Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

OSINT^2, czyli kilka słów o weryfikacji danych [czwartki z OSINTem]

27 kwietnia 2023, 20:54 | Aktualności, Teksty | 1 komentarz

OSINT zyskał dużą sławę w ostatnich latach, szczególnie dzięki publicznemu zaprezentowaniu możliwości, jakie daje, ale także ze względu na fakt, że coraz większa część światowej społeczności jest obecna i aktywna w Internecie. Nie bez znaczenia jest też rozwój platform społecznościowych oraz narzędzi, które umożliwiają dostęp do różnych typów danych umieszczanych w sieci. Należy jednak pamiętać, że OSINT nie jest magicznym kapeluszem, z którego wyciągniemy zawsze oczekiwanego królika. Po bliższym przyjrzeniu się otrzymanym informacjom może okazać się (jak w znanym dowcipie), że to jednak nie w Moskwie, tylko w Petersburgu, nie samochody, tylko rowery i nie rozdają, tylko kradną.

Kadr z filmu, który rzekomo przyczynił się do zlokalizowania Andrew Tate’a

Pod koniec 2022 roku w Internecie dość głośno zrobiło się o sprawie Andrew Tate’a, byłego kick-boxera i zarazem kontrowersyjnej osobowości internetowej, który został zatrzymany przez rumuńskie władze, a niedługo później aresztowany w związku z zarzutami o gwałt oraz handel ludźmi. Fakt ten pewnie przeszedłby bez większego echa, gdyby Tate nie wdał się kilka dni wcześniej w internetową przepychankę słowną z Gretą Thunberg. 27 grudnia Tate pochwalił się swoimi samochodami, oznaczając Thunberg we wpisie na Twitterze. Ta następnego dnia odpowiedziała zaczepką na zaczepkę i tak sprawa się rozkręciła. Internet sięgnął po popcorn i patrzył, co będzie dalej. Chwilę później Tate opublikował niespełna dwuminutowy filmik, który odnosił się do całej sytuacji i ostatniego tweeta Thunberg. Co jednak najbardziej przykuło uwagę widzów, to fakt, że w trakcie filmiku Tate prosi, by podać mu pizzę, a na pierwszym planie pojawiają się dwa opakowania, które posiadają logo i nazwę pizzerii oraz jej adres internetowy, jasno wskazujący, że cała sytuacja nagrywana jest gdzieś w Rumunii.

Kiedy 30 grudnia Andrew Tate został zatrzymany przez rumuńską policję, natychmiast pojawiła się teoria, że do odnalezienia go przyczynił się dowód jego obecności w Rumunii i że to właśnie pudełko na pizzę „zrobiło robotę”. 

Tego typu chwytliwe tematy szybko rozprzestrzeniają się w serwisach internetowych (także tych oficjalnych serwisach informacyjnych), tak stało się i tym razem. Temat zrelacjonowała również telewizja TVN, informując o zdarzeniu w “Faktach”. Dopiero później zaczęto publikować informacje, pochodzące od przedstawicieli rumuńskiej policji, mówiące o tym, że akcja operacyjna w sprawie karnej, w której prowadzone są śledztwa dotyczące przestępstw tworzenia zorganizowanej grupy przestępczej, handlu ludźmi i gwałtu, była zorganizowana przez Bukaresztańską Brygadę ds. Przestępczości Zorganizowanej wraz z prokuratorami DIICOT (Dyrekcji ds. Badania Przestępczości Zorganizowanej i Terroryzmu w Rumunii) już 29 grudnia. Rzeczniczka tej ostatniej jednostki w wywiadzie dla Associated Press, w którym pytano ją, czy to pudełka na pizzę przyczyniły się do znalezienia i zatrzymania Tate’a, odpowiedziała, że „to zabawne, ale nie”. Cały proces weryfikacji tej chwytliwej teorii został dokładnie opisany na fakenews.pl.

W czasie gdy na Twitterze podawano dalej filmik z pizzą jako „OPSEC fail”, wystarczyło tylko nie dać się ponieść emocjom szybkiego i łatwego zwycięstwa OSINT-u nad pracą operacyjną i przewinąć wpisy Andrew Tate’a trochę dalej, aby zauważyć, że 25 grudnia, czyli na 2 dni przed akcją z Gretą Thunberg, wrzucił na Twittera inny filmik z krajobrazem górskim opatrzonym tylko jednym słowem: Romania. W nim bardziej jednoznacznie pokazywał, gdzie aktualnie przebywa. Gdyby ktoś pokusiłby się o pójście krok dalej w poszukiwaniach aktualnego miejsca zamieszkania byłego kick-boxera, miałby szansę odnaleźć też m.in. informację, że w Rumunii mieszka już od 2017 roku, zatem policja raczej nie miała problemu z ustaleniem adresu jego mieszkania w Bukareszcie. Czasami jednak pozorny szybki i trafny wynik zniechęca do zweryfikowania go i zastanowienia się, czy na pewno to, co uzyskaliśmy, jest prawidłową informacją.

Tweet opisany “Romania” z 25 grudnia.

