[Перевод] Как OSINT воссоединил двух давно потерявших друг друга солдат

Лица и имена, указанные в этом блоге, являются реальными и используются с их разрешения. Некоторые детали были отредактированы или скрыты, чтобы защитить частную жизнь других лиц.

Полезные OSINT инструменты в телеграме (всегда рабочие ссылки) и отличный контент.

Каждый день ветерана на протяжении почти десяти лет мой друг Билл Стивенс пытался найти и восстановить связь со своим армейским товарищем, с которым он вместе сражался более 20 лет назад. В течение нескольких лет Билл публиковал свои посты в Facebook, сопровождая их фотографиями из прошлого, в надежде, что каким-то образом его пост станет популярным и весть дойдет до его давно потерянного друга…, но этого так и не произошло.

4e791533e6246e891d05afb565f39a1e.png

Я знаю Билла уже очень давно, и в течение последних нескольких лет я все чаще читаю разочаровывающие сообщения с просьбами о том, чтобы кто-нибудь помог ему. Каждый год я задавался вопросом, может, мне повезет и я попытаюсь помочь с поисками. В конце концов, я зарабатываю на жизнь поиском людей в Интернете, но найти «Эрика Гарсию», о местонахождении которого в последний раз было известно более 20 лет назад? Это все равно что искать иголку в куче иголок!

11 ноября 2022 года просьба Билла вновь появилась в моей ленте на Facebook. К слову, осень 2022 года совпала с 5-летней годовщиной смерти моего лучшего друга и ветерана Армии, Чада Джолсона. Чад и я провели наши юные годы, будучи неразлучны, словно два горошка в стручке, и два самых тяжелых момента в моей жизни, когда я плакал сильнее всего, были в день, когда он отправился на базовую военную подготовку, и в день, когда я произносил надгробную речь на его похоронах. Я ношу эту потрепанную фотографию с ним в своем кошельке каждый день уже почти четверть века и все еще постоянно о нем думаю.

92d00b69ccdb04f0dea204f396ef599c.png

Возможно, так совпало время, а может, просто судьба, но на этот раз я решил обратиться к Биллу с предложением попытаться разыскать его давно потерянного друга. Я знаю, насколько тесны узы, которые связывают этих храбрых мужчин и женщин в нашей армии, и совершенно очевидно, что этот человек очень много значил для Билла. Это очень маловероятно, но если я смогу каким-то образом помочь им снова быть вместе, что ж… Я хочу попробовать.

Я связался с Биллом и попросил его вспомнить хоть что-нибудь, что могло бы помочь мне разыскать «Эрика Гарсию», потому что никогда не знаешь, когда мельчайшая деталь может иметь существенное значение, когда дело доходит до работы в сфере OSINT. К сожалению, в начале поиска у меня было очень мало информации:

Имя: Эрик Гарсия

Местонахождение: Форт-Гордон, Джорджия (1998–1999)

Предыдущее местонахождение: Колорадо

Компания: Foxtrot 369

Это оно. Это все, с чем нам здесь приходится работать.

Для меня было бы невозможно преуменьшить количество последовавших за этим неудач, поскольку я потратил много часов на бесплодные поиски.

Я начал с простого: спросил нескольких друзей в армии, существует ли какая-либо общедоступная база данных, и получил категорическое «нет». Затем я сосредоточился на Foxtrot 369, просматривая страницы воинских частей, группы в Facebook, статьи в Интернете и все, что попадалось мне под руку. После нескольких часов поиска по этому маршруту ничего не принесло результатов.

После этого я пошел обычным путем по поиску людей на веб-сайтах, просматривая контактную информацию каждого «Эрика Гарсиа», которого я смог найти, связанного с Форт-Уэстом. Гордон, Джорджия или штат Колорадо, который родился в 1980 году или около того. Вы знаете, сколько там людей? Внимание, спойлер… ЭТО ПРОСТО КУЧА ДЕРЬМА.

