OSINT – UM GUIA PARA INTELIGÊNCIA DE FONTES ABERTAS

INTRODUÇÃO: PEERING BEHIND THE MASK

A Inteligência de Fontes Abertas, que os pesquisadores e serviços de segurança chamam de OSINT, é uma das ferramentas mais valiosas para um repórter contemporâneo, devido à vasta quantidade de informações online publicamente disponíveis.

Repórteres que conduzem pesquisas baseadas em OSINT devem aspirar a usar as informações que coletam online para espiar por trás da máscara superficial da internet – os avatares anônimos no Twitter, por exemplo, ou as fotos filtradas no Instagram – e contar a história da vida real seres humanos -e-sangue do outro lado de nossas telas.

 

Cada vez que entramos online, abrimos mão de parte de nossa identidade. Às vezes, vem na forma de um e-mail usado para criar uma conta no Twitter. Outras vezes, é um número de telefone para autenticação de dois fatores ou carimbos de data/hora de dias e semanas sugerindo quando um usuário está acordado e dormindo. Os jornalistas podem reunir pistas como esta e usá-las para contar histórias que sejam do interesse do público.

O guia a seguir foi escrito para fornecer uma base básica não apenas para fazer esse trabalho, mas também para verificar as informações, arquivar descobertas e interagir com comunidades hostis online.

Quanto mais nos aproximamos de entender as pessoas que fazem os aspectos influentes e interessantes da Internet acontecerem – e suas motivações – mais fácil se torna nosso trabalho de descoberta.

 

Conheça o curso: Investigação Cibernética em Fontes Abertas

1: A DIFERENÇA ENTRE REDES ABERTAS E FECHADAS

Relatórios de fontes abertas referem-se ao esforço de recuperar informações que estão publicamente disponíveis online, parte do que chamaremos de rede aberta.

Quando você se comunica por meio de dispositivos como telefones, laptops e tablets, você usa redes abertas e fechadas sem nem mesmo pensar. Você provavelmente fala com alguns dos mesmos amigos enquanto dança para frente e para trás entre redes abertas e fechadas, e o faz em um intervalo de apenas alguns minutos. Os repórteres devem estar cientes da diferença.

Quando você pensa sobre a diferença entre redes abertas e fechadas, pense em como você usa o Facebook: você quer que o público encontre o link para a história que você escreveu, então você o posta publicamente em sua linha do tempo. Mas você pode não querer que o público leia seus comentários zombando da roupa do seu chefe, então poste isso para um colega pelo aplicativo Messenger do site. A postagem pública está aberta e o comentário sarcástico no Messenger está fechado. Esses são dois tipos diferentes de comunicação, e como você relata o uso deles exigirá abordagens diferentes.

 

Redes abertas

Pergunte a si mesmo: A conversa que você está vendo requer um convite? Se a resposta for não, você está olhando para o que chamamos de rede aberta. Os usuários do Twitter, especialmente os jornalistas que adiam um prazo, conversam bastante uns com os outros sobre o que está “na TL” ou sua linha do tempo de tweets publicamente visível. O que está “na TL” faz parte de uma rede aberta e pesquisável. Assim como uma conversa em fóruns imageboard como o 4chan e o 8chan. Assim como qualquer coisa que você possa ler pesquisando no Google. Quando LeBron James assinou com o Los Angeles Lakers em julho de 2018, por exemplo, a seção de comentários de uma postagem no blog do Bleacher Report sobre a notícia iluminou-se com tagarelice . A seção de comentários sobre a mudança de James faz parte de uma rede aberta. O Yahoo Respostas também. O mesmo ocorre com um fórum neonazista como a Marcha de Ferro .

Exemplos de redes abertas:

Twitter, Facebook, YouTube, Instagram, Gab, Reddit, Voat, 4chan, 8chan, Parler, Minds.com, Steam, Kiwi Farms, a seção de comentários de um artigo do New York Times, mensagens de doações públicas em uma página do GoFundMe.

Relatório sobre conteúdo voltado para o público

Digamos que uma mulher de 20 anos chamada Jane Smith quisesse desejar um feliz aniversário a Joseph Stalin no Facebook porque ela pertencia à comunidade “tankie” de ex-apologistas da União Soviética. Smith postou: “Feliz aniversário para meu lindo herói Joseph Stalin!” em 18 de dezembro. Dois dias depois, Smith assalta um banco e posta um vídeo no Instagram onde diz à câmera que fez isso em nome da “destruição da civilização ocidental”.

