Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
OSINT w pandemii, czyli co wynika z wyników testów [czwartki z OSINTem]
Tytułem wstępu: pierwszy odcinek naszej serii możecie przeczytać tutaj – kolejne odcinki będą ukazywały się w kolejne czwartki. A żeby nic nie przegapić, zapisz się listę OSINTową w formularzu poniżej (po zapisaniu się i potwierdzeniu zapisu otrzymasz automatem extra materiały OSINT-owe):
Żyjemy w ciekawych czasach, w których musimy zmagać się ze skutkami pandemii i chcąc nie chcąc, dostosowywać nasze aktywności do tej rzeczywistości. Przeniesienie wielu rzeczy do Internetu oraz nowe procedury społeczne skutkujące stworzeniem całkiem nowych dokumentów, jak chociażby certyfikaty covidowe, ma też swoje odzwierciedlenie w zbieraniu danych OSINT-owych. Dzisiaj zajmiemy się analizą przypadków możliwych manipulacji związanych z tą tematyką.
Certyfikat covidowy z kodem QR.
Bez wikłania się w tym artykule w kontekst polityczny, wspomnę tylko z kronikarskiego obowiązku o naszym rodzimym przypadku Jacka Kurskiego i jego wyjazdu na Eurowizję po otrzymaniu pozytywnego wyniku testu PCR kilka dni wcześniej. Niestety, jedynym oficjalnym dokumentem w tej sprawie, który mamy do dyspozycji, jest oświadczenie szpitala, z którego wynika tylko tyle, że test PCR dał wynik, który może oznaczać zarówno koniec, jak i początek choroby.
Sposób, w jaki zostało sformułowane oświadczenie, utrudnia nieco zwykłemu czytelnikowi zrozumienie, co się wydarzyło i dlaczego w taki sposób. Dopiero analiza zasad działania testów PCR, których cykle oznaczają po prostu kolejne etapy namnażania elementów wirusa w pobranym materiale, pokazuje, że wynik pomiędzy 30. a 35. cyklem to już prawie końcówka testu (zazwyczaj dochodzi się maksymalnie do 40.), co oznacza, że śladów RNA wirusa jest mało i warto ponowić test na przykład następnego dnia, żeby dowiedzieć się, czy wartości te będą wzrastać (początek choroby) czy maleć (koniec choroby). Zakładam jednak, że we wspomnianym przypadku także inne dostępne dla lekarzy sposoby weryfikacji etapu rozwoju choroby rozwiały wszelkie wątpliwości.
Nieco ciekawszym, bo i bogatszym w dostępne dowody, jest dość świeża sprawa Novaka Djokovicia, która z OSINT-owego punktu widzenia została opisana na stronach Brigada Osint. W swoim artykule autor przybliża po kolei wszystkie elementy związane z zamieszaniem wokół serbskiego tenisisty, który próbował wystąpić w Australian Open bez szczepienia, jedynie posiadając testy PCR – jeden pozytywny z 16 grudnia, a drugi negatywny z 22 grudnia. Dostęp do wyników testów jest możliwy online, więc nawet dzisiaj możemy dowiedzieć się, czy na pewno drugi test był negatywny, sprawdzając to na stronie serbskiego Instytutu Zdrowia Publicznego. Dostępny tam jest także wynik pierwszego testu. I tutaj zaczyna się prawdziwy rollercoaster, jeśli chodzi o weryfikację danych.
Screen strony serbskiego Instytutu Zdrowia Publicznego z danymi o teście Novaka Djokovicia
Jak sądził Djoković, w celu bezproblemowego wjazdu na teren Australii – potrzebował dwóch wyników: pozytywnego i negatywnego (w dużym uproszczeniu, ponieważ po drodze pojawił się jeszcze temat możliwej kwarantanny w Nowej Południowej Walii, gdzie przepisy są nieco mniej restrykcyjne niż w Melbourne). Jak zauważa w swoim artykule “Der Spiegel”, wynik pierwszego testu był najpierw negatywny (weryfikacja tego faktu nastąpiła o godzinie 13:19), by o godzinie 14:33 tego samego dnia stać się wynikiem pozytywnym.
