, jak ważne są różne aspekty bezpieczeństwa oraz starał się sprytnie unikać odpowiedzi na zbyt konkretne pytania, padło też stwierdzenie, że jemu „bardzo zależy na prywatności”, więc jest co prawda na Twitterze oraz Instagramie, gdzie „ma jedynie dziewięciu obserwujących”, jednak są to wyłącznie osoby należące do jego najbliższej rodziny i znajomych, gdyż nie lubi się dzielić prywatnymi zdjęciami z ludźmi spoza tego kręgu (dla zainteresowanych – dostępne jest nagranie z tego spotkania, a temat prywatności poruszany jest w 21. minucie).

Nagranie, na którym dyrektor FBI zdradza informację o swoim koncie na Instagramie.

Te skąpe informacje o posiadanych kontach, poparte niewielkim, dodatkowym śledztwem dziennikarskim Ashley Feinberg dotyczącym szczegółów życia i kariery dyrektora FBI, pozwoliły na odnalezienie informacji dotyczących jego syna, którego imię (niestety dla poszukiwaczy) jest takie samo, jak drugie imię jego ojca – Brien. Niemniej jednak w końcu, poprzez wpisy na kontach szkolnych drużyn sportowych na Twitterze, możliwe było dotarcie do konta Briena na Instagramie.

Błąd 2. – powiązanie kont prywatnych z anonimowymi kontami

Znaleziony profil na Instagramie okazał się jednak zamknięty, co znacznie utrudniło Ashley Feinberg dalsze poszukiwania. Tutaj jednak przydatna okazała się funkcjonalność, która pozwoliła na odnalezienie innych powiązanych kont, a polegała na próbie śledzenia zablokowanego konta, a następnie skorzystaniu z funkcjonalności podpowiedzi innych znajomości, które zostały dobrane na podstawie naszego wyboru. Dla tego celu najlepiej stworzyć zupełnie nowe, „czyste” konto (ta technika ma zastosowanie do wielu portali społecznościowych, nie tylko do  Instagrama) i pozwolić algorytmom zaproponować nam znajomych na podstawie jednej tylko osoby. Do tego celu można wykorzystać czysty telefon, z wpisanym jednym kontaktem, do którego oczywiście damy dostęp apce społecznościowej, a sugerowane kontakty wskażą najprawdopodobniej powiązane z nią osoby (albo jej dane osobowe, jeśli np.posiadamy tylko numer telefonu).

Konto dyrektora FBI na Instagramie, już po jego „odkryciu”.

Błąd 3. – używanie nazwy użytkownika związanej z naszą osobą

Wśród znalezionych powiązanych kont było jedno, które nie do końca pasowało do rodzinnych kont osobistych ze względu na dość unikatową nazwę: @reinholdniebuhr. Tutaj przydało się szybkie przestudiowanie historii edukacji Jamesa Comeya, który jak się okazało, swojego czasu napisał pracę dyplomową m.in. o teologu, nazywającym się właśnie Reinhold Niebuhr. Ten szczegół wskazywał, że to konto może faktycznie być poszukiwanym profilem dyrektora FBI, tym bardziej, że posiadało ono dziewięć obserwujących je osób, co pokrywało się dokładnie z oświadczeniem Comeya.

Konto Jamesa Comeya na Twitterze – tutaj, tak samo jak na Instagramie, jako Reinhold Niebuhr (stan na 12.04.2017).

Próba przeskoku z konta na Instagramie na Twittera nie była łatwa, gdyż profil o tej samej nazwie użytkownika nie wyglądał jak należący do naszego głównego bohatera, więc Ashley Feinberg pozostało szukanie po nazwie użytkownika (a nie loginie). Jednym z kont, które wyglądało obiecująco ze względu na dość skryty profil, było konto @projectexile7. I tutaj kolejny raz dał o sobie znać błąd polegający na wykorzystaniu nazwy, którą można było dość jednoznacznie powiązać z osobą dyrektora FBI, gdyż Project Exile był jednym z współprowadzonych przez niego projektów.

Błąd 4. – komentarze w jednym temacie

Na odnalezionym koncie na Twitterze można zauważyć, że znaczna liczba  polubionych wpisów dotyczy osoby Jamesa Comeya, a jedyną osobą śledzącą to konto jest jego przyjaciel, Benjamin Wittes. Także analiza kont, które są śledzone przez @projectexile7 wskazuje na powiązania z upodobaniami dyrektora FBI w zakresie źródeł informacji.

Mała wskazówka – wpis zretweetowany przez konto @projectexile7 wskazuje, że jednak śledztwo zaimponowało jego właścicielowi.

