2022 #OSINT Journalism Review
So. Das Jahr ist fast herum. Ich schaue wehmütig auf spannende und lehrreiche 365 Tage zurück. Es ist wieder Zeit für ein End-of-the-Season OSINT Überblick.
- Wie geht es sicher ins Darkweb und wie startet man Recherchen dort?
- Lektion zu OSINT Investigationen in Krisengebieten
- lehrreiche Twitter Threads
- Und Wünsche für 2023
Besonders für Digital Forensiker bietet das Darknet interessante Einblicke in das Geschäft vieler Krimineller. Dass sich kriminelle Aktivitäten besonders durch das Darknet in den virtuellen Raum begeben haben, ist dabei kein Geheimnis oder Überraschung. Die Politik macht trotzdem wenig. Bei der deutschen Polizei fehlen geschulte Kräfte die im Bereich Darknet neue Spuren und Täter finden und den Ermittlungen ausreichend nachgehen können.
Für mich gab es in den letzten zwei Jahren, und besonders in diesem Jahr einige spannende Recherchemöglichkeiten, die vom Clearnet ins Darknet führten. Ohne auf die einzelnen Recherchen näher einzugehen, gibt es einige Lektionen, die ich an dieser Stelle mit Ihnen teilen möchte.
Selbstverständlich benutzen wir für das Darknet den Torbrowser, Tor ist aber nur eine Quelle. Tor schützt mich und die Quellen, mit denen ich im Darknet zu tun habe. Technisch ist der Tor Browser ein, auf Firefox basierender Webbrowser zur Verbesserung unserer Privatsphäre.
Das funktioniert mit sogenannten Patches, Modifizierungen für den Firefox Browser. Um gewissen Sicherheitsstandard zu erreichen, sollten deshalb weder Plugins noch in-eigen Hand durchgeführte Modifizierungen des Browsers vorgenommen werden. Patches bieten unter anderem Schutz vor Cross-Site-Tracking, durch sogenanntes “First Party Isolation”, einen Schutz vor dem berüchtigten Fingerprinting und so weiter.
Er vermeidet auch die Speicherung privater Daten auf der Festplatte und bietet natürlich Schutz und Sicherung der Verbindung zum Tor-Netzwerk. 2019 hatte Tor noch rund 1 Million Nutzer. 2022 waren es schon dreimal so viel, und zwar täglich. Ein enormer Anstieg also, glaubt man den Einschätzungen von Bankless Times, ein Medium, das sich Inhalten zur Krypto-Sphäre verschrieben hat sowie der Seite DarkNetOne, eine Darknet News Seite. Besonders viele Nutzer, knapp über ein Viertel, sind aus Indien. An zweiter Stelle steht Russland. Das ist als Nebenaspekt ganz interessant, zumal das verbrecherische Regime von Putin auch im Netz keine Opposition zulässt und ein “single register” führt, das von der staatlichen Stelle Roskomnadzor zur Zensur der Bürger eingerichtet wurde.
Dass so viele russische Nutzer auf das privatere Tor Netzswerk ausweichen, um sicherer unterwegs zu sein, ist daher verständlich. Nachdem die Macher des Torprojekt ein Blogpost 2021 veröffentlicht hatten, wurde die Projektseite zu den Seiten der Schwarzen Liste des Kremls hinzugefügt. “Unmittelbar nach der Veröffentlichung des Artikels”, so sie Autoren, “hat die russische Regierung unsere Hauptwebsite in Russland offiziell gesperrt”. Um die Sperre zu umgehen wird geraten eine Website-Mirror Seite zu besuchen.
OSINT im Darknet: 101
… Ist nicht so leicht wie im Clearnet. Die Links sind nicht indiziert wie bei Google, lassen sich also schwerer lokalisieren, und damit auch die Informationen und Daten nach denen wir suchen. Archivieren lassen sich Seiten auch schwerer. Ein Darknet WebArchive gibt es auch nicht so richtig (es sei denn, man zählt die Möglichkeit hinzu Onion links auch mit Webarchive archivieren lassen).
