По итогам этого кейса:
1. Установила на Kali xeuledoc (https://github.com/Malfrats/xeuledoc) - собирает информацию о любом публичном Гугл-документе.
2. Узнала, что вот так: https://calendar.google.com/calendar/htmlembed?src=ВВОДИМ_АДРЕС_ПОЧТЫ - можно получить доступ к чужому Гугл-календарю
3. https://tools.epieos.com/email.php - узнаёт Google ID по Гугл-почте
4. https://www.google.com/maps/contrib/ВВЕДИТЕ_GOOGLE_ID - получить все метки пользователя на Гугл-карте (Google ID состоит из 21 цифры).
5. На Гугл-диске можно покопаться в исходном коде, ища последовательности из 21 цифры, предваряемые кавычкой (\х22). И да, скорее всего ID начинается с "10" или "11"
6. Если на руках есть ID Яндекс Метрики, что можно узнать, данные о сайте, где эта метрика используется: https://metrika.yandex.ru/dashboard?id=ID_ЯМЕТРИКИ. Там есть отчёты, можно поизучать.

#osint

Доброе утро. Задания пройдены, победители определены. Предлагаем и вам, уважаемые подписчики, попытать свои силы в конкурсе по OSINT-у. У вас имеется документ в Google Docs https://docs.google.com/document/d/1XsxfUoytpqohf8Qx2II-61orGtrRUxFyTZSQ4-FPXc0/edit?usp=sharing

Используя его, ответьте на следующие вопросы:
1️⃣ Назовите логин (email) автора документа
2️⃣ Найдите фотографию автора документа
3️⃣ В каком отеле в Крыму проживал автор документа
4️⃣ Где автор документа провел предпоследнюю ночь
5️⃣ Во сколько автор документа планировал посетить ZERO-DAY
6️⃣ Какие настоящие имя и фамилия у автора документа
7️⃣ Какой сайт использует Яндекс Метрику из документа
8️⃣ Сколько лет администратору этой Яндекс Метрики
9️⃣ Какой пароль у Google-аккаунта автора документа
🔟 С какого мобильника администрируется этот Google-аккаунт

🔻Разбор заданий будет в комментариях

Приложение для поиска по Github - grep.app
☑Case sensitive
☑Regex
☑Whole words
#osint

🔹OSINT в Tumblr.🔹

Решила тут выяснить, какими способами можно вести поиск в Тамблере. И хотя золотые дни этой соцсети прошли с (пере-)продажей её Yahoo, а потом Verizon, на её страницах ещё пасётся достаточно народу: в основном это SJW и поклонники различных фандомов. Самый сочный (в самом что ни на есть 18+ смысле) контент выпилили во время чистки 2018 года, и его, конечно, уже не восстановить, но предположим, что мы имеем дело не с маньяком-эротоманом, и тогда задача становится вполне посильной.
Сразу оговорю, что работать надо только с веб-версией Тумбы, так как мобильное приложение в этом плане имеет очень урезанный функционал.

✏️Поиск информации об аккаунте
Зная прямую ссылку на блог (в терминах Tumblr. взаимодействие происходит между блогами пользователей, которых у одного человека может быть несколько - отголосок блогобума середины нулевых, вспомните хотя бы ЖЖ), которая имеет вид username.tumblr.com, где username - это то, чем заканчивается адрес блога, когда его открываешь внутри Тумбы из своей ленты, например, https://www.tumblr.com/blog/view/mcmansionhell, можно найти:
а) список подписчиков - достаточно добавить в конец ссылки /followers
б) список тех, на кого подписан данный блог - добавляем /following
в) что лайкнули от имени данного блога - добавляем /likes ИЛИ идём по ссылке https://www.tumblr.com/liked/by/username.
г) архив постов - добавляем /archive

Надо отметить, что пользователь может заблокировать доступ ко всем этим разделам, и тогда появится ошибка "The URL you requested could not be found".

