GEOINT Кейс #ClimateStrike — OSINT для сбора информации в реальном времени
https://t.me/osint_club_channel
Использованные инструменты: Google Карты, OneMillionTweetMap, OSINTCombine SocialGeo Lens, SnapMan
Сегодняшний кейс за авторством Фиете Стегерса представил уникальную OSINT-задачу: в ней требовалось собирать информацию в режиме реального времени из динамических источников. Это позволило быстро получить данные и найти фотографию, которую сделал Фиете, в короткие сроки. Однако, из-за природы динамических данных, попытка решить задачу спустя 48 часов или неделю потребовала бы другого подхода для достижения успеха. Так же, это была моя первая возможность использовать новый инструмент поиска SocialGeo от OSINTCombine, но я расскажу об этом позже.
Deadbox и динамичные данные
В цифровой криминалистике существуют два типа данных: статичныe и долговечныe "deadbox"-данные, и кратковременныe, но не менее важныу динамичные данные. Последние существуют лишь в течение непродолжительного времени.
Фотографии на вашем жестком диске могут быть восстановлены методами цифровой криминалистики спустя годы; конфиденциальная информация, такая как пароли, ключи от биткоин-кошельков, DNS-запросы или данные браузера TOR в оперативной памяти компьютера, существуют только временно и исчезают после выключения компьютера.
То же самое применимо и к OSINT’у. Обычно мы проводим исследования используя deadbox, стабильные и долговечные источники данных. Однако также существуют динамичные данные, например, истории в Instagram. Такой тип данных является актуальным на данный конкретный момент, но может потерять свою актуальность, а то и вовсе пропасть, в течении короткого времени.
Для решения этой задачи я использовал «живые данные» о геолокации из Twitter и инструмент OSINT Snapchat, чтобы найти местоположение Фиете.
Найти Фиете
Фиете задал два вопроса. Во-первых, где именно находится группа на фотографии, а во-вторых, сколько человек присутствовало на месте съемки.
Сначала я проанализировал фотографию на наличие деталей, связанных с местоположением. Было очевидно, что на фото изображена демонстрация против изменения климата в Германии, что подтверждается плакатами, лозунгами и надписями на немецком языке.
А присутствие большой толпы молодых людей до 30 лет означало, что их значительный цифровой след может привести нас к Фиете.
Моя стратегия заключалась в поиске проходящего климатического митинга в Германии и определении точного местоположения фотографии. Хотя изначальная фотография не содержала явных признаков местоположения, коричнево-белое здание, ряд деревьев и далекий шпиль церкви я использовал как зацепки.
OneMillionTweetMap
Twitter остается основной платформой для получения информации в режиме реального времени. Меня заинтересовали два популярных хэштега: #ClimateStrike и #Fridays4Future. Эти хэштеги были связаны с климатическими демонстрациями, проходящими в пятницу утром. Однако, с тысячами демонстраций, происходящих одновременно по всему миру, поиск конкретной демонстрации с Фиете стал бы трудной задачей. И вот тогда я обратился к OneMillionTweetMap.
OneMillionTweetMap является важным инструментом для сбора информации о текущих событиях. Он отображает геолокацию каждого обнаруженного твита и позволяет фильтровать результаты по хэштегам или ключевым словам. Важно отметить, что OneMillionTweetMap предоставляет динамичные данные. После загрузки сайт непрерывно обновляется новой информацией, поэтому важно захватывать данные в режиме реального времени.
Учитывая, что мы ведем поиски в Германии, я загрузил OneMillionTweetMap и отфильтровал поиск с использованием хэштегов #ClimateStrike и #Fridays4Future. После примерно 30 секунд вот как выглядела карта Германии:
Логотип Twitter показывает один твит, а фиолетовые круги показывают скопление нескольких твитов. Местом с наибольшим количеством релевантных твитов оказался... Гамбург! Мы можем увеличить масштаб для более детального изучения:
Чтобы найти Фиете на климатической демонстрации в Гамбурге, я использовал простой, но эффективный метод с использованием нескольких вкладок в браузере, которые непрерывно собирали информацию по мере ее поступления:
Вкладка 1: Отслеживание твитов, связанных с хэштегами #ClimateStrike и #Fridays4Future на OneMillionTweetMap.
Вкладка 2: Кастомная лента Twitter, ищущая #climatestrike + Hamburg, сортировка по последним сообщениям.
Вкладка 3: Кастомная лента Twitter, ищущая #fridays4future + Hamburg, сортировка по последним сообщениям.
