Ola queridos amigos. Hoje o objetivo do meu artigo será analisar a funcionalidade do pacote Maltego + Links Sociais para uma pesquisa de geolocalização. Como funciona e o que podemos usar no OSINT? Vamos descobrir.
A geolocalização desempenha um papel importante no OSINT. Não é de se admirar que um dos novos desafios OSINT (Kryptic Ransomware) no Hack The Box esteja relacionado especificamente a encontrar as coordenadas exatas da casa do alvo. O desafio é muito interessante, não tenha preguiça de passar.
Antes de ler, recomendo que você se familiarize com os artigos anteriores da série sobre Maltego:
Parte 1 - O que é Maltego e por que ele é necessário
Parte 2 - Interface e dispositivo básico
Parte 3 - Maltego e OSINT no Facebook
Parte 4 - Maltego e OSINT no VK, Instagram, LinkedIN e outras redes sociais
Parte 5 - Aplicação do sistema de reconhecimento facial para OSINT em Maltego
Há muitas informações úteis.
Então, vamos superar isso. O primeiro método que conheço é usar as Entidades nativas de Maltego: Área Circular e Coordenada GPS.
Nos parâmetros de dados Entidades, precisamos especificar as coordenadas que podem ser retiradas impudentemente do Google Maps, e o raio de busca se usarmos a Área Circular.
Para Entitie: GPS Coordinate, temos disponível:
[Censys] Search in IPv4 - faça uma consulta ao banco de dados Censys e encontre todos os endereços IP por essas coordenadas.
[Facebook] Fotos por Geo - encontre fotos por geolocalização especificada.
[Facebook] Search for Places - encontre lugares por geolocalização especificada.
[Facebook] Vídeos por Geo - Encontre todos os vídeos por geolocalização.
[Instagram] Media by Geo - encontre todos os arquivos de mídia por geolocalização especificada.
[Snapchat] Snap by Geo - Encontre todos os arquivos de mídia por geolocalização especificada.
[Twitter] Pesquisar Tweets por Geo - Encontre todos os tweets por geolocalização.
[Vkontakte] Fotos por Geo Popular - encontre fotos populares por geolocalização especificada.
[Vkontakte] Fotos por Geo Recentes - encontre fotos recentes na geolocalização especificada.
[Vkontakte] Histórias por Geo - encontre todas as histórias na geolocalização especificada.
[YouTube] Vídeos por área geográfica - Encontre todos os vídeos por geolocalização.
Também é possível converter Entitie GPS Coordinate em Circular Area.
Para Entitie: Circular Area, tudo está disponível para nós, exceto para trabalhar com a API Censys.
Para o teste, escolhi as coordenadas do centro da Praça do Palácio. Por quê? Como de costume - assim mesmo.
O mais interessante é aprender como funciona o Transform - [Facebook] Search for Places. Em relação a fotos, vídeos e mídia, acho que está tudo claro mesmo: se tem uma geomarcação na rede social, tem hit no SERP. Sem tags, não nos resultados da pesquisa.
Converta Coordenadas GPS em Área Circular, defina um raio de 1000 metros e execute a transformação. Obtemos 94 lugares nos resultados de pesquisa do Facebook.
Tudo é bastante relevante, com algumas exceções. Entre as atrações, baladas, bares e restaurantes, foram registrados 2 elementos incompreensíveis.
O cara que diz que você pode comprar um iate por 1000 euros e uma conta chamada São Petersburgo com a foto de um cara qualquer. Por algum motivo, ambos decidiram que eram empresas e se cadastraram no Facebook como uma conta comercial com endereço de pessoa jurídica na área da Praça do Palácio.
Caso contrário, tudo é verdade. Todas as contas têm um endereço exposto em um raio de 1000 metros de Dvortsovaya.
Portanto, esses dois são mais uma negligência do Facebook em relação à credibilidade das contas comerciais do que culpa de Maltego. Geodata em suas contas são exibidos dentro de 1000 metros da Praça do Palácio.
