OSINT poza Google Dorks – operatory innych wyszukiwarek

OSINT jest niekiedy utożsamiany (szczególnie przez osoby nie do końca zaznajomione z tą tematyką) jedynie z wyszukiwaniem za pomocą Google. Ten sposób pozyskiwania informacji jest jednak zaledwie niewielką częścią OSINT-u, chociaż często skorzystanie z wyszukiwarki jest pierwszym krokiem do szerszych poszukiwań. Aby umiejętnie wykorzystać jej możliwości, warto poznać operatory wyszukiwania, które sprawią, że jego wyniki będą odpowiednie do celu śledztwa.

Niemieckie służby po raz drugi

Szpiedzy i diamenty – artykuł o wyprowadzaniu informacji z niemieckich służb

W dzisiejszym odcinku na początek chciałbym pokazać, w jaki sposób wykorzystanie wyszukiwarek może doprowadzić praktycznie każdego do tych samych wniosków, do których doszli dziennikarze śledczy lub inne podmioty prowadzące profesjonalne śledztwa. 

Przykładem będzie wątek na Twitterze, który opublikowała osoba o nicku FakePhDInvestigator, wskazując, jak krok po kroku wyszukiwała dane dotyczące Arthura E., aresztowanego obywatela Niemiec rosyjskiego pochodzenia, który został oskarżony o przekazywanie niejawnych informacji Rosjanom. W ten proceder zaangażowany był także pracownik niemieckiej federalnej agencji wywiadu (Bundesnachrichtendienst, BND). 

Autor twitterowego wątku poszedł śladami dziennikarzy, którzy opisali w mediach niemieckich tę sprawę, wyszukując najpierw pełne nazwisko aresztowanego, które można było pozyskać z akt sądowych. Zdobycie imienia i nazwiska pozwoliło na dopasowanie tych danych do zarejestrowanych domen, co było możliwe dzięki wykorzystaniu wyszukiwarki whoxy.com. W ten sposób udało się pozyskać kolejne informacje: adres e-mail aresztowanego oraz nazwę jego firmy, co z kolei doprowadziło do ustalenia jej adresu. Jak pisze autor wątku, ciekawostką jest, że dane te dzisiaj nie są już dostępne w rejestrach, co tylko potwierdza zasadę, że zawsze należy archiwizować wyniki każdego kroku śledztwa, gdyż dotarcie drugi raz do tych samych informacji niekiedy okazuje się niemożliwe.

Wyniki wyszukiwania domen aresztowanego za pomocą serwisu Whoxy

Dzięki posiadaniu informacji o adresie e-mail w domenie Gmail możliwe było uzyskanie identyfikatora konta Google aresztowanego, co z kolei pozwoliło na prześledzenie recenzji, jakie zostawiał w różnych miejscach swojego pobytu na świecie. Ten element układanki był bardzo ciekawy, ponieważ aresztowany nie miał profilu na Facebooku czy LinkedInie, jednak zostawiał bardzo dużo śladów właśnie w formie opinii ze swojego konta Google. Jeden z nich wskazywał na pobyt niedaleko miejsca zamieszkania drugiego z aresztowanych mężczyzn. Z kolei wyszukiwanie w Google danych aresztowanego doprowadziło do jego zdjęć, wskazujących na prowadzenie biznesu w Afryce i pokazujących także inne osoby, z którymi mógł nawiązywać kontakty. 

Nie potrzeba więc skomplikowanych technik, bo wystarczy jedynie świadomość, o co, w jaki sposób i gdzie zapytać, aby uzyskać satysfakcjonujące odpowiedzi. Powtarzanie kroków, które wskazane są w publicznie dostępnych informacjach o śledztwach, jest dobrą techniką przyswajania i ugruntowywania umiejętności prowadzenia skutecznych poszukiwań, którą polecam każdemu, kto chciałby popracować nad swoim OSINT-owym warsztatem.

Miejsca, w których aresztowany zostawił opinie ze swojego konta Google

Operatory wyszukiwania

Zasady wykorzystywania operatorów najpopularniejszej wyszukiwarki – Google, zostały opisane na sekuraku w ramach artykułów dotyczących rekonesansu infrastruktury IT, więc zainteresowanych odsyłam do tego szczegółowego zestawienia. Operatory innych popularnych wyszukiwarek stron internetowych, jak Bing czy Yandex, są podobne do tych wykorzystywanych przez Google. Warto pamiętać, że do serwisów Google należy także YouTube, bowiem i tam można prowadzić wyszukiwanie za pomocą takich operatorów, jak na przykład:

• “sekurak hacking party” – wyszukiwanie całego ciągu znaków, a nie pojedynczych słów;
• before:YYYY-MM-DD – wyszukiwanie materiałów opublikowanych przed określoną datą (w formacie rok-miesiąc-dzień);
• after:YYYY-MM-DD – wyszukiwanie materiałów opublikowanych od określonej daty;

Z osobistych doświadczeń mogę jedynie dodać, że na YouTubie można używać także innych operatorów obsługiwanych przez Google, jednak często wyniki nie odzwierciedlają użytego zapytania.

