У цій статті ми розберемо практичні приклади, пройдемося за функціоналом та принципами роботи інструменту Maltego.
409 
У сучасну цифрову епоху рідко можна зустріти людину, підключену до Інтернету, яка не має акаунту на одному або кількох сайтах соціальних мереж. Люди використовують соціальні сайти для спілкування, ігри, магазин, спілкуватися в Інтернеті, та шукати інформацію про все, що ви можете собі уявити. Facebook, Twitter, YouTube, LinkedIn та Google стали невід’ємною частиною нашого життя, і сотні мільйонів людей щодня проводять на цих платформах значну кількість часу. Соціальні медіа-сайти відкривають численні можливості для будь-якого розслідування через величезну кількість корисної інформації, яка може бути знайдена на них. Все це можна знайти, наприклад, в одному профілі Facebook. Facebook також допомагає сторонньому спостерігачеві зрозуміти, як той чи інший користувач Facebook сприймає життя, просто перевіряючи поточну діяльність користувача.
Багато оцінок показують, що 90 відсотків корисної інформації, отриманої розвідувальними службами, надходить із відкритих джерел (OSINT), а решта надходить із традиційної прихованої розвідувальної розвідки. Служби безпеки збирають інформацію оптом із соціальних сайтів, щоб отримати уявлення про можливі майбутні події по всьому світу та профілювати людей у національному масштабі. Крім збору розвідданих, правоохоронні органи використовують сайти соціальних мереж як слідчі ресурси для боротьби зі злочинами. Хоча сайти соціальних мереж дозволяють своїм користувачам посилити контроль за конфіденційністю, щоб інші не бачили розміщеного контенту. Це робить великий обсяг доступних даних, легко доступним для різних видів онлайнових розслідувань.
У статті про Facebook ми вже говорили про те, як можна дістатися до облікового запису в соцмережі, тому не будемо зупинятись на цьому знову. Давайте краще подивимося, яку інформацію можна вийняти з профілю користувача в Instagram. Спочатку ми конвертуємо посилання Instagram в коректне Entitie, але не завдання – Entitie не заповнена. Отримали лише User ID. Вивантажуємо решту даних за допомогою Transform — [Instagram] User Details. На виході отримуємо коректно заповнену Entitie для Instagram профілю.
[Instagram] User Followers – вивантажити список передплатників користувача;
[Instagram] User Following – вивантажити список тих, на кого підписався користувач;
[Instagram] User Media – вивантажити фото та відео користувача;
[Instagram] User Tagged Media – вивантажити медіа файли, на яких відзначили користувача.
Якщо психанути і перекликати всі пункти, то для облікового запису середньостатистичної людини ми отримаємо ось таку картину:
Перша проблема випливає сама собою із внутрішнього пристрою соцмережі. Оскільки в Instagram усі формати сторінок у будь-якому випадку є обліковцями, то розділяти передплати та передплатників ми можемо лише за позначками над Links. Якщо включаємо угруповання Entities, всі вони зливаються нам у єдиний блок.
[Convert] To Entitie – вивантажує та конвертує в дод. Entities URL облікового запису, URL фото/відео та Alias облікового запису;
[Convert] To Location – вивантажує Entitie з геолокацією фото;
[Face Recognition] Search – визначає особи на фото і запустить по них пошук з обліковими даними власника фото;
[Instagram] Comments — вивантажує облікові записи користувачів, які залишили коментарі під фото/відео;
[Instagram] Get Likes – вивантажує акаунти користувачів, що лайкнули фото/відео;
[Instagram] To Photo | Video Details – завантажує в Entitie доступні дані по фото/відео;
[Instagram] To Profile – надає профіль користувача, якому належить фото/відео.
Далі я вирішив протестувати, чи можна знайти з ходу інші соцмережі людини за допомогою Transforms із групи Search Profile in Other Networks. Всі дані Transforms пов’язані з механізмом Face Recognition, про який ми поговоримо в окремій статті. Мудрити сильно не став і запустив відразу все, благо їх небагато і підсумкова інформаційна видача буде невелика: або є обліковий запис, або ні.
Прим. Автор: Ніколи! Чуєте? НІКОЛИ не запускайте пункт ALL TRANSFORMS! Це для вашого блага. Те, що ви отримаєте за підсумком, буде просто величезною мішаниною Entities і Links. При проведенні OSINT з використанням Maltego запускати по кілька Transforms, як було описано вище, слід тільки в тому випадку, якщо ви чітко уявляєте, яка підсумкова інформаційна видача на вас чекає. Поступове просування під час OSINT – запорука перемоги.
Результат мене, м’яко кажучи, здивував! З ходу сплив мій профіль в LinkedIN:
А вот по Хидео Кодзиме получилась еще более занятная информационная выдача:
– 1 аккаунт ВК;
– 4 акаунти Facebook;
– 1 обліковий запис Foursquare;
– 3 акаунти в Twitter;
– 1 обліковий запис Xing (аналог LinkedIN);
– 1 обліковий запис MySpace.