Spuren können sich ergeben, wenn Darknet und Clearnet parallel durchforstet werden. Dann gibts noch das Deepweb, also Seiten die durch ein Passwort oder durch Authentifizierungsprozesse geschützte sind (dazu in einem anderen Post mehr).
2021 schloss das Tor Projekt Zugänge zu alten, unsicheren Domains. Damit läuft die Verwaltung von V2 Onion Services aus, was mit sich bringt, dass viele Seiten einfach nicht mehr aufrufbar sind. Für den OSINT Bereich im Darknet gilt damit also auch, dass einige Tools, die bisher halfen, jetzt einfach nicht mehr funktionieren, wie Matt von OSINT_Me in einem Post beschreibt. Das bringt uns auch gleich zum nützlichen Thema, wie ich OSINT im Darknet betreibe. Die wichtigsten Tools und Coding Libraries, die es für mich richtig bringen, hab ich, mal aufgelistet.
- OPSEC Set-up (Sicher in Darkweb): Was sich im Darknet recherchieren lässt, ist in meinem Falle nicht illegale. Das heißt, ich komme meistens mit einer Virtual Machine wie Parallels oder VirtualBox aus. Für empfindlichere Recherchen benütze ich einen eignen Laptop, eigene Email Accounts, eigene Handynummern und so weiter. Die VirtualMachine schützt gegen Viren und anderen Attacken. Der VPN der im Hintergrund läuft, ist spezifisch auf Darknet Recherchen (und zwar durch einen ganz bestimmten Betreiber) auf solchen Dinge zugeschnitten. Da lohnt es sich auch ein wenig Geld auszugeben. Meine Privacy Settings sind hoch. Logins für Social Media Recherchen werden nur durch langatmig angelegte Sock Puppen betrieben, die durch eine Reihe von Burner E-Mail Adressen angelegt wurden.
- Suche nach Onion links: Um im Darknet mit Tor zu recherchieren, suchen wir nach Onion links. Sie sind der Startpunkt. Ohne Onion Links, keine Informationen. Wo findet man Onion links? Auf Seiten, die diese indiziert. Natürlich klappt das nicht wie bei Google. Ständig werden neue Links erstellt. Andere funktionieren nicht mehr. Strafermittlungsbehörden schließen ständig neue Seite. Dann steht das ein größer Banner mit “Diese Seite wurde erfolgreich gesperrt”.
Hunchly: wurde dir bestimmt schon hundertmal empfohlen, ist aber immer wieder der Erwähnung wert. Jeden Tag werden neue Onion Adressen als Liste via E-Mail verschickt. Das kann bei bestimmten Recherchen durchaus zu schnellen Erfolgen führen.
Ahmia, eines der ältesten onion-Suchmaschinen sucht und findet eigens indexierte Onion Adressen. Die Suche funktioniert nicht immer prächtig, aber wir arbeiten mit dem, was wir haben. Search Operators gibt zwar so nicht, zumindest bin finde ich dazu keine Einträge. Die Seite listet aber alle “banned”, also gesperrten Adressen (eine Blacklist unter https://ahmia.fi/blacklist/banned/, was bei einigen Recherchen helfen kann) und auch sonst alle Einträge, wie hier.
Onion Search Engine, die es auch als Chrome und Firefox Plugins gibt, assestiert bei der Suche spezifischen Suchbegriffen und liefert Onion Links zu Bildern, Videos und einigen anderen Bereichen. Das toppt zwar das was Ahmia zu bieten hat und kann zu Ergebnissen führen, braucht aber einiges an Fingerspitzengefühl, wie ich finde.
Wer wie wir investigative Recherchen oft im Bereich Kriminalität nachgehen will, sollte wissen nach was er sucht. Es bringt ja wenig eine Suchmaschine zu haben, wenn ich nicht weiß nach welchen Begriffen man suchen soll. Hier kann die IACA Darkweb Tools Webseiten helfen. Es handelt sich hier um ein kostenloses Angebot der International Anti Crime Academy.
