Social media

Здравствуйте, дорогие друзья. Сегодня целью моей статьи будет разбор функционала связки Maltego + Social Links на предмет поиска по геолокации. Как это работает и что мы сможем применять в OSINT? Давайте разбираться.

Геоположение играет не последнюю роль в OSINT. Не зря на Hack The Box один из новых OSINT челленджей (Kryptic Ransomware) завязан именно на поиске точных координат дома цели. Челлендж очень интересный, не поленитесь пройти.

Перед прочтением рекомендую ознакомиться с предыдущими статьями из цикла о Maltego:

Часть 1 Что такое Maltego и зачем оно вообще нужно

Часть 2 Интерфейс и базовое устройство

Часть 3 Maltego и OSINT в Facebook

Часть 4 Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях

Часть 5 Применение системы распознавания лиц для OSINT в Maltego

Там много полезной информации.

Итак, преступим. Первый метод, который мне известен это использование родных Entities от Maltego: Circular Area и GPS Coordinate.



В параметрах данных Entities нам нужно указать координаты, которые можно нагло взять из Google Maps, и радиус охвата поиска, если мы используем Circular Area.

Для Entitie: GPS Coordinate нам доступно:



[Censys] Search in IPv4 сделать запрос к базе Censys и найти все IP адреса по данным координатам.
[Facebook] Photos by Geo найти фото по указанному геоположению.
[Facebook] Search for Places найти места по указанному геоположению.
[Facebook] Videos by Geo найти все видео по указанному геоположению.
[Instagram] Media by Geo найти все медиафайлы по указанному геоположению.
[Snapchat] Snap by Geo найти все медиафайлы по указанному геоположению.
[Twitter] Search Tweets by Geo найти все твиты по указанному геоположению.
[Vkontakte] Photos by Geo Popular найти популярные фото по указанному геоположению.
[Vkontakte] Photos by Geo Recent найти недавние фото по указанному геоположению.
[Vkontakte] Stories by Geo найти все сторис по указанному геоположению.
[YouTube] Videos by Geo найти все видео по указанному геоположению.
Также имеется возможность преобразовать Entitie GPS Coordinate в Circular Area.

Для Entitie: Circular Area нам доступно все тоже самое, за исключением работы с API Censys.



Для теста я выбрал координаты центра Дворцовой площади. Почему? Как обычно просто так.



Интереснее всего узнать, как работает Transform [Facebook] Search for Places. По поводу фото, видео и медиа, думаю и так все понятно: есть геометка в соцсети есть попадание в выдачу. Метки нет, нет в выдаче.

Конвертируем GPS Coordinate в Circular Area, выставляем радиус 1000 метров и запускаем трансформ. Получаем 94 места из поисковой выдачи Facebook.



Все достаточно релевантно, за некоторыми исключениями. Среди достопримечательностей, клубов, баров и ресторанов записалось 2 непонятных элемента.



Парень, который рассказывает, что можно купить яхту за 1000 евро и аккаунт, который называется Санкт-Петербург с фото какого-то рандомного чувака. Оба почему-то решили, что они компании и зарегистрировались на Facebook как коммерческий аккаунт с выставлением адреса юрлица в районе Дворцовой площади.

В остальном все достаточно верно. Все аккаунты имеют выставленный адрес в радиусе 1000 метров от Дворцовой.



Так что эти двое больше недосмотр Facebook относительно достоверности коммерческих аккаунтов, чем ошибка Maltego. Геоданные у них в аккаунтах выставлены в пределах 1000 метров от Дворцовой.

Теперь опробуем поиск фото. Координаты центр дворцовой по версии Google Maps (59.93901,30.315706), выдачу я специально ограничил на 50 фото, поскольку иначе нас просто захлестнет потоком всего найденного.



И тут уже начала вырисовываться некая модель, по которой Facebook возвращает результат. Изначально соцсеть находит ближайшее к точке место интереса и возвращает все фото, которые имеют соответствующую геометку. Так как мы указали центр Дворцовой площади, то и ближайшая метка по мнению соцсети это Palace Square.

