У цій статті ми розберемо практичні приклади, пройдемося за функціоналом та принципами роботи інструменту Maltego.
375 
З’являється все більше і більше інструментів для з’ясування точного розташування, звідки було зроблено фото- або відео. Дані збираються протягом деякого часу, і ось вже перед нами напрочуд докладна картина про те, хто ви і чим живете. Додайте відкриті всім адреси, твіти, фотографії, дані телефону, і більш повну картину про вас буде важко уявити. . Дані розкажуть, у яких протестних акціях ви брали участь, у яких політичних чи громадських групах полягаєте. Найдетальніша картина може потрапити до рук будь-яким людям та організаціям. Дані можна продати заради прибутку. Можна складати прогнози – де людина опиниться у майбутньому. Зрештою, інформацію може використати уряд. Якщо в телефоні дозволено використовувати дані локації з фотографіями, ця інформація буде включена у фотографії (наприклад, метадані фотографії розкажуть, де вона була зроблена). Люди надсилають такі фотографії поштою, завантажують до інтернету і не замислюються, що розкривають дані геолокації.
Більшість соцмереж видаляє дані геолокації з фотографій під час завантаження, але залишається чимало інших способів добути дані геолокації з фотографій, якими ви ділитеся зі світом. На більшості смартфонів встановлена картографічна програма. Коли ви рухаєтеся, фіксуються ваші поточні координати і де ви були в минулому.Геоположення грає не останню роль OSINT. Не дарма на Hack The Box один із нових OSINT челенджів (Kryptic Ransomware) зав’язаний саме на пошуку точних координат будинку цілі. Челлендж дуже цікавий, не полінуйтеся пройти.
Перший метод, який мені відомий – це використання рідних Entities від Maltego: Circular Area та GPS Coordinate.
У параметрах Entities нам потрібно вказати координати, які можна зухвало взяти з Google Maps, і радіус охоплення пошуку, якщо ми використовуємо Circular Area.
[Censys] Search in IPv4 — зробити запит до бази Censys та знайти всі IP адреси за даними координатами.
[Facebook] Photos by Geo – знайти фото за вказаним геоположенням.
[Facebook] Search for Places – знайти місця за вказаним геоположенням.
[Facebook] Videos by Geo – знайти все відео за вказаним геоположенням.
[Instagram] Media by Geo – знайти всі медіафайли за вказаним геоположенням.
[Snapchat] Snap by Geo – знайти всі медіафайли за вказаним геоположенням.
[Twitter] Search Tweets by Geo — знайти всі твіти за вказаним геоположенням.
[Vkontakte] Photos by Geo Popular – знайти популярні фото за вказаним геоположенням.
[Vkontakte] Photos by Geo Recent – знайти нещодавні фото за вказаним геоположенням.
[Vkontakte] Stories by Geo – знайти всі сторіс за вказаним геоположенням.
[YouTube] Videos by Geo — знайти все відео за вказаним геоположенням.
Для Entitie: Circular Area нам доступно все те саме, за винятком роботи з API Censys. Найцікавіше дізнатися, як працює Transform – [Facebook] Search for Places. Щодо фото, відео та медіа, думаю і так все зрозуміло: є геомітка у соцмережі – є влучення у видачу. Мітки немає, немає у видачі.
Конвертуємо GPS Coordinate у Circular Area, виставляємо радіус 1000 метрів та запускаємо трансформ. Отримуємо 94 місця з пошукової видачі Facebook.
Все досить релевантно, за деякими винятками. Серед визначних пам’яток, клубів, барів та ресторанів записалося 2 незрозумілі елементи. Хлопець, який розповідає, що можна купити яхту за 1000 євро та обліковий запис, який називається Санкт-Петербург з фото якогось рандомного чувака. Обидва чомусь вирішили, що вони компанії і зареєструвалися на Facebook як комерційний обліковий запис з виставленням адреси юрособи в районі Палацової площі. В іншому все досить правильно. Всі облікові записи мають виставлену адресу в радіусі 1000 метрів від Дворцової. Отже, ці двоє — більше недогляд Facebook щодо достовірності комерційних акаунтів, ніж помилка Maltego. Геодані у них в облікових записах виставлені в межах 1000 метрів від Дворцової.