Если архив всё же доступен, то он предоставляет такую удобную фичу, как поиск по дате публикации, типу поста (текст, видео, фото, ссылка и так далее; насколько я понимаю, сейчас все, кроме текста, считаются legacy, и поиск по ним доступен только в целях обратной совместимости) и тэгам.

📍Альтернативой архиву являются следующие ссылки:
username.tumblr.com/day/[year]/[month]/[day] - поиск записей в данном блоге за конкретный год, месяц и день (можно указать и что-то одно).
username.tumblr.com/tagged/<tag> - поиск по тэгу.
username.tumblr.com/tagged/<tag>/chrono - показать посты с данным тэгом в хронологическом порядке.

С тэгами отдельная история, к слову. По традиции Тумбы, они часто составляют "второе дно" поста, то есть с помощью них автор оставляет свои комментарии под основным текстом, вставляет смехуёчки и просто всячески дурачится. При всё при этом searchable являются только первые 5(!) тэгов любого поста. То есть если в основной поиск Тамблера забить шестой по счёту тэг имеющегося у вас поста, то этот пост не будет найден.

Да, ещё о поиске. Не слишком-то рассчитывайте на него. Тумба была почищена от NSFW-контента основательно, почти до стерильности, поэтому поиск по "подозрительным" словам просто не работает - выдачей является пустое множество. Что является "подозрительным", можно определить только на практике, но на всякий случай вспомните все возможные фетиши, которые вам известны: все связанные с ними понятия являются нежелательными, по мнению администрации соцсети.

д) аватарку пользователя в относительно высоком качестве можно получить, воспользовавшись Tumblr API, - https://api.tumblr.com/v2/blog/username/archive/512

✏️О сокрытии информации
Надо сказать, что Tumblr. заботится о приватности своих пользователей, поэтому в настройках аккаунта каждый может запретить:
а) индексацию своего аккаунта поисковиками, и тогда найти его через них становится просто невозможно
б) доступ через внутренний поисковик Тамблера. В этом случае перейти в блог можно либо по прямой ссылке, либо если вы где-то на просторах сайта наткнётесь наткнётесь на один из его постов.

И если пользователь активировал что-то из вышеперечисленного, то определить, есть ли у вашей цели Тамблер-аккаунт, становится на порядки сложнее. Впрочем, правило "если у вас есть один юзернейм, подставляйте его везде" по-прежнему работает, поэтому можно нагенерировать ссылок вида username.tumblr.com и походить по ним в надежде найти действительную.

#osint

Кажется, я написала слишком длинный пост, поэтому продолжим ниже:

Ещё на Тумбе можно попытаться найти человека по его почте (опять-таки, если он не запретил это). Достаточно со своей страницы перейти в Following (т.е. список блогов, которые читаешь ты сам) и вбить почту в строку поиска. Если такой аккаунт есть, он появится в списке. А иначе - Not a soul by that name.

👩🏻‍🦰Выгрузка аватарки - один из немногих запросов, которые можно сделать через Tumblr API, не обладая персональным ключом. Впрочем, как его получить, рассказано в документации: https://www.tumblr.com/docs/en/api/v2. Из неё же можно почерпнуть, как получить указанную выше информацию и ещё чуть-чуть сверху альтернативным способом.

🐍Также для работы с API написана библиотека на Python: https://github.com/tumblr/pytumblr

⏰Ещё одна вещь, которую на Тумбе трудно найти и легко потерять, - это время. И я не имею в виду бессчётные часы, которые я провела за скроллингом ленты, нет, речь идёт о точных дате и времени публикации постов. По умолчанию эта информация не отображается в самом посте (ходят слухи, что пользователь может это настроить в своём блоге, поигравшись с его HTML-кодом, но лично я попробовала и проиграла), но есть два способа её достать:
а) если навести мышку на правый верхний угол поста в ленте, то уголочек отвернётся - на Тумбе это называется dog ear, - и отобразится плашка, на которой указан день и время публикации. Но! Если пост сегодняшний, то дня не будет, а если меньше чем недельной давности, то вместо конкретного числа будет указан день недели.
б) нажатие на тот же самый dog ear перекидывает на отдельную страницу с этим постом, и уже там можно, покопавшись в исходном коде, найти datePublished.

