Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Pasywny rekonesans kont Google i Microsoft [OSINT hints]
Jedną z szybkich i efektywnych technik rekonesansu OSINT-owego jest zdobywanie szczegółowych informacji o osobie i jej zdjęciu profilowym na podstawie adresu e-mail. Jeśli jest to konto Google, można skorzystać z takich narzędzi jak opisywany już przeze mnie w tej serii GHunt. Można też użyć narzędzia, którego nie trzeba instalować, czyli wyszukiwarki informacji o koncie Google na stronie Epieos. Problem z narzędziami jest jednak taki, że nie zawsze działają. Niekiedy łatwiej (i szybciej) można zdobyć większą wiedzę o właścicielu konta po skorzystaniu z funkcjonalności serwisów Google czy Microsoft. Dzisiaj chcę przybliżyć temat zdjęć profilowych, które mogą posłużyć do dalszej analizy na przykład z wykorzystaniem wyszukiwania obrazem, a także temat identyfikatorów kont Google.
Każdy użytkownik konta Google może przypisać do swojego konta zdjęcie profilowe. Nie jest to niczym nadzwyczajnym. Ale nie wszystkie serwisy tak chętnie jak Google dzielą się zdjęciami profilowymi podczas rekonesansu pasywnego, tzn. bez jakiejkolwiek interakcji z badanym obiektem.
Zdjęcie profilowe konta Google można uzyskać na wiele różnych sposobów. Pierwszym z nich może być dodanie osoby o znanym adresie e-mail do kontaktów swojego konta Google. Wystarczy przy tworzeniu nowego kontaktu wpisać ten adres poczty elektronicznej, a Google automatycznie pokaże, jaki awatar ten konkretny użytkownik przypisał do swojego konta. W celu analizy grupy osób (adresów) można zaimportować kontakty do konta i w ten sposób uzyskać zestawienie wszystkich zdjęć profilowych. Aby wyodrębnić samo zdjęcie w nieco lepszej rozdzielczości, musimy już zagłębić się w kod strony. Przydatne do osiągnięcia tego celu będą narzędzia deweloperskie wbudowane w przeglądarki. Wystarczy kliknąć prawym przyciskiem myszy na zdjęciu wyświetlonego kontaktu i wybrać opcję „Zbadaj” (lub „Wykonaj inspekcję” w MS Edge). To uwidoczni adres, pod jakim można pobrać zdjęcie profilowe. Po skopiowaniu adresu z kodu strony można na przykład wkleić ten adres do kolejnej karty w przeglądarce. Dla zdjęć profilowych kont Google adres takiego zdjęcia będzie zaczynał się od „https://lh3.googleusercontent.com” (przy czym nie musi to być lh3, może tam być też inna cyfra), jak to widać na poniższym screenie. Jedyną dostępną rozdzielczością jest tu 272×272. Niedużo jak na zdjęcie, jednak w końcówce adresu widać coś, co może pomóc uzyskać nieco większą rozdzielczość, a mianowicie „s272”. Zgodnie z informacją o konstrukcji adresów zdjęć profilowych kont Google, „s” oznacza parametr wielkości dłuższego boku obrazka (w pikselach), więc zmiana wartości stojącej za tą literą spowoduje wyświetlenie obrazu o wyższej rozdzielczości. Jeśli podamy zbyt dużą wartość, otrzymamy obraz w takiej rozdzielczości, jaką oryginalnie posiadał ten obrazek.
Jednak nie tylko obraz jesteśmy w stanie pozyskać, zaglądając w kod strony. Wyszukując w nim adresu e-mail poszukiwanej osoby, trafimy w pewnym momencie na zbiór różnych danych z nią związanych, a zebranych w jednym ze skryptów (opakowanych w tag <script>). Najistotniejszą z informacji tam zawartych jest identyfikator konta, który może być później wykorzystany do uzyskania kolejnych danych o osobie. Jest to ciąg cyfr rozpoczynający się zazwyczaj od 10 lub 11. Na jego podstawie możemy uzyskać na przykład dostęp do opinii pozostawionych przez daną osobę na mapach Google. Wystarczy w tym celu skonstruować link według następującej reguły: https://www.google.com/maps/contrib/ID_KONTA/reviews i zobaczyć, czy i gdzie dana osoba zostawiła opinie.