Хорошо известно, что я упрям почти на олимпийском уровне, но на данном этапе я думаю, что, возможно, мне действительно придется сложить с себя полномочия и признать поражение. Я действительно не представляю, как это возможно с тем немногим, с чем мне приходится работать. Исчерпав практически все, что я мог придумать, боюсь, что это, похоже, взяло надо мной верх.

Это выводит меня из себя.

Я ненавижу терпеть неудачи. Пора копать глубже.

Всякий раз, когда я застреваю в ходе расследования, я всегда применяю один и тот же подход… Я возвращаюсь к тому, с чего начал, и анализирую то, с чего начал, в поисках упущенных способов работы с имеющейся у меня информацией. В этот момент мне приходит в голову, что у меня есть одна информация, которую я еще совсем не изучил…

Сама фотография!

Точнее, лицо «Эрика Гарсии». Да, эти фотографии старые, и да, они представляют собой обычную картинку и не очень высокого качества, но в наши дни существует множество бесплатных возможностей с открытым исходным кодом для распознавания лиц, а также для увеличения масштаба фотографий низкого качества. Некоторые из этих сайтов ориентированы на поиск изображений, взятых с одной конкретной платформы, в то время как другие используют гораздо более обширные базы данных. В редких случаях поисковые системы могут добиться определенного успеха в поиске лица, хотя они и не очень хороши.

Перед посещением или использованием любого из этих сайтов, пожалуйста, ознакомьтесь с рисками, законами и политиками, которые могут регулировать ваш доступ к ним или их использование. Я не ваш юрист и не ваш начальник!

Я просматриваю несколько вариантов распознавания лиц с открытым исходным кодом, в том числе в поисковых системах, и — БУМ! … один из них дает мне очень многообещающие результаты!

d42b5b5631d097eeee1886bc4f2655a6.png

Срань господня!!! Это что?

Ни за что!

На мой неопытный взгляд, это, безусловно, выглядит многообещающим результатом, но в наши дни нам не нужно полагаться на мое бесполезное мнение, у нас есть ряд бесплатных инструментов для сравнения лиц на базе искусственного интеллекта, таких как «Rekognition» от Amazon. Давайте посмотрим, что говорит искусственный интеллект о том, соответствует ли это тому «Эрику», которого мы ищем…

b32b0688d8661649cf7ecf9d45c08405.png

99.8%? Тогда ладно!

После бесчисленных часов, проведенных в разочаровании, и почти полного отказа от того, что я действительно хотел решить, у меня наконец-то появилось то, с чем можно работать!

Есть только одна проблема.

626ce118028c3db055a6bfbcf150f051.png

Ссылки на фотографии намеренно обрезаны. Видите ли, этот сайт готов предоставить мне только тизер бесплатно, но они хотят, чтобы я зарегистрировался на их сервисе и заплатил им за полные результаты. Дерьмо!

Пришло время заняться тем, что у нас получается лучше всего. Проявите творческий подход…

Часть URL-адреса, которую я вижу, указывает на то, что домен начинается с «hitched». Судя по внешнему виду этих фотографий, я думаю, что они с какого-то официального мероприятия… естественно, такого, на котором людей «цепляют». Я предполагаю, что, возможно, он просто очень щеголевато одевается в повседневной жизни, но даже я (чей личный стиль лучше всего описать как «папа среднего возраста, ностальгирующий по Среднему Западу») могу сказать, что это, скорее всего, со свадьбы, а не так, как люди одеваются в повседневной жизни. Хотя я не могу сбрасывать со счетов возможность того, что он впоследствии станет известной моделью мужской одежды, я решаю сначала заняться свадебной фотографией.

Мне нужно найти эти фотографии в интернете, но как? Я тут же задаюсь вопросом… могли ли эти результаты быть проиндексированы поисковой системой? Достаточно ли у меня данных, чтобы найти их без полного названия веб-сайта?