Да, кстати, у каждого поста есть PostID - 64-битное целое число. Подозреваю, что они достаточно рандомные, что вряд ли поможет обнаружить, например, факт удаления записей из блога.

📵Последний вопрос, который я бы хотела рассмотреть, касается скрытых, или приватных, записей в блоге. Такие записи не видны никому, кроме владельца блога (но доступны любому желающему по прямой ссылке). Внутри Тумбы, конечно, нет функционала, которые раскрывал бы их содержимое посторонним, но я слышала про два сайта, которые могут обеспечить что-то подобное:
а) tumbex.com (доступен только из-под ВПН) - просто берёшь и указываешь блог, который тебя интересует. Сложности начинаются потом: сайт по сути отображает тот самый /archive с возможностью поиска по тэгам и не выделяет особым образом приватные посты, но ходят слухи, что если у такого поста есть какой-то тэг и он тебе известен, то поиск по нему покажет всё, что есть, в том числе скрытую информацию, в отличие от настоящего архива. Очевидный недостаток такого подхода: нет тэга - нет дела.
б) nbots.me/bco10 - убирает CSS-разметку блога, из-за чего его содержимое расшвыривает по всему экрану в хаотичном порядке, но благодаря этому становятся видимыми приватные посты - они будут обведены в красную рамочку.

Ни один из сайтов я не проверяла лично, для этого мне потребуется создать второй аккаунт, чтобы экспериментировать на нём с созданием скрытых от посторонних глаз постов, которые я потом буду искать с основного. Но если эти методы работают, то, похоже, я перехвалила Tumblr., когда говорила, что он достойно оберегает приватность своих пользователей. To be continued, как говорится.

UPD: Пока не похоже, что это всё работает: tumbex просто не обновляет страницу блога после того, как на неё были добавлены новые записи (возможно, это дело времени, надо проверить попозже), а nbots хоть и действительно снимает разметку и обводит красным отсутствующее название блога, но приватный пост в упор не видит. Ни красненьким, ни синеньким.

#osint

Когда слушала эту беседу, параллельно делала заметки. Сейчас вот дошли руки разобрать. Меня конкретно интересовали две темы

✏️Что можно сделать, зная IP-адрес человека
На самом деле не так уж мало. Спикеры совершенно справедливо указывают на то, что навыки этичного (и не только) хакинга очень удачно дополняют детективные скиллы, позволяя выжать максимум из собранной информации.

Но сперва о способах, как можно узнать IP:
a) отправить жертве простейший IP-логгер - специальную ссылку на файл, доступ к которому вы можете отслеживать. Благо сервисов таких в Интернете предостаточно, а файл может быть любой, хоть ваш собственный. Не поможет, если человек использует ВПН или вовремя засёк подозрительную ссылку.
б) вроде как в старых версиях Телеграма звонок другому пользователю осуществлялся peer-to-peer способом, и тогда с помощью Wireshark можно было зафильтровать трафик и узнать адрес абонента. По идее, если у обоих звонящих старые версии клиента Телеграм, может работать до сих пор. В новых же вы увидите, что пакеты идут на серверы самого ТГ.
в) связку пользователь-IP часто можно найти в слитых базах. Сама таких не видела, но поверим человеку на слово.

Итак, больше всего мне понравилась следующая идея:
📍Имея на руках чужой IP-адрес (предположим, что это адрес стационарного компьютера в офисе или дома с постоянной сетью), можно попытаться найти прокси-адрес из того же пула адресов. Тогда при попытке войти в аккаунты человека сервисы не будут поднимать панику из-за нетипичного местоположения и требовать дополнительной проверки второго фактора, например. Если у вас к этому моменту есть и пароль, то, считайте, шалость удалась.