Metod na wykorzystanie identyfikatora konta Google jest więcej. Wystarczy przywołać opisane przez Sector035 łączenie osoby z jej kontem na Youtube.
Kolejnym ze sposobów na uzyskanie zdjęcia profilowego jest udostępnianie dokumentów Google. Wpisanie adresu e-mailowego w oknie udostępniania spowoduje ukazanie się podpowiedzi z awatarem przypisanym do konta z o podanym adresie. Oczywiście, nie należy udostępniać dokumentu tej osobie (po analizie najlepiej usunąć wpisany adres), aby nie powiadomić jej o fakcie poszukiwania informacji na jej temat.
Ten sposób jest uniwersalny dla różnych serwisów Google i możemy go użyć także w Formularzach Google.
Ten sam mechanizm działa w czasie dodawania osoby do czatów Hangouts (ale ciągle bez wysyłania jakiejkolwiek informacji do właściciela konta, aby rekonesans pozostał pasywny) – bez problemu uzyskujemy dostęp do podglądu zdjęcia profilowego. Jak widać na powyższym screenie, Google nie zwraca uwagi na to, w jakich miejscach stawiamy kropki w loginie konta.
Aby takie poszukiwania były owocne, analizowany adres e-mail nie musi znajdować się w domenie gmail.com; może to być dowolny adres poczty elektronicznej, wystarczy, że został przypisany do konta Google, które ma uzupełnione takie informacje, jak zdjęcie profilowe.
Punktem wejścia dlanie musi być adres e-mail, a na przykład numer telefonu. Jednak w tym przypadku dużo łatwiejsze wydaje się wyszukanie numeru bezpośrednio w wyszukiwarce Google, co da dostęp do pełnego profilu, jeśli jest to konto firmowe z (co ważne) udostępnionym numerem telefonu.
Microsoft
A jeśli posiadany adres poczty elektronicznej nie jest adresem powiązanym z kontem Google, tylko z jego microsoftowym odpowiednikiem, czyli adresem w domenie outlook.com? W tym przypadku Microsoft również pozwala na podejrzenie zdjęcia profilowego w podobny, choć nieco uboższy niż w przypadku Google, sposób.
Możemy zobaczyć zdjęcie profilowe podczas dodawania adresatów e-maila (oczywiście bez jego wysyłania) lub podczas dodawania osób do wydarzenia w Kalendarzu. Dla Microsoftu ma już jednak znaczenie liczba i umiejscowienie kropek w loginie, tzn. nie możemy ich wstawiać w dowolne miejsca jak w przypadku Google.
Gravatar
Jeśli naszym punktem wejścia w czasie rekonesansu pasywnego jest adres e-mail, możemy również skorzystać z usługi Gravatar, która dla zarejestrowanego w niej adresu e-mailowego pozwala dodać zdjęcie profilowe, wyświetlane następnie w wielu serwisach w sieci (na przykład Slacku, Githubie, a także sekuraku). Adres zdjęcia profilowego to po prostu:
https://www.gravatar.com/avatar/SKRÓT_MD5_ADRESU_EMAIL.
Oczywiście można hash MD5 dla danego adresu liczyć osobno, jednak na stronie Gravatara istnieje osobna formatka do weryfikacji, jaki obraz został przypisany (o ile został) do konkretnego adresu e-mail: https://en.gravatar.com/site/check/.
Podsumowanie
To oczywiście tylko niektóre z przykładów uzyskiwania zdjęć profilowych osób metodami OSINT-owymi. Chciałem pokazać, w jaki sposób różne firmy (a raczej my sami) udostępniają bez naszej wiedzy informacje o nas każdemu, kto o nie zapyta. Oczywiście wrzucając swoje zdjęcie na „profilówkę” do Internetu, musimy pogodzić się z faktem, że tak naprawdę to zdjęcie staje się publicznie dostępne. Wiele osób jest tego świadomych i jest dla nich czymś naturalnym, że każdy może zobaczyć ich awatar w różnych serwisach.Jednak w dobie coraz większego i świadomego dążenia do ochrony prywatności warto wiedzieć, kto i kiedy może to zrobić.
Krzysztof Wosiński, @SEINT_pl