Используя самый фундаментальный навык OSINT — Google dorking, я создаю запрос за запросом, используя поисковый оператор inurl: в сочетании со словом hitched, и подбираю несколько потенциальных ключевых слов, которые, как я надеюсь, могут привести меня к нужному сайту. Используя этот поисковый оператор, я прошу Google ограничить результаты поиска только URL-адресами, содержащими указанное мной слово (hitched), и объединить его с поиском по другим ключевым словам, которые меня интересуют. Эти запросы будут выглядеть примерно так:

inurl:hitched wedding photography

Когда я начинаю просматривать результаты, я понимаю, что для меня неэффективно просматривать все их веб-сайты по мере того, как я нахожу те, которые меня интересуют. Мне действительно нужно быть внимательным, если я собираюсь найти ту иглу, которую я ищу! Что, если я попрошу Google снова выполнить за меня тяжелую работу? Возможно, с помощью Google Dork, который заставит Google искать только то, что проиндексировано с каждого из этих, интересующих меня, сайтов, сосредоточив внимание на ключевом слове Eric. Это выглядело бы примерно так (для сайта с названием hitched.com, которое не было названием сайта):

site:hitched.com eric

Это тот случай, когда полное отсутствие предположений в вашей работе иногда приносит плоды. Если вы обратили внимание, я заключаю «Eric» в кавычки на протяжении всего этого блога. Задумывались, почему?

Причина в том, что когда я что-то исследую, я начинаю с широкого поиска, делая как можно меньше предположений, потому что за эти годы со мной не раз случалось что-то подобное:

Просматривая результаты поиска в Google для сайта одного конкретного фотографа, я кое-что заметил… Одна из записей была для Эрика + [Невеста]

(Я удалил ее имя в целях конфиденциальности, и с этого момента буду просто писать [Невеста])

Неужели? Я приглядываюсь повнимательнее…

b4e3588b303240358b049dbc596bdfca.png

Ад. Да!

Оказалось, что мне дали неправильное написание имени человека, которого я искал. Его зовут Erik, а не Eric. Как вам такой дополнительный уровень сложности?

Но, если честно… Вот это удача!

Итак, небольшой перерыв на просмотр телепередач. Пусть это послужит полезным уроком для тех из вас, кто использует действительно сложные Google-дорки, чтобы найти именно то, что вы ищете… Иногда это палка о двух концах. Когда вы занимаетесь «доркингом», подумайте, стоит ли быть настолько ограничительным, насколько это возможно, чтобы получить результат. Я, например, мог бы легко заключить имя Eric в кавычки в своём запросе, чтобы Google возвращал только результаты с этим конкретным именем, однако я мог случайно пропустить то, что искал, из-за фильтрации любого варианта с Erik. Google оказывает мне услугу, предлагая так называемый «нечеткий поиск», который выдает похожие результаты. Иногда это раздражает, но в подобных случаях полезно!

Вы всегда можете добавить больше конкретики в свои поисковые запросы по мере продвижения, и в данном случае мне нужно было только полностью ограничить часть моего запроса «сайт:».

Итак, давайте подведем итоги того, что у меня есть на данный момент…

Просмотрев свадебные фотографии, я узнал имена — Эрик и [Невеста] Гарсия, я знаю, как они выглядят, я знаю, что их свадьба 3 августа 2013 года состоялась в хорошо известном месте в Сан-Педро, Калифорния, я знаю название фотокомпании в Лос-Анджелесе, которая делала их снимки, и… и больше ничего. Вы знаете, сколько Эриков Гарсиа и [Невеста] Гарсиа живет в Лос-Анджелесе и его окрестностях (Калифорния)?

Как вы уже догадались! СРАНАЯ КУЧА!

Моим первым побуждением было заглянуть в социальные сети фотографа. Наверняка жениху или невесте понравился бы один из аккаунтов фотографа в социальных сетях или они были бы подписаны на него, не так ли? Неправильно. Еще больше времени потрачено впустую.