Agora vamos experimentar a pesquisa de fotos. As coordenadas são o centro do palácio de acordo com o Google Maps (59,93901,30,315706), eu deliberadamente limitei a edição a 50 fotos, porque senão seríamos simplesmente sobrecarregados pelo fluxo de tudo que encontrei.
E aqui um certo modelo já começou a surgir, segundo o qual o Facebook retorna o resultado. Inicialmente, a rede social encontra o local de "interesse" mais próximo do ponto e retorna todas as fotos que possuem a geomarcação correspondente. Como indicamos o centro da Praça do Palácio, o marco mais próximo, segundo a rede social, é a Praça do Palácio.
Como resultado, obtemos todas as fotos que possuem essa tag na saída.
Bem, para confirmar a hipótese - pegue as coordenadas do restaurante COCOCO (59,934991, 30,308709) e tente o mesmo truque para encontrar uma foto.
E tiramos uma foto de ... HI SO TERRACE ... (não é isso que estávamos procurando, se você não entende).
Não pare! Está tudo correto. Este estabelecimento está localizado no mesmo edifício do restaurante COCOCO. Aparentemente, a mão tremia meio grau quando coloquei a marca no Google Maps para pegar as coordenadas).
E como estão as coisas com VKontakte, você pergunta? Mas com o nosso querido VK, nem tudo é tão bom. A propagação é simplesmente selvagem. Por exemplo, aqui está um pedido - por coordenadas anteriores, mas na emissão de uma foto, tanto a uma distância de 200-300 metros do ponto, e em geral com a geotag Peterhof!
Quanto à transformação Vídeos [YouTube] por Geo, as coisas estão um pouco melhores. Embora não muito. Os resultados da pesquisa incluíram vídeos com geotag de lugares específicos em São Petersburgo, incluindo geotagging do restaurante COCOCO, e muitos vídeos com geotagging RÚSSIA.
Outra opção para pesquisar por localização é Entitie: Search Person. Este Entitie é feito para pesquisa de pessoas no Facebook e possui vários campos em propriedades. Ao especificar esses campos, definimos os critérios de pesquisa.
Vamos imaginar que sabemos o nome e a cidade. Definimos os valores indicados e rodamos a transformação necessária. Você pode escolher entre:
[Facebook] Pesquisar usuários - pesquisar usuários;
[Facebook] Pesquisar Usuários (Exato) - pesquisa exata com correspondência de todos os dados de entrada;
[Facebook] Pesquisar usuários (até 60 minutos) - pesquisa de usuário adiada;
[Facebook] Pesquisar Usuários (até 60 minutos) (Exato) - uma pesquisa adiada exata com uma correspondência de todos os dados de entrada.
Bem, está tudo bem. Minha página do Facebook está listada como esperado. O método foi experimentado e testado no Facebook e funciona perfeitamente. Bem, a menos que você conte um monte de homônimos, que você tem que juntar em busca da conta desejada.
A pesquisa adiada, neste caso, é necessária para contornar o recurso Maltego, tendo uma janela de resposta de 2 minutos. É usado quando você precisa pesquisar uma grande variedade de informações. Por exemplo, encontre todas as contas com a cidade especificada e carregue-as no gráfico.
Agora, para as conclusões práticas.
Esta funcionalidade não pode ser usada como um elemento de pesquisa independente. Como um canal adicional de verificação de informações ou, por exemplo, um vetor adicional de investigação, a funcionalidade pode ser aplicada com sucesso.
Pessoalmente, usei essa técnica de busca 2 vezes, quando era necessário confirmar a chegada real de uma pessoa em algum lugar nas redes sociais.
No âmbito de um caso, as fotos foram carregadas por coordenadas através da entidade Área Circular e, em seguida, as fotos foram carregadas das redes sociais da esposa do objeto do caso. Maltego, como esperado, construiu conexões entre as fotos correspondentes e, como resultado, obteve o resultado desejado.
Não perca os seguintes artigos da série. Lá falaremos sobre como encontrar informações sobre formulários e lojas na Dark Net.
E ainda mais matérias e notícias do mundo da segurança da informação podem ser lidas em nosso canal de telegramas.