Тут уже LinkedIN сам напросився. Давайте розберемося, яку інформацію ми зможемо вийняти з облікового запису цієї соцмережі із застосуванням Maltego. І давайте, напевно, візьмемо когось цікавіше за мене. Білла Гейтса, наприклад.
[Linkedin] People Also Viewed — вивантажує список останніх користувачів, які переглядали цей обліковий запис;
[Linkedin] User Details — вивантажує та створює Entities компанії, навчального закладу та місця проживання, виходячи із зазначеної у профілі інформації;
[Linkedin] User Posts – вивантажує всі пости користувача;
[SL DB] Get Email by Linkedin Profile — пошук e-mail користувача в базі Social Links по обліковому запису LinkedIN.
[Convert] To Entitie – вивантажує Entitie посилання з URL картинки профілю компанії;
[Linkedin] Company Details – вивантажує Entities розташування офісу та профілі афілійованих компаній;
[Linkedin] Current Employees – вивантажує список профілів, у яких зазначено, що вони працюють у компанії;
[Linkedin] Past Employees – вивантажує список профілів, у яких зазначено, що вони працювали у компанії.
При отриманні інформації через Transform [Linkedin] Company Details для тесту Microsoft маємо видачу:
Прим. Автор: до речі, є ще одна цікава OSINT-методика для Maltego. По Entitie розташування ми можемо вивантажити з бази OpenCorporates список усіх компаній, розташованих за вказаною адресою. Далі, для компанії, що нас цікавить, ми можемо виконати пошук її акаунтів по різних соцмережах.
По Entities навчального закладу та поста користувача Transform для вивантаження інформації немає.
От і дісталися, нарешті, до ВКонтакті. Ну і якщо у нас вже є обліковий запис Хідео Кодзими в ВК, то продовжимо з ним. Обліковий запис точно його. Інфа – сотка!
[Vkontakte] Friends – вивантажити список друзів;
[Vkontakte] User Details – вивантажити в якості окремих Entities інформацію про користувача;
[Vkontakte] User Groups and Pages — вивантажити список груп та сторінок користувача;
[Vkontakte] User Photos – вивантажити список фото користувача;
[Vkontakte] User Posts – вивантажити список постів користувача;
[Vkontakte] User Videos — вивантажте список відео користувача.
Підсумкова видача виглядає якось так:
Тепер давайте копнемо глибше і дізнаємося, що ми можемо отримати за окремими Entities. Для Груп і Сторінок все просто – можемо отримати список користувачів, які в них складаються та підписані на них відповідно. Списки користувачів вивантажені, зв’язки взаємних підписок побудовано. Не забуваймо чистити граф від віддалених обліків (DELETED). Вони ж, у народі у SMM-щиків — собачки.
За Постами, Відео та Фото нам доступна лише одна Transforms – вивантажити список користувачів, які лайкнули пост/відео/фото. Давайте вивантажимо списки і накинемо інформації на граф. Все на місці і перед нами знову брама OSINT-ада)
Нам таке бачити вже не вперше. Починаємо чистити видачу. Спочатку прибираємо всі списки, а потім починаємо дивитися вручну зв’язки. Через 5 хвилин картина починає вимальовуватися.
Ну ось, не минуло й 10 хвилин, а ми за допомогою таких банальних, на перший погляд, методик вирахували BEST OF THE BEST фанатів Кодзими. Це люди, які перебувають у всіх групах, у друзях у Кодзими і лайкнули останні 3 його пости, фото та відео.
На думку ЗМІ всього світу, пости саме в цій соцмережі прирівнюються до офіційних висловлювань та заяв.
Твітнув такий Ілон Маск у 2018 році, що не погано було б вивести компанію з біржі і ось начебто навіть інвестор є, і як ПОНЕСЛОСЯ… з цінних паперів США (SEC) порушила розслідування про маніпуляції з ринком цінних паперів. І це все через один твіт. У результаті SEC у досудовому порядку домоглася того, що тепер Ілон Маск зобов’язаний узгоджувати з ними будь-які свої посади, які стосуються компанії Tesla у будь-якій соцмережі. Ось такий він Twitter. Мати хештегів та поле бою холіварів усіх мастей.
[Twitter] Get info from password recovery page – отримати інформацію зі сторінки відновлення пароля;
[Twitter] To User Followers – вивантажити список фоловерів;
[Twitter] To User Following – вивантажити список тих, на кого підписано користувача;
[Twitter] User Details — вивантаження інформації з облікового запису в профіль.
Однак, якщо ми перейдемо в All Transforms і в пошуку наберемо Twitter, то побачимо дещо розгорнуту картину. Це пов’язано з тим, що з Transforms від Social Links в комплекті йдуть ще Transforms для Twitter від самих Paterva.
[Twitter] To User RT – вивантажити ретвіти користувача;
[Twitter] To User Tweets – вивантажити твіти користувача;
[Twitter] To User Tweets + RT – вивантажити твіти + ретвіти;
To Twitter Affiliation [This person receives Tweets from ?] — вивантажити список користувачів, які писали твіти даному користувачеві;
To Twitter Affiliation [This person wrote Tweets to ?] — вивантажити список кому користувач писав твіти;
До Twitter details [From Twitter number or screen name] — аналог [Twitter] User Details;
To Twitter followers – аналог [Twitter] To User Followers;
To Twitter friends – аналог [Twitter] To User Following;
Як і у всіх попередніх випадках, успішність OSINT із застосуванням усіх цих Transforms залежить виключно від того, як ви будуєте свою лінію розслідування та які методики застосовуєте.