Einerseits hilft bei der Suche relevante Referenz Begriffe zu den einzelnen Themen (wie zu Drigen, Verschleppung, und Militär) sowie das Iaca-darkweb-dictionary, ein Wörterbuch mit relevanten Begriffen die bei der Suche helfen können. Dann gibt es die Suche selbt (HIER), die es erlaubt in den einzelnen MarketPlaces selber tiefergreifende Suchen zu betreiben.
Auch relativ hilfreich für die SOCINT Social Media Recherche im Darknet, und mit links zu eventuell relevanten Foren ist https://tor.taxi/.
Darkweb-Wiki kann auch hilfreich sein, einen ersten Überblick zu den Linkst zu bekommen, wurde aber zuletzt im Juni 2021 aufgefrischt, also aufgepasst.
Die Reddit Seiten https://www.reddit.com/r/onions sowie https://www.reddit.com/t/dark_web/ können auch rech hilfreiche Quellen sein. Matt fügt noch die folgenden beiden Reddit Seiten hinzu: https://www.reddit.com/r/darknet/, https://www.reddit.com/r/TOR/
Die Seite https://dark.fail/ wird von einem anonymen Journalisten betrieben der Onion Links und deren Inhalt versucht zu verifizieren.
Wer immer noch nicht genug hat kann sich hier StartMe Seiten mit Darknet Tools reinziehen:
https://start.me/p/kx5qL5/osint-darkweb-russia,
https://start.me/p/0PGKad/darkweb,
https://start.me/p/aLBELX/tutorials?locale=en,
https://start.me/p/X2wwpk/14-dark-web-breach-data?locale=en,
https://start.me/p/GENzLb/osint,
etc….. just Google it for more
Darkweb und Datenleaks
Eine OSINT Datenquelle zu diesem Thema ist mir 2022 besonders aufgefallen. Zwar gibt es auch im Clearnet große Datenleaks. Besonders viel kommt jedoch über das Darknet rein. Da gibt es eine Reihe von Onion links die man häufiger ansteuern sollte.
Hier möchte ich kurz auf die non-profit whistleblower Seite Distributed Denial of Secrets hinweisen. Die Hauptseite erklärt alles selbst. Bei OSINT Recherchen besonder hilfreich: Die Database der Leaks. Um die Daten runterzulassen, werden Torrent links gestellt. Mit einem Torrent Downloader wie µTorrent (uTorrent) Clients for Mac oder ähnlichen Systemen auf Windows oder Linux, lädt man die Datenmengen herunter.
Dabei sollte man natürlich Vorkehrungen treffen, zum Beispiel nicht ohne einer VirtualMachine arbeiten, oder besonders vorsichtig mit Malware umgehen und einem starken VPN benutzen. Darüber hinaus kann man sich und seine Identität mit zusätzlichen Privacy Einstellungen schützen. Was das heißt, wird aber hier zu technisch.
Die Newsletter Ddosecrets ist auch interessant, nehmt aber eine Burner Email. Wer weiß was noch geleakt wird :-)
Die Amerikaner liefern dem afghanischen Militär-fähige PC-12-Maschinen, die durch den Schweizer Hersteller Pilatus produziert worden sind. In den Staaten angekommen, werden sie dort von Zivilfliegern in, für-den-Krieg betriebsbereite Überwachungsflieger umgebaut. Dass das ganz einfach geht, darum kümmert sich der Schweizer Herstelle mit vorher eingebauten Modifikation-Elementen, wie einer Heckklappe. Ganz still und heimlich, denn offiziell sind die Flugzeuge ja nur zivile Jets. Erstmal mit dem nötigen Equipment ausgestattet, führen und leiten sie die Kampfjets am afghanischen Himmel, um Taliban-Kämpfer aber besonders eben auch Zivilisten zu töten. Die Schweizer behaupten, sie hätten nichts damit am Hut.