Я задаюсь вопросом, опубликовал ли фотограф в 2013 году пост, рекламирующий их прекрасную фотографию и счастливую пару. Это точно то, что могла бы лайкнуть невеста и жених, верно? Давайте найдем это! Я захожу на Facebook фотографа, использую функцию фильтрации по таймлайну, чтобы вернуться в 2013 год, и вуаля, нахожу пост, который искал:

7502552be58a071540cee64b54fe833b.png

Только вот… они не лайкнули его. И не прокомментировали. Ни они, ни их друзья. Черт!

На этом этапе истории я снова пытаюсь крутиться как белка в колесе. Очень много. Я смотрю онлайн-отзывы о фотографическом бизнесе, месте проведения свадьбы, просматриваю страницы в социальных сетях, изучаю посты, комментарии и репосты. Я хватаюсь за соломинку и ничего из того, что я пробую, не приносит результата.

Помнишь, что делать, когда зашел в тупик?

Отступи.

Итак, я возвращаюсь к посту фотографа выше и спрашиваю себя, с чем еще я могу работать? На чем можно сделать разворот? Что уникально? Что я упустил из виду? И тогда я вижу это…

#TheSepulvedaHome

У этого места есть хэштег! Это открывает передо мной совершенно новые возможности, потому что теперь я изучаю более широкий спектр социальных сетей в поисках не только Эрика и [Невесты], но и любого из гостей их свадьбы, которые разместили фотографии с хэштегом #TheSepulvedaHome 3 августа 2013 года. Если я смогу найти хотя бы одного гостя на свадьбе, возможно, мне удастся зайти в один из его профилей в социальных сетях!

Итак, я ввожу поиск по хэштегам в Facebook, возвращаюсь к 2013 году и нахожу этот пост…

76d6a0b8deff80421c69e42e94fad669.png

Вот оно. Именно то, на что я надеялся! Идеально сохраненное воспоминание с нужной датой, с правильным хэштегом и упоминанием именно той самой пары. О, а в качестве бонуса там еще и несколько отмеченных гостей. Джекпот!

Кстати, оглядываясь назад, понимаю, что это была история из серии «в нужное время и в нужном месте», потому что поиск по хэштегам в Facebook сейчас выдает лишь горстку результатов, и уже нет опции фильтрации по годам, как раньше. Если бы я проводил это исследование сегодня, я мог бы буквально упереться в тупик. Спасибо, Facebook, что постоянно меняешь свои лучшие функции для OSINT! #RIPgraphsearch

Ну что ж, даже переписывая это сейчас, я все еще немного горжусь собой, так что просто воткну этот маленький мем сюда:

3393c2a5115a66ce9ee56142cdf5e613.png

Ну, серьезно… Выйти на знакомого, используя хэштег места проведения свадьбы??? Если я проживу тысячу лет, возможно, я никогда больше не воспользуюсь этим приемом! Но сам процесс размышления, который заставил меня остановиться, пересмотреть имеющиеся ресурсы и найти другой подход? Черт, возможно, я повторю это уже завтра, и, надеюсь, ты тоже.

На этом этапе я ожидал начать свое типичное исследование социальных сетей, найти аккаунты Эрика и Невесты и использовать их, чтобы помочь Биллу наладить контакт. Довольно просто, да?

Неудивительно, что это оказалось сложнее, чем ожидалось.

Иследуя профили гостей свадьбы в поисках общедоступной информации, я в конце концов нахожу несколько свадебных фотографий, в тексте которых упоминается интересное имя пользователя. Имя пользователя, отдаленно напоминающее имя невесты или даже может быть её псевдонимом. Хм… Это не теги, как те, что обычно видишь на Facebook, где имя человека гиперссылкой ведет к его профилю, вероятно, это пришло с привязанного профиля Instagram гостя свадьбы, который разместил пост. Это особенность двух компаний, принадлежащих Meta, которая позволяет делать кросспостинг контента на обеих платформах. Instagram использует упоминания с @ в своих постах, поэтому я перехожу в Instagram и нахожу аккаунт Невесты, используя упомянутое имя пользователя из Facebook.