Если аккаунты пользователя нас не интересуют, то можно заняться классической разведкой:

📍Можно попинговать роутер (адрес которого, если речь о домашней сети, почти наверняка совпадает с известным вам "белым" IP), просканировать его порты (если роутер смотрит в интернет, то порты часто переназначают, так что тут могут быть неожиданности), попробовать залогиниться с дефолтными кредами или побрутфорсить с использованием какого-нибудь rockyou.txt.

Если удастся зайти на роутер, то предложенный сценарий звучит так:

1) настроить DMZ на роутере (по сути вывод в DMZ какого-то из внутренних хостов, их список, видимо, можно получить, имея доступ к роутеру; это даёт нам возможность подключаться к данному хосту из внешний сети, правда, для этого, думаю, надо знать, какие сервисы на нём вообще есть)
2) теперь можно заняться pivoting, выяснив, какие устройства ещё есть в сети, как они используются и т.д. В общем, тянемся так далеко, как только сможем.
3) если на роутере есть OpenVPN, то можно поднять на нём OpenVPN-сервер и подключиться к нему, как клиент. ❗️Что это даёт - я понятия не имею❗️

Получается, в идеальном случае IP-адрес открывает нам ни много ни мало доступ во внутреннюю сеть жертвы.

✏️Закон и OSINT
Не менее животрепещущая тема - отношение российского законодательства к сбору персональных данных граждан третьими лицами. Пройдёмся тезисно:
📍Ст.29.4 Конституции: "Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом".
📍Утечки данных можно использовать как источник информации, если у вас есть на это законное право (=правовые основания) (см. 152-ФЗ), так как данные могут стать общедоступными [вследствие них].
📍У аккредитованных журналистов возможности сбора данных сопоставимы с госчиновниками и некоторыми силовиками. Но данные, касающиеся личной жизни, можно публиковать без разрешения только в случае, если освещается преступление.
📍Оформить себе журналистскую корочку - выгодное вложение, потому что так вы получаете возможность делать официальные запросы, на которые официальные учреждения обязаны отвечать. Её даже можно купить (есть такие СМИ, которые каждому желающему позволяют оформиться у них как внештатный корреспондент). Список таких СМИ не оглашался, но, думаю, можно поинтересоваться у кого-то из спикеров: @soxoj @tmgroupsecurity @osint_club_channel @osint_san_framework

#osint

Прерываем ковидное затишье смело и мощно: OSINT mindset voice chat #1.

Обсудим последние новости и дела насущные. Будет интересно!

Время: понедельник, 14.06, в 16:00 UTC+3
Место: OSINT mindset
Гости: создатели @osint_san_framework и @osint_club_channel.

Приходите послушать и поднимайте руку, если есть что рассказать! 😉

UPD: nbots не показывает приватные посты, потому что Тамблер скрывает их явно по более хитрой технологии, нежели вставка в HTML-код "data:hidden".
Tumbex обновляет свою базу отнюдь не в режиме реального времени: так, сделанные вчера публичные посты я увидела в нём только сегодня. Решила там же поискать хэштег, которым сопроводила свой приватный пост, но, вопреки человеку с Quora, которому я поверила, ничего не обнаружила. Tumbex приватные посты не видит.
Пришла к выводу, что, возможно, пользователь с Quora имел в виду не приватные посты, а так называемые flagged posts - те, что Тамблер счёл неприемлемым контентом и заблокировал (на месте поста в ленте появляется соответствующая плашка, а если на неё кликнуть, то тебя перекинет в правила соцсети). Вероятно, их можно обнаружить в Tumbex в исходном виде, но чтобы это проверить, мне нужно сначала самой запостить что-то непотребное, а мне лень заморачиваться, к тому же боюсь, что весь аккаунт за это блокнут.