Прим. Автор: загалом, за звичайними людьми з Twitter можна вийняти багато корисної і не дуже інформації, якщо вони, звичайно, ним користуються.При пошуку інформації в Twitter (і взагалі в будь-яких соцмережах) уникайте переходу зв’язків до різних медійних осіб. Вони мають дуже велику кількість фоловерів і твітів. Причому, коли я говорю «велике», я говорю про кількість від 100 тисяч! Із такими обсягами вам навіть Maltego XL не допоможе.
Ну вже що таке GitHub, гадаю, ні для кого не секрет. Лише найбільший у світі веб-сервіс для хостингу та спільної розробки IT проектів.
Для отримання інформації нам знадобиться обліковий запис GitHub та API ключ, який можна згенерувати в особистому кабінеті облікового запису. З урахуванням інструкції на сайті Social Links прибираємо всі галочки під час створення токена.
[Github] Followers – вивантажити список передплатників;
[Github] Following – вивантажити список передплат;
[Github] Get Email – вивантажити e-mail облікового запису на граф;
[Github] Organization – вивантажити Entitie організації, зазначеної в обліковому записі, на граф;
[Github] Starred – вивантажити список репозиторіїв, які відзначив користувач;
[Github] User Details – вивантажити інформацію про користувача;
[Github] User Repos – вивантажити список репозиторіїв користувача;
[Github] User Subscriptions — вивантаження підписки користувача.
Також є широкий спектр Transforms для вивантаження на граф складу репозиторіїв, але у цій статті ми розглядаємо GitHub з огляду на отримання інформації від користувачів. І тут також повний набір, якщо людина її заповнила у своєму профілі, зрозуміло.
Далі все залежить від ваших знань методів OSINT та вміння аналізувати та пов’язувати воєдино отриману інформацію.
Однокласники – настав ваш час! Багатьом може здатися, що ця соцмережа нічим не примітна, насправді вона надає дуже велику допомогу при пошуку інформації на людей віку 40+.
У моїй практиці OSINT, щонайменше, 7 разів я використав по повній інформації, яку вдалося знайти в цій соцмережі.
Але для початку, як фахівець із захисту інформації хочу висловити свою НЕРІДЖЕННЯ абсолютно абсурдною вимогою соцмережі заплатити гроші за те, щоб зробити свій профіль повністю приватним. Думаєте, я пожартував?
За зміну всіх зазначених параметрів на приватні з вас попросять гроші. І справа не в сміховинній сумі в 50 рублів, а в тому, що це не дуже етично просити з людей гроші за конфіденційність. І це я мовчу про інші аспекти монетизації однокласників. Не далекий той день, коли там продаватимуться паки повідомлень, як раніше СМС поштучно купували. У плані OSINT, однак, це полегшує завдання, тому що не всі люди запарюються покупкою опцій.
На жаль, за цією соцмережею у нас є, поки що, лише можливість вивантаження списку друзів та інформації з облікового запису на граф. Для базових методів цього, звичайно, вистачає, але хотілося б більше можливостей. Transforms активно розширюються з боку Social Links і думаю, що по функціоналу будуть дуже схожі з набором Transforms для ВКонтакте.
Прим. Автором: однією з дуже зручних функцій Maltego є конвертація Entities. Уявимо ситуацію, що вам потрібно виконати пошук із застосуванням розпізнавання облич, але у вас є Entitie — Person із прикріпленою фотографією. Легким рухом миші ви можете конвертувати її в потрібну вам Entitie та не розривати граф зв’язків. Подробиці на знімках екрана нижче.
Як бачимо, за підсумком маємо Entitie нового типу і ми можемо застосовувати до неї повний спектр Transforms, які доступні цього типу Entitie, але були доступні для Entitie — Person. Таким чином, у ході OSINT ви можете коригувати граф та робити його логічно більш зв’язковим та зручним для читання.
Gravatar, Xing, Myspace, Snapchat та Мій Світ представлені у вигляді окремих Entities з набором параметрів, які вивантажуються у властивості та на граф за потреби.
Однак, повноцінних Transform для роботи з Entities цих мереж немає. Виняток становить, хіба що, Foursquare. У ній можна завантажити список друзів.
Але тут ми можемо отримати багато корисних відомостей. У рамках OSINT інформація з даних мереж може використовуватись для підтвердження вже виявлених відомостей та розкриття додаткових каналів пошуку інформації у вигляді мережі контактів, підключених профілів інших соцмереж, місць роботи, робочих e-mail. телефонів.
Ось і все з соціальними мережами та Maltego на сьогодні. Як виявилося, все не так складно та заплутано, вірно? Не пропустіть наступну статтю, в якій ми розглянемо механізм розпізнавання обличчя на фото від Social Links і як він працює в екосистемі Maltego.
409 
297 
319 
262 
263 
261