Тепер пробуємо пошук фото. Координати – центр палацової за версією Google Maps (59.93901,30.315706), видачу я спеціально обмежив на 50 фото, оскільки інакше нас просто захлисне потоком всього знайденого. І тут уже почала вимальовуватись якась модель, за якою Facebook повертає результат. Спочатку соцмережа знаходить найближче до точки місце «інтересу» та повертає всі фото, які мають відповідну геомітку. Оскільки ми вказали центр Палацової площі, то найближча мітка на думку соцмережі — це Palace Square.
У результаті ми отримуємо у видачу всі фото, які мають цю мітку.
Ну і на підтвердження гіпотези – візьмемо координати ресторану COCOCO (59.934991, 30.308709) та спробуємо той самий трюк із пошуком фото. І отримуємо фото з … HI SO TERRACE … (це не те, що ми шукали, якщо ви не зрозуміли).
А ні, СТОП! Все вірно. Цей заклад знаходиться в одному будинку з рестораном COCOCO. Мабуть, рука здригнулася на пів градуса, коли мітку на Google Maps ставив, щоб координати зловити).
Як справи з ВКонтакте, запитаєте ви? А ось із нашим коханим ВК все не так добре. Розкид просто дикий. Ось, наприклад, запит – за попередніми координатами, а у видачі фото, як і на відстані 200-300 метрів від крапки, так і взагалі з геометкою Петергоф!
Що стосується трансформу [YouTube] Videos by Geo – то тут справи трохи краще. Хоча й не дуже. У видачу потрапило як відео з геометками конкретних місць у Санкт-Петербурзі, у тому числі і з геоміткою ресторану COCOCO, так і багато відео з геометкою РОСІЯ.
Ще до варіантів пошуку за місцем розташування можна віднести Entitie: Search Person. Ця Entitie зроблена для пошуку людини у Facebook і має кілька полів у властивостях. Вказавши ці поля, ми задаємо критерії пошуку.
[Facebook] Search Users – пошук користувачів;
[Facebook] Search Users (Exact) – точний пошук із збігом всіх вступних даних;
[Facebook] Search Users (Up to 60 mins) – відкладений пошук користувачів;
[Facebook] Search Users (Up to 60 mins) (Exact) — точний відкладений пошук із збігом усіх вступних даних.
Та й тут все ОК. Моя сторінка на Facebook є у видачі, як і передбачалося. Метод, перевірений та на Facebook працює без осічок. Ну якщо тільки не рахувати купу однофамільців, яку доведеться розгрібати в пошуках облікового запису.
Відкладений пошук в даному випадку потрібен, щоб обійти особливість Maltego за вікном відповіді в 2 хвилини. Застосовується, якщо потрібно здійснити пошук за великим масивом інформації. Наприклад, знайти всі акаунти із зазначеним містом та вивантажити їх на граф.
Як самостійний елемент пошуку цей функціонал використовуватися не може. Як додатковий канал перевірки інформації або, наприклад, додатковий вектор розслідування, функціонал може бути успішно застосований. Особисто я застосовував цю методику пошуку 2 рази, коли потрібно було підтвердити за соцмережами фактичне перебування людини десь. В рамках одного кейсу було вивантажено фото за координатами через сутність Circular Area, а потім було вивантажено фото із соцмереж дружини об’єкта кейсу. Maltego, як і належить, побудував зв’язки між збіглися фото і, як результат, ми отримали потрібний результат. Не пропустіть наступні статті циклу. Там ми поговоримо про пошук інформації на формах та магазинах у Dark Net.
375 
270 
295 
289 
243 
242