В итоге мы получаем в выдачу все фото, которые имеют данную метку.





Ну и в подтверждения гипотезы возьмем координаты ресторана COCOCO (59.934991, 30.308709) и попробуем тот же трюк с поиском фото.

И получаем фото с HI SO TERRACE (это не то, что мы искали, если вы не поняли).



А нет, СТОП! Все верно. Данное заведение находится в одном доме с рестораном COCOCO. Видимо, рука дрогнула на пол градуса, когда метку на Google Maps ставил, чтобы координаты поймать).



А как дела со ВКонтакте, спросите вы? А вот с нашим любимым ВК все не так хорошо. Разброс просто дикий. Вот, например, запрос по предыдущим координатам, а в выдаче фото, как и на расстоянии 200-300 метров от точки, так и вообще с геометкой Петергоф!





Что касается трансформа [YouTube] Videos by Geo то тут дела чуточку лучше. Хотя и не сильно. В выдачу попало как видео с геометками конкретных мест в Санкт-Петербурге, в том числе и с геометкой ресторана COCOCO, так и много видео с геометкой РОССИЯ.









Еще к вариантам поиска по местоположению можно отнести Entitie: Search Person. Эта Entitie сделана для поиска человека в Facebook и имеет несколько полей в свойствах. Указав эти поля, мы задаем критерии поиска.



Представим, что нами известно ФИО и город. Задаем указанные значения и запускаем нужный нам Transform. На выбор доступно:

[Facebook] Search Users поиск пользователей;
[Facebook] Search Users (Exact) точный поиск с совпадением всех вводных данных;
[Facebook] Search Users (Up to 60 mins) отложенный поиск пользователей;
[Facebook] Search Users (Up to 60 mins) (Exact) точный отложенный поиск с совпадением всех вводных данных.



Ну и тут все ОК. Моя страница на Facebook есть в выдаче, как и предполагалось. Метод, проверенный и на Facebook работает без осечек. Ну если только не считать кучу однофамильцев, которую придется разгребать в поисках искомого аккаунта.



Отложенный поиск в данном случае нужен, чтобы обойти особенность Maltego по наличию окна ответа в 2 минуты. Применяется, если требуется выполнить поиск по большому массиву информации. Например, найти все аккаунты с указанным городом и выгрузить их на граф.

Теперь к практическим выводам.



Как самостоятельный элемент поиска данный функционал использоваться не может. Как дополнительный канал проверки информации или, например, дополнительный вектор расследования функционал может быть успешно применен.

Лично я применял эту методику поиска 2 раза, когда нужно было подтвердить по соцсетям фактическое прибывание человека где-то.

В рамках одного кейса были выгружены фото по координатам через сущность Circular Area, а потом были выгружены фото из соцсетей жены объекта кейса. Maltego, как и полагается, построил связи между совпавшими фото и, как итог, мы получили нужный результат.

Не пропустите следующие статьи цикла. Там мы поговорим о поиске информации на формах и магазинах в Dark Net.



А еще больше материалов и новостей из мира ИБ можно почитать в нашем телеграм-канале.

Уже достаточно много статей я разбирал OSINT и поиск в соцсетях с помощью Maltego. Сегодня же давайте поговорим о настройках приватности в их аккаунтах.

Когда-то я уже выказывал свое негодование относительно ситуации с настройками приватности в Одноклассниках. К слову, с того времени ситуация немножко изменилась в лучшую сторону, однако за полный контроль над приватностью своего профиля с вас все еще требуют деньги



Ну да и ладно бы с Одноклассниками. Куда интереснее проверить как обстоят дела с настройками конфиденциальности в самой большой социальной сети в мире. В Facebook.

В меню нам доступны следующие категории:



В эти категории внесены основные настройки приватности. Другие же не так очевидны и могут быть скорректированы отдельно для каждого пункта: места работы, учебы, семейного положения

Например, вы указали несколько мест работы и можете каждому из них задать видимость для отдельной категории пользователей соцсети. Однако если в дело вмешивается еще один пользователь, то тут не все так просто.