Выкладываю карты на стол презентацию с митапа OSINT mindset #12.
BTS, один сабреддит и товарррррный(С) знак - как всё это связано? 🤔

В субботу вспоминала студенческие годы (а теперь заблокируйте, пожалуйста, эти воспоминания обратно) на OSINT mindset conference #2. Теперь кому-то, надеюсь, придётся мучиться меньше, чем мне при написании очередной paper.

Выкладываю презентацию с выступления и напоминаю: даже если диплом вам пишет ChatGPT (хочется подчеркнуть: "особенно если..."), без валидного списка материалов всё равно не обойтись. Как его собрать - узнаете здесь.

Лучший файлообменник - это Twitter*

Долго выбирала предлог, но в итоге сошлюсь на то, что для меня неделя пролетела как один день: только этим можно извинить то, что ещё в прошлую субботу я пообещала завтра выложить ещё пару способов обойти пейвол, за которым скрываются последние достижения науки (и это не гипербола: в конце концов, Sci-Hub и ряд подобных ему ресурсов действительно перестали обновляться в 2020 году, так что этот "рубеж последней надежды" больше не поможет, если нужны свежайшие исследования). Так вот, хотя бы с днём недели я угадала.

1. В Twitter (X) с 2011 года в ходу хэштег #ICanHazPDF (да, именно так, но встречается и едва ли более грамматически правильное #ICanHasPDF, в любом регистре; происхождением он, конечно, обязан, как и всё в Интернете, мемам с котами). Его постят в связке со ссылкой на искомый материал, например, на ResearchGate, и ждут, пока найдётся доброжелатель, у которого эта статья скачана "без купюр". Трудно посчитать, сколько запросов к коллективному разуму твиттерожителей остались без ответа (а сколько вопрошающих в итоге получили малварь под видом нужного файла), но частенько можно видеть и комментарии, мол, отправил, получите-распишитесь, так что способ вполне рабочий по сей день.

Особо сметливые на этом моменте, вероятно, уже придумали, как эксплуатировать этот метод в разведывательных целях. Действительно, пользуясь им, вы фактически расписываетесь в наличии интереса к той или иной теме. А вот от того, что это за тема, зависит уже появление интереса к лично к вам.

2. Расширения для браузеров, позволяющие передавать запросы в один клик, не покидая основной страницы, это удобно (напомню, что есть аддоны для Wayback Machine и Sci-Hub, хотя последний очень не любит Chrome, поэтому ссылка приведена для Firefox). Из тех же соображений появился бесплатный unpaywall, который после установки рисует зелёный замочек на странице со статьей, если для неё где-то есть доступная полная версия (и при нажатии на него сразу перекидывает на .пдф в режиме чтения), и серый - есть таковой не найдено. Но напомню, что даже в этом случае это не повод перестать искать.

3. В комментарии к посту выше @pwnai приводит внушительный список ресурсов, которые могут помочь с поиском научных публикаций и не только. Они мне большей частью не знакомы, поэтому комментировать по пунктам не возьмусь. Оговорюсь, что у меня есть предубеждение против ИИ, в частности поисковиков на его основе, но и более традиционные инструменты там тоже перечислены; полагаю, что китайские работают очень хорошо, особенно если искать изданные в Азии же материалы (c Baidu Academics и европейскими публикациями у меня получилось довольно бестолково: поисковик цеплялся на одно-два слово из заглавия статьи и на их основе уводил поиск вообще в другую степь, так вместо статей по этнографии уже во второй десятке выдачи появилось нечто околохимическое).

Однако хочу предостеречь от использования "слитых" кредов чисто с точки зрения этичности этого: именно использование авторизационных данных сомнительного происхождения ставили в вину Sci-Hub и LibGen, что и положило начало их несколько скандальной славе.