Протестующие и освещавшие демонстрации СМИ сгенерировали множество твитов, видео и фотографий. Каждый из твитов попадал в одну из трез моих вкладок, заметно ускоряя процесс поиска местоположения Фиете.
Однако, перед тем как приступить к изучению вкладок, я на мгновение задумался об организационном аспекте таких масштабных событий. Учитывая огромный масштаб, использование закрытых мессенджеров, таких как WhatsApp или Snapchat, казалось неэффективным.
Было ясно, что Facebook является основной платформой для организации мероприятий такого рода. Поэтому я быстро провел поиск на Facebook о климатических протестах в Гамбурге. Вот что я обнаружил:
А вот и результат! Митинг проходил во время моего поиска, поэтому я знал, что это та самая демонстрация, которая активно обсуждалась в моем обзоре OneMillionTweetMap в Гамбурге. Это также подтвердило, что точным местом начала акции является станция метро U-Bahn в Санкт-Паули, рядом с тем местом, где я ранее увидел скопление твитов. Я был уверен, что приближаюсь к Фиете.
Прежде чем открыть Google Maps, чтобы сосредоточиться на Санкт-Паули, я проверил, как идут мои другие поиски в Twitter. За последние несколько минут в моем списке результатов по хэштегу #Fridays4Future + Hamburg появился следующий твит:
Твит сообщил мне, что протестующие находились теперь на Ломбардсбрюке. Я не знаком с Гамбургом, но это не имело значения. Всего за несколько минут удалось определить точное место начала на станции метро U-Bahn в Санкт-Паули, и теперь было подтверждение точного местоположения передней части демонстрации в режиме реального времени. Я спросил Google Maps, как пройти пешком между этими двумя местами. Вот ответ:
Теперь у меня были очень узкие параметры для поиска местоположения Фиете. Конечно, он мог пойти на одну из демонстраций в других городах Германии, но я должен был исключить Гамбург, прежде чем перейти к другому городу. Я решил переключиться на Street View и "прогуляться" вдоль маршрута протеста, чтобы найти место, где Фиете сделал свою фотографию. Я потратил менее минуты, чтобы найти то самое место:
Место, где находился Фиете, находится на улице Глацишаузе в Гамбурге, прямо напротив точки старта протеста. Коричнево-белое здание, деревья вдоль дороги и шпиль церкви Святого Иоанна Кронштадтского вдали подтверждают, что это правильное местоположение.
Мои ленты Twitter также случайно нашли ответ на второй вопрос Фиете. В моей ленте #Fridays4Future + Hamburg появился следующий твит:
Таким образом, согласно полиции, ответ на второй вопрос Фиете состоял в том, что на демонстрации присутствовало 17 000 человек.
Используем OSINTCombine
Это упражнение по поиску Фиете продемонстрировало эффективность максимального использования данных в режиме реального времени для сбора важной информации. Эта техника может быть применена для выявления деталей различных происходящих событий, таких как террористические атаки или крупномасштабные спортивные мероприятия.
Она также может быть использована для анализа сообщений в социальных сетях и твитов с целью идентификации и маппинга сеток аккаунтов, участвующих в освещении публичных событияй.
Основной вывод заключается в важности сбора данных в режиме реального времени, особенно в быстро меняющихся ситуациях. Важно отметить, что ландшафт данных значительно изменится через двенадцать часов. Будьте быстры, будьте резки!
Этот кейс предоставил возможность изучить инструмент поиска SocialGeo от OSINTCombine, который оказался ценным при быстром получении геолокационных данных из социальных медиа. Учитывая продолжающийся протест в Гамбурге, будет интересно исследовать потенциал SocialGeo Lens для сбора дополнительной информации.
С помощью этого инструмента я осуществил поиск местоположения Фиете, используя координаты на карте. Instagram и Facebook предоставили результаты на основе названия местоположения, в данном случае - Нойштадт в Гамбурге. Twitter тоже предоставил полезные результаты, а интеграция инструмента с картой Snapchat Map оказалась ценной для сбора динамичных данных: карта Snapchat Map отображает контент с указанием геолокации и актуальностью в 24 часа.
Тепловые карты показывают видео или изображения из постов в социальных сетях. Вот некоторые интересные результаты, найденные в Гамбурге:
Я не смотрел достаточно долго, чтобы узнать, появился ли Фиете на обнаруженных видео. Однако вы можете увидеть, насколько этот инструмент будет эффективен при исследовании массовых мероприятий. Вы не можете напрямую скачать видео, однако вы можете использовать соответствующие инструменты для скачивания видео из социальных сетей, если вам нужно сохранить запись для последующего использования.
by @godisabsurd