Nawiązując do tytułu tego artykułu, czasami na pierwotne proste działania poszukiwawcze (których nie można tak naprawdę nazwać pełnym OSINT-em, gdyż nie mają fazy analizy danych), trzeba nałożyć jeszcze jedną warstwę OSINT-u, uzupełniającą braki w pierwotnym cyklu. Próbując prawidłowo nazwać działania na otwartych danych, pierwotnie uzyskane wyniki można co najwyżej sklasyfikować jako OSD (Open Source Data), czyli po prostu surowe dane, pozyskane z otwartych źródeł lub OSINF (Open Source Information), czyli dane pozyskane ze źródeł, które już częściowo je przefiltrowały, np. media. Dopiero zweryfikowane i przekazane odpowiednim odbiorcom mogą zostać określone jako OSINT. Dla porządku można jeszcze wyróżnić OSINT-V, czyli OSINT, który przeszedł weryfikację lub pochodzi ze źródła, które można uznać za godne zaufania. Tego typu dodatkowa weryfikacja pozwala wychwytywać nieprawdziwe informacje, które są celowo rozpowszechniane i wpadają w tryby analiz OSINT-owych.

Nie tylko podsunięte przez kogoś wyniki „szybkiego OSINT-u” mogą wprowadzić w błąd. Sam Twitter, zarządzany przez Elona Muska, wprowadził oznaczenia zweryfikowanych kont za jedyne 8 dolarów (lub 11 dolarów jeśli subskrypcja dokonywana jest poprzez aplikację na iOS lub Androida). Problem w tym, że dla przeciętnego czytelnika newsów na Twitterze oznaczenia prawdziwie zweryfikowanych kont (tzw. starych) i tych wykupionych za garść dolarów oznaczeń (tzw. nowych), są identyczne. Dlatego też kupowanie oznaczeń zweryfikowanego konta stało się popularne wśród operatorów fałszywych kont, mających szerzyć dezinformację lub być elementem ataków na użytkowników platformy. Przykład tego typu działań został zaprezentowany m.in. w styczniu 2023 roku na profilu Conspirador Norteño

Zestawienie znalezionych fałszywych kont, zweryfikowanych za opłatą.

Zdjęcia profilowe dla pokazywanych tam kont botów zostały wygenerowane przy wykorzystaniu mechanizmów GAN w serwisach thispersondoesnotexist.com lub generated.photos, więc wprawne oko od razu je rozpozna. Jednak dla zwykłego użytkownika social mediów nie jest to takie oczywiste. Konta takie były wykorzystywane do siania dezinformacji i propagandowych treści już wiele razy, a ich zdemaskowanie możliwe było dzięki wyszukiwaniu za pomocą filtrów na Twitterze. Wpisując w pole wyszukiwania frazę: „filter:blue_verified -filter:verified”, można uzyskać listę kont mających wykupiony znaczek zweryfikowanego konta („blue verified”), które nie są „starymi” kontami, zweryfikowanymi na podstawie obowiązujących od dawna zasad. Sposób, w jaki dany profil uzyskał swoją weryfikację, można także sprawdzić, klikając na niebieski znaczek obok nazwy użytkownika na stronie profilu.

Sposób weryfikacji czy konto ma znaczek weryfikacji kupiony czy otrzymany po faktycznej weryfikacji (tu przykład faktycznie zweryfikowanego konta Miasta Gdańsk).

Wkrótce zrobi się może jeszcze ciekawiej, gdyż Twitter wprowadził dwa dodatkowe kolory znaczków weryfikacji konta – złote dla biznesu i szare dla kont rządowych. Być może za rogiem czają się już kolejne kolory i kształty. I jak tu się w tym odnaleźć?

OSINT jako sposób wyszukiwania danych daje ogrom możliwości, jednak nie należy przeceniać jego uniwersalności i łatwości znajdowania prawdziwych informacji. Za każdym razem należy zadać sobie pytania: czy na pewno to, co widzę, jest prawdziwe i jakie argumenty za tym przemawiają? Dzięki temu możliwe będzie uniknięcie w przyszłości wpadania w pułapki „łatwych rozwiązań”.

Podsumowanie i rady:

  • Jeśli coś jest zbyt piękne, aby było prawdziwe, to najprawdopodobniej prawdziwym nie jest – to dotyczy także przykładów genialnych śledztw OSINT-owych.
  • Weryfikacja informacji jest kluczowa, jeśli przygotowujemy analizę OSINT-ową i chcemy uniknąć zupełnego lub częściowego zaburzenia jej wniosków i wyników.
  • Jeśli wszyscy na Twitterze będą mogli być zweryfikowani, to tak naprawdę nikt nie będzie zweryfikowany. Tę zasadę można odnieść do wielu aspektów, ale akurat w opisywanym przypadku, dotyczy ona możliwości dowolnego oznaczania przez Twittera kont jako „zweryfikowane”.

Krzysztof Wosiński

@SEINT_pl / @SEINT@infosec.exchange

Tylko do końca kwietnia istnieje możliwość zamówienia Pakietu EKSPERT OSINT/OPSEC które obejmuje szkolenia OSINT/OPSEC – narzędzia, techniki śledcze, ochrona przedśledzeniem (2 dni), które odbędzie się w dniach 1-2 czerwca https://sklep.securitum.pl/osint-opsec-szkolenie

oraz nasze NOWE (26 maja) szkolenie OSINT w praktyce dostępne pod adresem https://sklep.securitum.pl/osint-w-praktyce

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. osintowiec

    Bdb uzupełnienie osintowe.
    Jeżeli wiesz wszystko o rządzących, to jest demokracja, ale jeśli rząd wie o tobie wszystko, to jest dyktatura. Im dalej w las, tym więcej drzew… Jeśli plany psychopatów się spełnią i wszczepią ludziom czipy (podstępnie jak w fazie eksperymentalnej), to znalezienie takiego kick-boxera będzie kwestią kilku kliknięć. A w/w metody będą jedynie podkładką do efektów.

    Odpowiedz

Odpowiedz