*Ресурс признан нарушающим закон РФ

Про анонимность Гугл-форм

Когда я ещё училась математике, то считала, что задачи проще, чем исследовать функцию на отрезке, трудно себе представить. Надо только помнить о значениях в крайних точках - они могут таить в себе сюрпризы. Я не стала тестировщиком, но с тех пор всегда думаю о них о границах Римской Империи: крайние положения, граничные точки, предельные значения - обо всех крайних случаях. Что, если автор задачи не продумал условие для них?

xeuledoc отлично "раскалывает" Гугл-документы (то есть определяет их владельцев), все их типы, перечисленные в описании. Кроме Гугл-форм - вопрос относительно них поднимается в "Issues" репозитория. Ответ - отрицательный. Что ж, кажется, разработчики знают об устройстве Форм больше, чем о возможностях своего инструмента. Или наоборот?..

Истина, как водится, где-то посередине. Да, большая часть Гугл-форм, которые вам встречается, имеет ID длиной 56 символов - это так называемый (здесь, однако человеком, не имеющим отношение к самому Google) "зашифрованный ID" - против 44 у нормального, "открытого" идентификатора большинства Гугл-документов. API-запрос к бэкенду Google, исполняемый xeuledoc, работает только со стандартными идентификаторами.

Но если наудачу поискать попавшие в открытый доступ Формы (напоминаю дорк),

site:docs.google.com/forms/

то быстро замечаешь, что все ссылки на них делятся на два типа: в одном случае они имеют вид

https://docs.google.com/forms/d/e/{ID}/...

а в другом

https://docs.google.com/forms/d/{ID}/...

Да, все дело в /d/ и /d/e/."е" - это, вероятно, "encrypted", ибо именно в таких ссылках фигурирует длинный "зашифрованный" идентификатор. Что же касается одинокого "d", то от такой Формы исследователю пользы больше, чем от витамина Д, поскольку - трам-парам-пам - она (прямо в ссылке) раскрывает стандартный ID документа, а значит, xeuledoc найдёт и владельца (не всегда, но это касается и всех остальных типов Гугл-доков: иногда по какой-то причине извлечь ничего не получается, xeuledoc пишет, что файл не существует(sic!) или не опубликован).

На этом хорошие новости всё, поскольку интернету неведом способ превращения /d/e/ в просто /d/ (очевидно, тупо отредактировать ссылку не получится). Ждём очередной утечки документов из Google?

Я заметила, что d-ссылки чаще всего ведут на Формы, к которым можно запросить совместный доступ, как, например, здесь:

https://docs.google.com/forms/d/1X7MdEJXffBHBGtrGVVWFP8qbvFMcQJlNgAGhL56dMl8/viewform?edit_requested=true

(эта Гугл-форма вообще смешная: по кнопке "Request edit access" без дополнительных запросов и проверок проваливаешься сразу в редактор, к тому же тебе становятся видны ответы - в норме такого не должно быть)

Но и это известно недостоверно: встречаются d-ссылки без параметра edit_requested. То есть их обнаружение - дело случая. Закономерность, скорее всего, существует, но в её тайну ещё предстоит проникнуть.

Формы же с "зашифрованным" ID пока остаются непробиваемыми, однако небольшая лазейка всё же остаётся: при создании к Гугл-форме привязывается Гугл-таблица для сохранения ответов, которая по дефолту называется так же, как форма, + "(Responses)". По её ID (44-значному) можно попробовать определить владельца - у таблицы и формы он будет общий. Ожидаемая ложка дёгтя заключается в том, что шанс на успех крайне мал: большая часть проиндексированных таблиц с ответами, что мне встречалась, создана 5-10 лет тому назад, то есть безнадёжна устарела. Гугл-формы продолжают хранить свои секреты.

Но дорк я, конечно, на всякий случай дам:

site:docs.google.com/spreadsheets intitle:"Responses"

Мамские каналы никогда ещё не были такими затягивающими. Кухня, дети... и церковь евангельских христиан-баптистов? ШТО

А ещё Pyrogram, Elasticsearch и NetworkX.

Тянула с выкладкой, потому что в первый раз удосужилась залить на Гитхаб самую первую версию скрипта, в которой даже Эластик ещё не фигурировал (а я им так гордилась, так гордилась...).
В общем, ссылка на обновленный код.