Desde que ambas as contas de Smith sejam definidas como públicas e você tenha verificado que as contas são autênticas, você tem os ingredientes para uma história interessante sobre um assaltante de banco tankie: Jane Smith, a suspeita de 20 anos no roubo de hoje, apareceu para elogiar Joseph Stalin no Facebook e disse ao seu público de cerca de 900 seguidores do Instagram que ela tinha como alvo o banco como parte de um esforço para destruir a “civilização ocidental”.

Quando as contas são definidas como públicas, qualquer pessoa com acesso à Internet pode ver o que foi postado. Se alguém pode ver, qualquer um pode relatar. Muito do que você vai ler neste guia gira em torno de como encontrar, verificar e analisar o conteúdo encontrado em redes abertas.

 

Redes Fechadas

Quando os usuários do Twitter fofocam em “DMs” privados, isso é parte de uma rede fechada dentro da plataforma do Twitter. Os usuários não querem que estranhos vejam o que estão escrevendo uns para os outros e precisam ser convidados a ler. Quando você envia uma mensagem de texto para alguém, está fazendo isso em uma rede fechada. Quando você cria uma sala de chat que está disponível apenas para as pessoas por meio de um convite, você está fazendo isso em uma rede fechada. A conversa que você está vendo requer um convite? Se a resposta for sim, você está olhando para uma rede fechada. Aplicativos de mensagens criptografadas como WhatsApp, Signal e Wire são bons exemplos de redes fechadas porque exigem um convite de outra pessoa para ver e participar de uma conversa.

Keybase e Telegram são exemplos de aplicativos de mensagens criptografadas em que uma boa quantidade de material sobre os usuários é voltado ao público e parte de uma rede aberta , mas as conversas nem sempre são apresentadas dessa forma.

Existem sites como “Disboard” que pretendem permitir que você pesquise servidores relacionados ao aplicativo de jogos Discord na web aberta, mas chamaremos isso de parte de uma rede fechada, porque muitos dos servidores sobre os quais vale a pena escrever exigirão um convite para juntar. O Disboard e sites semelhantes não aparecem em uma lista completa de servidores Discord ativos.

Exemplos de redes fechadas:

Discord, Riot, Signal, WhatsApp, Telegram, Wire, Kik, Threema, Keybase, messenger, mensagem de texto, Facetime, Skype, Google Hangouts, o recurso de mensagem direta em sites públicos como o Twitter.

 

Reportando sobre conversas privadas de outras pessoas

Você pode encontrar capturas de tela postadas em redes abertas de conversas que foram capturadas em redes fechadas. Essas conversas oferecem desafios em termos de verificação, pois geralmente não podem ser autenticadas por meio de pesquisas na Internet.

Digamos que em uma versão diferente da história do ladrão de banco tankie, você tenha pesquisado por horas, mas não consegue encontrar o perfil de Jane Smith no Facebook ou Instagram. A única coisa com que você precisa trabalhar é um comunicado à imprensa emitido pela polícia sugerindo que essa mulher de 20 anos roubou um banco. Ao fazer sua diligência, você liga para outra mulher de 20 anos chamada Cynthia Jackson, que era amiga próxima de Smith, de acordo com as notícias locais. Jackson diz a você: “Jane Smith é uma tankie que roubou um banco em nome do comunismo e eu tenho provas.”

Jackson compartilha com você capturas de tela de mensagens de texto privadas que ela afirma ter recebido com Smith antes do roubo. Uma captura de tela parece mostrar Smith compartilhando uma foto do jovem Joseph Stalin. O texto diz: “Vou assaltar um banco em dois dias para mostrar meu amor por ele”.

Infelizmente, você não pode pegar essas informações e se apressar em publicar seu furo sem fazer um pouco mais de trabalho. Porque?

• As capturas de tela podem ser falsificadas.
• Você não estava lá e não conhece o contexto completo dos comentários.
• Você precisa de mais provas para ter certeza de que os comentários vieram de Smith e não de outra pessoa.

Jackson vai deixar você dar uma olhada em seu telefone para ver a longa conversa com Smith? Você pode de alguma forma verificar se o número usado era o de Smith? Você pode chegar a mais pessoas para ajudar a apoiar a afirmação de que Jackson e Smith eram amigos? Quanto mais perto você está de verificar a autenticidade do que Jackson compartilhou, mais perto você está de relatar suas descobertas. Ainda assim, uma regra prática importante é sempre verificar tudo, independentemente de ter sido compartilhado publicamente ou privadamente.