Профиль (который теперь является закрытым) имел множество фотографий за долгие годы, но чем дальше я листал вниз, тем очевиднее было отсутствие чего-то важного… Эрика. Я был вполне уверен, что нашел ту самую Невесту, ведь она на свадебных фотографиях, но она использует другую фамилию в социальных сетях, и я начинаю подозревать, что, возможно, брак в какой-то момент закончился, и поэтому я его не вижу. Может ли это в итоге оказаться тупиком?

С учетом этого, я возвращаюсь к постам осени 2013 года, чтобы посмотреть, не комментирует ли кто-нибудь, кто мог бы быть Эриком, или если какой-то друг упоминает Эрика или отмечает аккаунт, который, возможно, больше не является гиперссылкой, так как это может быть полезным для дальнейшего исследования. И снова, настойчивость приносит плоды…

740e3f74438d20dfbcd44e2ab04ae229.png

Проследив за отмеченными профилями в комментариях к этому посту, опубликованному всего через несколько недель после свадьбы, я перехожу к отмеченному пользователю Instagram @h8[удалено]

9990ed23f8ad4984136d2ffc675faf46.png

Фотография профиля не очень хорошая, но она действительно сильно напоминает того Эрика, которого я ищу. Теперь, когда я знаю, что он, возможно, является электромонтером со стажем из профсоюза Local 47, возможно, я смогу найти другие сайты с информацией о нем, которую могу передать Биллу. Возвращение к поиску в Google с использованием ключевых слов снова срабатывает!

d9ce51699ef2ac63e0ed8ca855d05fdd.png

ПОСТОЙТЕ, МИНУТУ!

Шон??? Вы должно быть шутите. Я не только начал с неправильного написания имени Эрика, но теперь оказывается, что это даже не его первое имя? Если бы ко мне подошли и сказали: «Эй, я хочу, чтобы ты нашел этого человека, с которым я был знаком 20 лет назад, но я дам тебе только его отчество и фамилию, и одно из этих имен я напишу с ошибкой», я бы сказал…

93ac31bc12bf3898d562e16e34e58139.png

И все же, сопоставив оригинальную фотографию со свадебной фотографией и фотографией из LinkedIn, я вижу правду прямо на экране. Давно потерянный друг Билла, «Эрик Гарсия», на самом деле Шон Эрик Гарсия.

Я нашел свою иголку.

5e89ed310151f04bfcdea0f9a9275775.png

Отсюда у меня больше чем достаточно информации, чтобы двигаться дальше и начинать использовать обычные сайты поиска людей, используя имя Эрика, возраст, родные города и так далее. Не прошло много времени, как я нашел пару адресов электронной почты, физических адресов и телефонных номеров для проверки. Все это было упаковано вместе с аккаунтами в социальных сетях и отправлено очень счастливому Биллу.

Несколько месяцев спустя после того, как я поделился всей этой информацией с Биллом, я узнал, что ему удалось успешно использовать её для давно ожидаемого воссоединения, которого он так долго искал.

В очередной раз сила OSINT спасает положение.

Хотелось бы завершить и поблагодарить Билла и Эрика за то, что позволили мне рассказать эту историю. Также хочу отметить Билла, Эрика, Чада и каждого храброго и самоотверженного человека, который отважно поставил свою жизнь на кон ради свобод, которые мы имеем.

Полезные OSINT инструменты в телеграме (всегда рабочие ссылки) и отличный контент.

Материалы с инструментами по OSINT:
Поиск по почте и никнейму
Анализ аккаунтов Telegram
Боты и сервисы для разведки данных Вконтакте
Разведка по Telegram ботам — OSINT в телеграм
Полезные веб-ресурсы для OSINT
Бот OVERLOAD и поиск групп пользователя в Telegram

Habrahabr.ru прочитано 2752 раза