Zmieniający się w czasie wynik pierwszego testu Novaka Djokovicia (fot. pcr.euprava.gov.rs / Der Spiegel)
Czy wynika to z faktu, że z dwoma negatywnymi wynikami nie miałby żadnych szans na udział w Australian Open czy też był to zwykły błąd systemu? Dzisiaj trudno to stwierdzić.
Ciekawym elementem są także identyfikatory testów oraz elementy kodów QR. Zacznijmy od identyfikatorów. Pierwszy test posiada numer 7371999-259039. Pierwsza część to najprawdopodobniej kolejne ID, a druga to oznaczenie pacjenta – takie wnioski można wyciągnąć na podstawie analizy innych testów, jednak kiedy popatrzymy na numer drugiego testu: 7320919-259039, sprawy przestają być takie oczywiste, ponieważ pomimo faktu, że drugi test wykonany był 6 dni później, ma wcześniejszy identyfikator. Dodatkowym smaczkiem są timestampy, które występują na początku kodu zapisanego w formie QR. Timestamp, który jest zapisany w formie Unix epoch time, dla drugiego testu się zgadza – środa, 22 grudnia 2021 16:43:12 GMT. Dla pierwszego testu jest to jednak nie 16 grudnia, ale niedziela 26 grudnia 2021 14:21:20 GMT.
Dane nt. testu Novaka Djokovicia
Może być to związane z ponownym generowaniem timestampów w momencie pobierania kodu QR z serwera, jednak trudno jest jednoznacznie wyjaśnić, dlaczego identyfikator drugiego testu jest niższy od identyfikatora pierwszego testu, i to aż o ponad 50.000, a wszystko wskazuje na to, że identyfikatory są nadawane sekwencyjnie. Być może jednak „pierwszy” test został wykonany 26 grudnia 2021 roku, co zgadzałoby się z całkowitą liczbą wykonanych w tym momencie w Serbii testów…
Mnie osobiście dodatkowo zastanawia końcówka identyfikatora pierwszego testu – 999, która może oznaczać (ale wcale nie musi!) ostatni dostępny numer z danej puli, przydzielonej laboratorium, co mogłoby wskazywać, że starano się nadać temu konkretnemu testowi numer, który na pewno się nie zdubluje. Ale to są tylko domysły, a wyciąganie wniosków należy do organów za to odpowiedzialnych.
Dokumenty związane z przylotem Djokovicia do Australii wskazują więcej nieścisłości. Jako data drugiego testu figuruje tam 21 grudnia, jednak może to być zwykła pomyłka. Kolejne dokumenty, tym razem już dotyczące oczekiwania na wyjaśnienie sprawy niewpuszczenia tenisisty, pokazują, że podane przez niego (lub jego agenta) informacje o niepodróżowaniu w przeciągu dwóch tygodni poprzedzających przylot do Australii, także są nieprawdziwe (w odróżnieniu od deklaracji z wcześniej wspomnianych dokumentów, gdzie jest mowa o pobycie w Hiszpanii).
Fragment jednego z dokumentów, wypełnianych przed przylotem do Australii.
W artykule na Brigada Osint autor Aimery Parekh wskazuje na jeszcze jeden aspekt. Skoro test, który dał wynik pozytywny, został wykonany 16 grudnia, to w kolejnych dniach Djokovic powinien był przebywać na kwarantannie. Jak jednak sam pokazuje na swoim Twitterze, był w tym czasie na uroczystej prezentacji znaczków ze swoją podobizną, wyemitowanych przez serbską pocztę.
Strona serbskiej poczty z informacją o spotkaniu z Novakiem Djokoviciem 16.12.2021.