Wyszukiwanie na Twitterze

Innym serwisem, w którym możliwe jest wykorzystanie operatorów wyszukiwania, jest Twitter. Pomagają one znacznie usprawnić przeglądanie wpisów z danego okresu lub o określonej treści. Poniżej znajdują się najprzydatniejsze, w mojej ocenie, przykłady wraz z opisem zastosowania tych operatorów:

• “sekurak hacking party” – wyszukiwanie całego ciągu znaków, a nie pojedynczych słów;
• @sekurak – wyszukiwanie zarówno wpisów sekuraka, jak i wspomnienia tego konta przez inne osoby;
• from:sekurak – wyszukiwanie jedynie wpisów użytkownika sekurak;
• to:sekurak – wyszukiwanie wpisów wspominających użytkownika sekurak;
• until:YYYY-MM-DD – ograniczenie wpisów do opublikowanych przed określoną datą (w formacie rok-miesiąc-dzień), bez wpisów z wskazanego dnia;
• since:YYYY-MM-DD – ograniczenie wpisów do opublikowanych od określonej daty (łącznie z nią);

Wynik wyszukiwania wpisów sekuraka sprzed 31.12.2022. Co ważne, najnowsze wpisy pokazane w wynikach pochodzą z poprzedniego dnia przed wpisaną datą

• #OSINT – wyszukiwanie jedynie wpisów oznaczonych określonym hashtagiem, w tym przypadku OSINT;
• until_time:UNIX_TIMESTAMP – ograniczenie wpisów do opublikowanych przed określonym momentem czasowym, wskazanym za pomocą Unix timestamp, czyli ilości sekund, które upłynęły od 01.01.1970 UTC; działa także w formie z datą w formacie rok-miesiąc-dzień;
• since_time:UNIX_TIMESTAMP – ograniczenie wpisów do opublikowanych od określonego momentu czasowego, wskazanego za pomocą Unix timestamp; działa także w formie z datą w formacie rok-miesiąc-dzień;
• filter:verified – wyszukiwanie jedynie wpisów od kont zweryfikowanych na zasadach sprzed wprowadzenia płatnych oznaczeń weryfikacji;
• filter:blue_verified – wyszukanie jedynie wpisów od kont posiadających płatne oznaczenie weryfikacji;
• list:id_listy – wyszukanie jedynie wpisów od kont wpisanych na określoną listę kont; identyfikator jest częścią adresu danej listy, np. dla listy „Countdown to Mars”, która dostępna jest pod adresem https://twitter.com/i/lists/1274515338479177729, filtr będzie wyglądał następująco: list: 1274515338479177729;
• min_retweets:XXXX – wyszukanie jedynie wpisów z określoną minimalną liczbą retweetów;
• min_faves – wyszukanie jedynie wpisów z określoną minimalną liczbą polubień;
• filter:nativeretweets – wyszukanie jedynie wpisów podanych dalej;
• filter:images – wyszukanie wpisów zawierających obraz;
• filter:links – wyszukanie wpisów zawierających link.

Dodatkowo powyższe operatory, jak i pojedyncze słowa, można łączyć przy wykorzystaniu operatora logicznego OR, aby uzyskać wyniki podlegające jednej lub drugiej łączonej za jego pomocą regule, a także poprzedzać znakiem minusa w celu odfiltrowania od wyszukanych wpisów ich części, np.:

from:sekurak -filter:images

spowoduje wyszukanie wszystkich wpisów sekuraka niezawierających statycznego obrazu.

Podsumowanie i rady

Przedstawione operatory wyszukiwania dotyczą zaledwie kilku serwisów. LinkedIn, Reddit, GitHub i inne serwisy posiadają własne operatory. Zachęcam Czytelników do zgłębiania sposobów na usprawnienie wyszukiwania w wykorzystywanych w ramach OSINT-u narzędziach i portalach, gdyż dobre sprecyzowanie pytania pozwala niekiedy w znaczącym stopniu posunąć śledztwo naprzód. 

Jednocześnie chciałbym przestrzec przed pełnym zawierzeniem wynikom wyszukiwania. Zdarza się, że nawet dodanie jednego operatora, który powinien zawęzić listę wyników, spowoduje jej rozszerzenie. Z logicznego punktu widzenia nie ma to sensu, jednak w ten sposób działają silniki wyszukiwarek i należy zawsze o tym pamiętać.

Krzysztof Wosiński

@SEINT_pl / @SEINT@infosec.exchange

Co tydzień, w czwartki publikujemy nowy tekst autorstwa Krzyśka Wosińskiego. Jeśli nie chcesz przegapić żadnego odcinka, zapisz się poniżej (okazyjnie możemy Ci też podsyłać inne informacje od ekipy sekuraka):