Expertenmeinungen und Recherchen besagen etwas anders. Im Februar, Tage vor dem Einzug Russlands in die Ukraine, erschien diese umfangreiche Recherche von uns. Ungünstig, wie sich herausstellt, denn damit geht sie ein wenig unter. Die Recherche zeigt die Problematik von Dual-use Gütern, die aus westlichen Aufrüstungs-Fabriken mit einem zivilen Aufkleber exportiert werden. So etwas gibt es hundertfach. Und viele davon bleiben unaufgeklärt. Denn die Konzerne kommen davon. Mal in einem Krisengebiet angekommen, können diese Güter gegen Unschuldige eingesetzt werden und schlimmstenfalls diktatorischen und menschenverachtenden Regimen zugutekommen.
Von der Open Source Intelligence Perspektive halfen Nato Koordinaten, sowie die Auswertung von Einsatzvideos der Flieger und Rekonstruktionen der Angriffe. Die wichtigste Lektion meinerseits war jedoch: Schicke immer einen Journalisten ins Krisengebiet, um die ausgearbeitete Intelligence Ergebnisse gegenprüfen zu lassen. Zusammen mit den Kollegen Dimitri Zufferey von RTS, Lighthouse und anderen wundervollen Kollegen, hatte diese Recherche ein Grundstein gelegt für viele weitere ähnliche Recherchen zu Dual-Use Exportgütern. Diese wird es zweifellos geben. Denn besonders jetzt, mit dem ersten europäischen Krieg seit langem und dem Aufwärmen des kalten Krieges, riechen Rüstungskonzerne das Geld.
Sie werden alles versuchen, um ihre Technologien der einen oder anderen Seite zu verkaufen. Sanktionstechnisch sowie von seitens der internationalen Menschenrechte, führt das zu den modernen Problemen unserer Zeit.
Und was gab’s noch so 2022?
Besonders stolz waren wir auf unsere Arbeit mit Brecht Castel (von Knack), Alberto Olivieri sowie OSINT Journalisten Kalim und Archit vom Indischen Medium ALTNews. Hierzu nochmal den feierlichen Tweet von Partner Castel:
Was noch? Die Geschichte zu Kalibr Raketen im Ukraine und wie man sie stoppt hat sicher einiges gelehrt. Eine Lektion ist dabei sicher, sich kürzer zu halten. Keiner will eine Analyse von über 30 Minuten lesen. Bis heute ist diese Recherche nicht mit einem großen Presseartikel erschienen. Das macht aber nichts. Sie hat trotzdem über hunderttausend Views und Reads bekommen. Sie könnte so weitere Geschichten andere Journalisten inspiriert haben.
Ein ähnlich ausführliche OSINT Geschichte (“No Future for the North Korea Fixer”) kam auch im Sommer raus. Es geht um den Spanier Alejandro Cao de Benós, der als Fixer für das Nord Koreanische Verbrechensregime arbeitete. Nicht nur haben sie zehntausende Leser gelesen. Ein Opfer hat sich nach Publication mit Komplimenten bei mir gemeldet und Interesse gezeigt Lücken zu füllen.
Relevante Twitter Threads von 2022
Nachdem Elon Musk immer mehr die Gemeinde der online Ermittler, OSINT Accounts sowie technische Journalisten im Fadenkreuz hat, fragt man sich: Wohin mit den Inhalten nun? Wie andere Journalisten nutzte ich Twitter für die Verbreitung und Austausch von OSINT Analysen. Damit ist jetzt Schluss. Denn ob man Musks Plattfrom so noch akzeptieren kann und will, ist fraglich. Die Community verschiebt sich momentan immer mehr auf andere Plattformen, wie Mastodon, eine Decentralized Social Media Seite (wie man hier OSINT betreiben kann, dazu mehr hier).
In 2023 wird weniger OSINT auf Twitter landen, und mehr auf anderen Plattformen. Nichtsdestoweniger gab es 2022 einige relevante und wie ich finde, lehrreiche Analysen auf Twitter, die ich an dieser Stelle im Schnelldurchlauf erwähnen will.