Weryfikując datę spotkania na stronie jego fundacji oraz Poczty, możemy stwierdzić, że miało to miejsce 16 grudnia, a więc tego samego dnia, co test. Spróbujmy zatem skorelować czas wykonania testu (13:05:12 – zakładam, że czasu lokalnego, skoro certyfikat jest serbski) z czasem wykonania zdjęć z prezentacji. Na stronie poczty zdjęcia pozbawione są metadanych, ale wyszukanie tych samych zdjęć na innych stronach prowadzi do pełnego zdjęcia, które nie zostało ich pozbawione. Oczywiście nie można im wierzyć w stu procentach, ale to zawsze jeden z wielu tropów, które należy wziąć pod uwagę. Zdjęcie w polu DateTimeOriginal ma wartość ‘2021:12:16 14:49:21’ (zakładam także czas lokalny, skoro fotograf jest z serbskiej agencji). Dodatkowo na jednym ze zdjęć widać zegarek Novaka Djokovicia (prawdopodobnie Hublot Big Bang Meca-10 Blue Ceramic), który wydaje się wskazywać podobną godzinę (wskazówka minutowa jest nieco zasłonięta, co sprawia wrażenie, że jest ona wskazówką krótszą – godzinową).
Wskazanie czasu na zegarku Novaka Djokovicia ze zdjęcia wykonanego w czasie prezentacji znaczków.
Można stąd wysnuć wniosek, że tenisista przyjechał na miejsce prezentacji, tzn. do Muzeum Poczty w Belgradzie, prosto z laboratorium w instytucie Zavod Za Biocide i Medicinsku Ekologiju, gdzie wykonywany był test. Przejazd samochodem z jednego miejsca do drugiego zajmuje co najmniej 15 minut, więc jest to zadanie wykonalne.
Trasa wytyczona przez Google Maps z laboratorium w instytucie Zavod Za Biocide i Medicinsku Ekologiju do Muzeum Poczty w Belgradzie
Czy jednak miał już wtedy podejrzenia, że wynik może być pozytywny? Czy wynik na pewno był pozytywny? Po co robił test, skoro dwa wyniki negatywne nie dawałyby mu możliwości pojawienia się w Australii? Dlaczego poszedł na prezentację w miejscu publicznym, skoro oczekiwał na wynik testu, być może pozytywny? Te pytania najprawdopodobniej pozostaną bez odpowiedzi.
Jak widać, publiczny dostęp do dokumentacji oraz informacji różnego typu publikowanych przez wiele osób w Internecie daje ogromne możliwości weryfikacji zdarzeń i wygłaszanych tez. Z jednej strony można by stwierdzić, że to godzi w prywatność, jednak często sami zainteresowani publikują tyle danych (nie tylko w mediach społecznościowych), że OSINT polega w tych przypadkach jedynie na odpowiednim skatalogowaniu informacji i połączeniu faktów.
OSINT case 02 – podsumowanie / rady: |
Nie tylko w przypadku testów i certyfikatów covidowych, ale w każdej dziedzinie życia publicznego możliwa jest weryfikacja wątpliwych dowodów i wydarzeń na podstawie informacji ogólnodostępnych w sieci.W każdym badaniu należy uważać na utarte szlaki, jakimi podążają nasze myśli, gdyż łatwo dojść do wniosków opartych na naszych przekonaniach, dotychczasowych doświadczeniach i emocjach, a nie na faktach.Należy zawsze dążyć do weryfikacji informacji na podstawie jak największej liczby niezależnych źródeł, aby uniknąć pomyłek. |
Krzysztof Wosiński, prowadzi szkolenie OSINT master, @SEINT_pl
Jednego nie rozumiem: czemu dwa wyniki negatywne to problem? Przecież negatywny wynik testu to brak wirusa/choroby. Czy tu ktoś czegoś nie pomylił?
Bo wpuszczali tylko ozdrowieńców lub zaszczepionych. Z dwoma negatywnymi wynikami nie miałby podstaw żeby twierdzić, że niedawno przeszedł chorobę.
Dla mnie weryfikacją zjadliwości tego były pracownice biedronki. Te same Panie bez maski przez ostatnie dwa lata bez chorobowego widujące się w dużym mieście z tysiącami osób. Albo one są lepszym gatunkiem albo coś jest na rzeczy, że wyolbrzymiano.