Допустим, Олег и Алена женаты, но Олег запретил Facebook показывать этот факт (нехороший такой Олег). При этом, Алена в настройках приватности данный пункт не скрывала, значит через ее профиль мы можем узнать, что Алена и Олег женаты.

Всю общедоступную информацию со страницы пользователя мы можем выгрузить на граф Maltego с помощью трансформа из состава пакета Social Links: [Facebook] Get User Details.
Для всех фото, постов и видео в хронике публикаций можно настроить отдельную видимость для всех или только для определенной категории пользователей.



Также можно отдельно настроить видимость списка друзей и подписок. А вот тут у нас есть несколько интересных опций: Настройки Конфиденциальность. Пройдемся по тем, которые могут существенно подпортить нам жизнь при проведении OSINT.



Кто сможет видеть ваши будущие публикации определяет, какое значение будет выставлено по умолчанию для каждого нового поста. Позволяет избежать случайной публикации поста с неверными настройками приватности. По умолчанию выставлено на Доступно всем.

Кто может посмотреть список ваших друзей а вот это уже важная настройка. Как писал Сервантес, а до него Еврипид: Скажи мне, кто твой друг и я скажу кто ты. По умолчанию данная настройка установлена на Доступно всем.

Однако, даже если установлено иное значение, то мы все равно можем кое-что узнать. Как? спросите вы. Ну, тут как обычно замешаны другие люди, точнее люди, которые есть у вас в друзьях, но при этом пренебрегают данной настройкой приватности.

Используя Entitie: Facebook Mutual Friends, мы можем получить список общих друзей между 2-мя аккаунтами. Для получения более полного списка друзей повторяем процедуру с результатами, полученными из первого запроса. Это, конечно, не так хорошо, как было бы с открытым списком, но лучше, чем ничего.



Еще одним интересным для нас разделом настроек является: Настройки Хроника и метки.



Кто может размещать публикации в вашей хронике? тут нам доступно всего 2 варианта Друзья и Только я. На видимость постов не влияет, едем дальше.

Кто может видеть, что публикуют другие в вашей хронике а вот это уже более интересная настройка, так как она напрямую влияет на видимость постов других людей в Вашей хронике. Значение по умолчанию Друзья. Если его сменить на Все, то таким образом посты ваших друзей у вас в хронике, например, поздравления с днем рождения, будут видны третьим лицам, что, как минимум, компрометирует ваш френдлист и дает нам поле для маневра методикой, описанной выше.

Разрешить другим людям делиться вашими публикациями в их историях дает возможность другим людям репостить ваши посты в своих историях.

Опция, кстати, по всей видимости сломана наглухо, потому что во время проверки мною, на момент написания статьи, возможность репоста записи все еще сохранялась даже при выключенной настройке. Возможно, на момент прочтения вами статьи эту опцию, наконец, починили.

Скройте из своей хроники комментарии с определенными словами Позволяет настроить встроенный спам-фильтр под ваш вкус. Можно даже загрузить CSV-файл со всеми неприемлемыми для вас словами. На тест я взял слово коронавирус, потому что заколебал он уже!

Оставляем 2 комментария под постом. Один простой, другой со стоп-словом.



Сам владелец страницы не видит текст комментария 2, однако видит, что комментарий в целом есть.



А вот если мы посмотри от третьего стороннего аккаунта, то мы не увидим комментарий 2 со стоп-словом вовсе.



Как итог, Maltego не может выгружать комментарии, которые попали под спам-фильтр.



Кто может видеть публикации, в которых вы отмечены, в вашей хронике если кто-то отмечает вас на фото, то пост с фото автоматически появляется в вашей хронике. Данный параметр позволяет контролировать, кто будет видеть данные посты по умолчанию (это Друзья друзей). Для поиска подобных постов в открытом доступе используется Transform: [Facebook] Posts Tagged.