Eine OSINT Geschichte zu Kriegstrophäen findet deutsche militärische Gerätschaften auf einer russischen Messe, die als Kriegstrophäen gehandelt werden. In der Ukraine handeln Bürger mit blutverschmierten Utensilien um schnelles Geld zu verdienen, was moralisch verwerflich scheint.
Hetze gegen eine Ärztin, Dr. Lisa-Maria Kellermayr, ging zu weit. Die Frau hat sich das Leben genommen. Eine OSINT Analyse, die zusammen mit einer Quelle durchgeführt wurde, zeigt, wer die Person hinter den Hassbriefen ist, was für einzigartige Merkmale der Verfasser unwissentlich hinterlässt und wo die Spur der Strafverfolgung hingeführten sollte.
Ein von Journalisten veröffentlichtes Video zeigt den österreichischen mutmaßlicher Wirtschaftskrimineller und ehemaliges Vorstandsmitglied der Wirecard AG bei einem Spaziergang durch den Moskauer Aerobus-Wohnkomplex in der Kochanovsky-Prospekt-Straße 4/1. Eine Videoanalyse verifiziert und liefert zusätzlich interessant Ergebnisse.
Die totgetrampelten Feiergäste Koreanischer Halloween-Feierlichkeiten fordert viele Menschenleben. Nur Stunden nach dem schrecklichen Vorfall zeigen Analysen was im Detail passierte. Nachdem rund 100.000 Menschen zu den Feierlichkeiten in die Straßen von Itaewon geströmt waren, werden mindestens 158 Menschen “zu Tode gequetscht” und fast 200 verletzt.
Die Präzisionsraketenangriffe der Russen mit Kalibr auf ukrainische Zivilisten wird hier im Detail analysiert. Einiges wusste man ja schon, die technischen und Sanktion-relevanten Details, zum Beispiel. Dabei zeigt diese Analyse, wie schwer doch Unschuldige Zivilisten unter dem Raketentyp leiden und was geschehen sollte, um ihnen den Gar auszumachen.
Eine Untersuchung der Situation zu giftigem Material im Fluss Oder, zeigt wie Open Source Satellitenbilder helfen könnten um die Quelle der Vergiftung zu lokalisieren. Wie weit man damit kommt, also die Quelle der Verschmutzung zeitversetzt zu identifizieren, hat mich dabei selbst überrascht. Die Quelle der Verschmutzung, eine Fabrik am Fluss zum Beispiel, sollte mehr Algen flussabwärts aufzeigen, und so gefunden werden (wurde sie aber nicht, leider. Wichtige Hinweise gab es trotzdem). Bis heute bleiben Fragen, selbst im Abschlussbericht deutscher Experten, offen.
Einen kurzen Einblick wie sich mit offenen Daten verpixelte Bereiche in Fotos enthüllen lassen, lässt sich vielleicht auch in anderen Bereichen anwenden. Bottomline: Verpixeln reicht nicht mehr aus. Denn es gibt bereits Tools die es erlauben Text sowie auch Bilder mithilfe cleverer AI zu entpixeln.
Tools und Ansätze hier: https://johanneskopf.de/publications/pixelart/ oder hier: https://github.com/MarshalX/DepixToolBot.
Immer wieder bekam ich Videos zur Verifizierung auf den Tisch. Ab und zu, wie hier in einem Fall in Kurdistan, lässt sich das auch noch interessant darstellen. Wen es interessiert, für Geoanalysen nütze ich oft Adobe Illustrator (nicht für alles).
Wenn auf unbewaffnete Demonstranten geschossen wird, muss man genau hinschauen. Wie auch in diesem Fall hier in Sri Lanka. Scharfe Munition hinterlassen Einschusslöcher, die vor der Demo nicht präsent waren.
Wie sich mit YouTube arbeiten lässt, ein Beispiel aus der Ukraine.
Wie ich finden eine wichtige Strategie um an gelöschte Links zu kommen: Eine der am meisten unterschätzten Möglichkeiten, Inhalte in gelöschten Tweets zu bestätigen: die umgekehrte Bildsuche nach einem Screenshot des Tweets, mit Beispiel.