Te wszystkie drobne okruchy oczywiście nie dają pewności co do właściciela znalezionych kont. Należy pamiętać, że w ramach OSINT-u ważnym elementem jest analiza zgromadzonych dowodów i uczciwe odpowiedzenie sobie na pytanie: czy na pewno mogę wskazać daną osobę jako powiązaną z badaną sprawą? Nie można w tym miejscu niestety poddać się podświadomej chęci poskładania wszystkich elementów w bardzo medialną i robiącą wrażenie całość. Nie jest żadną ujmą przyznanie w pewnym momencie, że nie ma się pewności i podstaw do wydania konkretnych osądów. Niestety często podświadomie ulegamy emocjom i układamy historię tak, jak chcielibyśmy, aby się ułożyła – wszystkie złe cechy przypisujemy osobom z łatką „tych złych”, a zbyt mocno próbujemy wybielić osoby, które wydają nam się sympatyczne i co do których jesteśmy nastawieni bardziej przychylnie.

Podsumowanie

Przedstawiona historia pokazuje nam kilka błędów popełnianych w ramach przygotowywania środowiska i zasad bezpieczeństwa operacji, czyli OPSEC-u. Po pierwsze, zawsze musimy sobie odpowiedzieć na pytanie, jaki zakres działań powinniśmy wykonać, aby odpowiednio się zabezpieczyć, gdyż nie każde śledztwo w Internecie wymaga od nas takiego samego poziomu zabezpieczenia.

Musimy także powstrzymać się od informowania o tym, jakie konta są wykorzystywane do anonimowej pracy i w jakich działaniach biorą udział. Nawet dyrektor FBI nie powstrzymał się od uchylenia rąbka tajemnicy, ale taką pokusę ma też wiele innych osób, szczególnie pracujących w tematach bezpieczeństwa, gdzie niekiedy powstaje wiele bardzo ciekawych historii, które bardzo chętnie by się komuś opowiedziało, ale lista osób, z którymi można na dany temat porozmawiać, niekiedy ogranicza się do wąskiego kręgu współpracowników lub w skrajnych przypadkach zaledwie jednej osoby.

Także budując samo środowisko do pracy, powinniśmy pamiętać o technologicznej stronie OPSEC-u, szczególnie jeśli chodzi o śledztwa o wysokim poziomie ryzyka. Począwszy od kwestii typowo sprzętowo-systemowych (jakiego komputera, telefonu, łącza internetowego będę używać), poprzez oprogramowanie (jaka przeglądarka, dodatki anonimizujące czy VPN), aż po takie elementy, jak budowanie swoich „kukiełek” (ang. sock-puppets, czyli fałszywych tożsamości, których konta będziemy wykorzystywać podczas prowadzenia śledztwa). Ten ostatni element ma dodatkowo wiele subelementów, takich jak zdjęcia profilowe, których dobre przygotowanie wymaga odrobinę większego nakładu pracy niż tylko ściągnięcie obrazu z thispersondoesnotexist.com.

Zdjęcia wygenerowane przez model sztucznej inteligencji GAN (Generative Adversarial Network – generatywne sieci przeciwstawne) niekiedy są używane jako zdjęcia profilowe dla fałszywych kont w mediach społecznościowych. Jednym z elementów ułatwiających ich rozpoznanie jest umieszczanie oczu zawsze w tym samym miejscu zdjęcia.

Używanie obrazów generowanych przez GAN dla kont w serwisach społecznościowych jest jednak dość łatwe do wychwycenia – na screenie przykład fałszywego konta udającego ukraińskiego dziennikarza.

Dla konta-kukiełki należy także wygenerować odpowiednie dane osobowe, przemyśleć sposoby ukrywania się, zarządzania tożsamościami i ich utrzymywania. Jeśli ten temat was zainteresował, zapraszam do udziału w naszych szkoleniach OSINT master, na których poruszam wszystkie te aspekty.

Podsumowanie i rady:

– nie ujawniaj istnienia kont, których „spalenie” może narazić całą operację na porażkę;

– nie twórz powiązań pomiędzy kontami prywatnymi, a tymi wykorzystywanymi do działań OSINT-owych (w momencie, kiedy otrzymasz na swoim anonimowym koncie propozycję znajomych z kręgu twoich krewnych lub przyjaciół, już jest za późno ;) ;

–  nie wykorzystuj do tworzenia anonimowych kont informacji, które można łatwo powiązać z tobą;

– nie zdradzaj swojej prawdziwej tożsamości przez aktywność związaną ze swoimi prawdziwymi zainteresowaniami lub nawiązaniami do własnej osoby.

P.S. Dziękuję wszystkim czytelnikom serii „Czwartki z OSINT-em” za wspólne analizowanie przeróżnych OSINT-owych przypadków! :)

Krzysztof Wosiński, @SEINT_pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomasz21

    Ciekawa lektura, jak naprawdę daleko już zaszliśmy w manipulacji ludźmi? Śledzenie, zabawa w detektywa, to tylko wstęp do czegoś gorszego. Ta granica jest bardzo cienka, stąpamy po cienkiej linie nad przepaścią. Gdzie jest granica, ludzkiej ciekawości i możliwości.
    pozdrawiam.

    Odpowiedz

Odpowiedz