Кто может видеть публикации, в которых вы отмечены значение по умолчанию Друзья. Дает возможность видеть вашим друзьям посты, на которых вас отметили, даже если изначально они не входят в аудиторию, которая может просматривать данный пост. Эта настройка не влияет на видимость постов.

Проверять метки, которые люди добавляют в ваши публикации, перед их размещением на Facebook интересная настройка почему-то по умолчанию установлена как Выключено. Это значит, что другие пользователи могут отмечать на ваших фото других людей без подтверждения с вашей стороны. Однако это касается только друзей. Сторонние аккаунты все же будут ждать одобрения с вашей стороны при установке метки.

Выводы

Несмотря на то, что Facebook имеет очень много настроек приватности, оказалось, что информация не всегда может быть скрыта на 100%. Большая часть настроек по умолчанию выставлена на Доступно всем, что тоже не повышает вашу безопасность.

Вне зависимости от того, какой соцсетью вы любите пользоваться, уделите время и ознакомьтесь, как работают ее настройки приватности. В современном мире, к сожалению, лучше не оставлять лишнего в публичном доступе.

Каждому есть, что скрывать. И помните: существует информация, которую лично вы не знаете, как использовать, а вот НЕВАЖНОЙ информации не существует, особенно, если дело касается вашей личности.

Кстати, в Телеграм-канале Тома Хантера как раз рассказываем, как даже не соцсети, а вполне сее домашние предметы и технологии могут собирать информацию о вас и пользоваться ею без вашего ведома.

До новых встреч!

Хочу рассказать о своем проекте. Это чат, а если точнее платформа медиачатов это значит что тут можно создать и оформить свой однокомнатный чат с поддержкой медиа-контента в сообщениях и вставить его себе на сайт через iframe. Проект только недавно вышел из стадии Бета-версии.

Мне много раз говорили что я пишу велосипед, но такого на просторах рунета еще не было. Есть куча чатиков, но они не предоставляют и половины функционала Кравча, а выглядят невероятно хреново.



Я потратил огромное количество времени на дизайн и юзабилити, на то чтобы общение было максимально комфортным.

Пробежимся немного по функционалу:

Это полуанонимный чат, не требующий верификации личности по телефону или email, как и другой личной информации для регистрации достаточно указать желаемый логин и пароль, хотя при желании вы можете указать также ваш возраст, город проживания и кратко написать о себе эта информация, вместе с вашим фотоальбомом будет отражаться в вашей анкете на сайте. Идея Кравча состоит в том чтобы объединить канал комнаты и ее чат в одной области видимости, в этой же области можно просматривать те самые анкеты, таким образом просмотр профилей или чтение канала не отвлекает вас от беседы. На канале можно опубликовать тематические новости, правила чата, медиа-контент и всё на что хватит фантазии, ведь в постах канала чат-комнаты поддерживается HTML (для пользователей далеких от веб-разработки добавлен небольшой визуальный редактор). Сообщения канала можно выделять цветом, вернее даже двумя цвет текста и цвет фона, можно провести и более детальную настройку нажав Options и отредактировав стили своей комнаты вручную; там же можно изменить название комнаты и установить пароль для ее защиты.

Теперь про сам чат:

В сообщениях допускается форматирование текста: таким образом можно выделить текст цветом, указать размер шрифта, вставить цитату, код и др. (Более подробную документацию по форматированию сообщений можно почитать тут или на канале основной комнаты чата). Кроме того в сообщениях, как уже говорилось выше, можно постить медиа-контент: вы можете его подтянуть как по ссылке, так и загрузив с диска. Поддерживаются голосовые сообщения. Есть два вида смайликов: небольшая колекция из шрифта fontello и огромная библиотека японских смайликов с jemoticons.com

ЛС и Табы:

Также, как и в соц. сетях, есть личные сообщения. В одном окне можно открыть несколько вкладок с чатами и несколько личных переписок (в прочем, их число в теории не ограниченно). Также на вкладке будет отображается количество новых непрочитанных сообщений. Переключаясь между табами у вас будет менятся хэш урла: по этому хэшу, написав его в адресной строке, можно попасть в определенный чат или определенную личную переписку (Например https://crawc.net/ru/#anime, https://crawc.net/ru/#emo, https://crawc.net/ru/#2X2FAN по этим же ссылкам демонстрация возможностей пользовательских стилей). В личной переписке, как и в чат-комнате можно просматривать профиль собеседника он будет справа от диалога. В аватарах пользователей, их фотоальбомах и в собственно самих сообщениях поддерживаются гиф-анимации (переписка с гифками выглядит довольно круто).

Дополнительно:

Есть интерактивный поиск по чат-комнатам. Поддерживаются несколько языков (на данный момент только русский и английский). У пользователя кроме аватара может быть установлена и личная иконка из набора unicode, которая будет отображаться в списке пользователей чата. Это сделано для того чтобы пользователи могли объединяться в группы. Также на сайте можно создавать квесты в виде текстовых мини-игр и рисовать ascii- и pixel- арт.
Еще одна особенность: можно просматривать в масштабе сразу несколько изображений, причем в каждой вкладке они могут быть свои, что достаточно удобно.

Теперь о пиаре:

Основную часть посетителей я набираю на яндекс-директе (получается где-то 0,5 рублей за клик). Но такие пользователи на долго не задерживаются, а в большинстве случаев не проходят и регистрации.
Основную часть постоянных посетителей я набрал среди анонимусов на имиджбордах.
Пробовал покупать баннеры в одной рекламной сети, но это выходит в разы затратнее директа, на тысячи показов может быть ни одного клика.
Небольшую часть посетителей мне дают статьи с вики-ресурсов, ссылки с Беона и форума Маулнет, кратковременные пиары в чужих чатиках.
Пиар на планете.ру, ютуб, инстаграм, пинтерест, новых посетителй мне не приносит, но я надеюсь что в будущем это положительно сыграет на SEO.
Ах да, так же есть прямые заходы с гугл.ком, мэил.ру, бинг.ком, яндекс.ру (исключая рекламные переходы с директа), но их очень мало ведь сайту всего несколько месяцев.

Выводы:

1) Пользователи не хотят регистриваться потому что никого нет онлайн. Возможно следовало бы сделать чат без регистрации, но я много труда вложил в эту форму логина и быстрой регистрации, и у меня получилось весьма круто я не хочу с ними расставаться. Другой вариант это напихать ботов, но не знаю как лучше организовать мультилогин в браузере.

2) Возможно следует перенести часть загрузки чат-комнат на сторону сервера чтобы их могли индексировать поисковики. Сейчас подргузка происходит средствами ajax, вызывая функцию addMessage(). Это было сделано таким образом в тех целях, чтобы входящие сообщения обрабатывались одной функцией, как при подгрузке истории комнаты, так и при отображении новых сообщений, получаемых через веб сокет. Как переносить эту функцию на сервер отдельно от клиента пока не ясно.

3) Создание ярлыков в chrome оказалось очень удобным инструментом. Хотелось бы чтобы больше людей знали об этой возможности, которая позволяет перенести приложение из браузера на десктоп. Это очень удобно, я уже сделал такой ярлык для своего чата и скорее всего сделаю для других часто-посещаемых мной ресурсов. Кстати функция работает также в мобильном браузере.

Заключение:

Делать обзор на код было бы весьма скучно, и я не знаю на чем стоило бы сфокусировать внимание. Для работы чата важен весь код целиком, нельзя выделить отдельные строчки, оставив без внимания другие. С кодом клиента вы можете ознакомиться по ссылке он пока находится в открытом виде. Код сервера веб-приложения я не публикую по понятным причинам. Хотя возможно в будущем я сделаю этот шаг в сторону open source, либо возьму да пропущу через обфускатор клиентские скрипты =)

Ссылка на чат
Мой ЖЖ