… und weiter Reverse Image Search Tricks:
Auch wie ich finde eine unterschätzte Quelle ist Wikipedia. Was für Technike man hier anwenden kann, seht hier hier:
Schwarze Listen zu Crypto Betrügern können in Recherchen einen guten Dienst erweisen. Hier: betrügerische Bitcoin-Geldbörsen, die den Krieg in der Ukraine für Scams ausnutzen.
Wie finden OSINT Experten Video Inhalten. Was funktioniert und was weniger. Diese Post geht mit Beispielen ins Detail. Ab und zu gehört dazu auch Techniken um YouTube Untertitel zu durchforsten oder zu archivieren.
Um professionelle Geovideoanalysen zu machen, können auch Open Source Software Angebote wie CODEC von SITU Research helfen. Zur Archivierung von Videoschnipsel, sowie zur Analyse, ist das sicher eine klasse Option, besonders für Journalisten:
Für Geolocations Arbeit, (und wenn es sich hier nur um einen FactCheck, der Adressen vergleicht, handelt), macht cipher387 vieles einfacher.
Immer häufiger fließen Open Source Überwachungskameravideos in Recherchen mit ein:
Zu Unternehmen kann Glassdoor relevante Intel bieten:
Gefakte russische Jets? Oder doch nicht? Damit hat sich dieser Thread befasst. Schlussfolgerung ist: man sollte Vorsicht walten lassen, überschnelle Urteile zu Satellitenbildern zu treffen.
Alte Tools verschwinden, neue tauchen auf, wie hier zu Facial Comparison Software:
The Hoff hat uns auch gezeigt wie man auf Yandex nach Inhalten sucht:
Eine Formel um Desinformation zu testen, hier bitte:
Menschen, wie der ukrainische Journalist Oleh Baturin werden einfach vom der Straße entführt. Die OSINT analyse zeigt was sich bei der Entführung abgespielte. Aber noch mehr. Hier handelte es sich um Rachefeldzug eines ukrainischen Russland Sympathisanten, ein Strohmann der russischen Besatzer, den der Journalist mit Recherchen bloßgestellt hatte. Dafür wurde er entführt und gefoltert.
Und zu guter Letzt, eine fruchtbare Kollaboration mit internationalen OSINT Journalistenkollegen mit der Frage: haben die ukrainischen Truppen die Nothilfe im Kriegsgebiet missbrauchten oder nicht (haben sie nicht).
Und was gibts 2023?
Mehr Präsenz auf Clearnet und relevanten Darknet Data Leak Foren, mehr Austausch mit internationalen Journalisten, mehr internationale OSINT Kollaborationen, mehr HUMINT neben OSINT, das sind einige der Bereiche wo es Sinn macht aufzustocken. Automatisierung gehört auch dazu. Ein großer, unbesetzter Bereich ist und bleibt für mich: Maltego. Oft ist das Journalisten zu teuer. Neben Social Links, können auch die Plugins ein Vermögen kosten, Geld das der ein oder andere Reporter oder News Organisation nicht hat.
Versuchen sollte man es trotzdem. Zusammen mit Social Links lassen sich mehr und schneller Informationskonstrukte und so Ergebnisse erzielen. Aufholbedarf gibt es auch im Bereich SockPuppets und in der Facial Recognition Recherche für Journalisten. Dabei kann ich OSINT Kollegen das Paper von Amr el Rahwan von der International Hellenic University empfehlen: “Artificial Intelligence and Interoperability for Solving Challenges of OSINT and Cross-Border Investigations”. Zwar ist die Schlussfolgerung ein Downer. Dabei fehlt es an einer wirksamen technischen Lösung für den grenzüberschreitenden Informationsaustausch und die Komplexität der OSINT-Ermittlungen. Der empfohlene personenzentrierten OSINT-Ansatz ist aber trotzdem zukunftsweisend, wie ich finde.
Ein Erfolgreiches 2023!!!