 

DOIS: PESQUISANDO NA WEB ABERTA

Nove em cada dez vezes, digitar uma palavra ou frase na barra de pesquisa do Chrome lhe dará a resposta que você está procurando como repórter. Você pode encontrar o site de uma banda ou a linha e o e-mail do escritório de um congressista. Alguns cliques atrás, você pode até encontrar o blog WordPress de um cara de 2007, onde ele analisa o subtexto psicossexual do traje alienígena do filme Homem-Aranha 3. É a décima vez que requer algum esforço.

 

Usando os operadores avançados do Google

O Google oferece algumas ferramentas internas para ajudar na busca por materiais difíceis de encontrar. Eles são chamados de operadores de pesquisa e existem muitos deles à sua disposição. Eu listaria todos eles aqui, mas apenas alguns deles foram úteis para mim em meu trabalho. Os que foram úteis, no entanto, me pouparam tempo e descobriram coisas que eu não teria encontrado de outra forma.

O Google fornece uma ferramenta extremamente útil para pesquisa em sites, por exemplo: Site: [endereço do site] “palavra-chave”. A ferramenta é particularmente útil com sites marginais de mídia social que oferecem ferramentas de pesquisa internas ineficazes, como o Twitter amigável para os nacionalistas brancos.

Aqui está uma maneira de usar esse operador: Eric Striker é o pseudônimo de um apresentador de podcast e redator do Daily Stormer chamado Joseph Jordan, que postou no Gab sob as alças @estriker, @Eric_Striker e @Eric_StrikerDS antes de sair desse site em fevereiro de 2019. Ao reportar sobre Jordan para o SPLC, eu colocaria “Eric Striker” na ferramenta de busca de Gab. Os resultados que receberia seriam caóticos e de pouca utilidade para o meu trabalho.

Para contornar isso, eu digitaria “site: Gab.com Eric Striker” no Google e abriria o identificador @Eric_Striker com o primeiro resultado. A pesquisa também produziria dezenas de suas postagens relevantes. Uma pesquisa mais concentrada, “site: gab.com/Eric_Striker brancos”, por exemplo, mostra postagens específicas em que o usuário mencionou a palavra “branco” ou “brancos”. A ferramenta me permitiu trazer seus posts do Gab que datavam de quando ele se juntou ao site.

Aqui estão alguns outros operadores úteis dentro do Google que trazem material que você não pode obter ao soltar uma sequência de palavras-chave em uma barra de pesquisa:

• Cache: [nome do site/página], produz o resultado de cache mais recente de um site ou página.
• Inurl: [palavra-chave], produz resultados com palavras específicas dentro da URL. Por exemplo, digamos que eu estivesse procurando documentos de formatura antigos relacionados à classe do Queens College de 2013. Eu poderia pesquisar “Queens College 2013 inurl: pdf” e limitar minha pesquisa a apenas documentos PDF.
• filetype: [palavra-chave], também limitará o tipo, como em documentos PDF ou documentos do Word.
• AROUND (X), produz uma busca por proximidade entre duas palavras. Se eu quisesse pesquisar “fraude Goldman Sachs AROUND (5),” eu poderia ver todas as vezes que Goldman Sachs, apareceu dentro de cinco palavras de “fraude” em uma pesquisa do Google .
• inposttitle: [Palavra-chave], recupera postagens de blog e artigos com certas palavras-chave no título.
• Adicionar um caractere “-” antes de um operador de pesquisa excluirá o operador indicado dos resultados – por exemplo, “-filetype: pdf” se você preferir que o Google não retorne links diretos para arquivos PDF.
• Intervalo de datas: digite sua pesquisa com qualquer um dos operadores acima. Clique na caixa abaixo da barra de pesquisa chamada “Ferramentas” e clique no menu suspenso marcado “A qualquer momento”. Role para baixo até dizer “intervalo de datas personalizado” e insira a data.

Ferramenta de intervalo de datas do Google

 

Para quase tudo o mais, o Google tem uma ferramenta de pesquisa avançada eficaz e campos amplamente autoexplicativos para pesquisar dentro dela.

 

Pesquisando além do Google

O Google, é claro, não é o proprietário da web, mesmo que às vezes pareça assim, e diferentes mecanismos de pesquisa geralmente produzem resultados diferentes. Certamente existem razões de privacidade para não usar o Google, considerando o grau em que a empresa explora informações pessoais .

Aqui estão alguns mecanismos de pesquisa que me forneceram resultados de pesquisa alternativos aos encontrados no Google (sem nenhuma ordem específica):

• DuckDuckGo
• Yandex
• Bing
• Baidu
• Monstercrawler.com

“BvsG.org” também é um site que alinha os resultados do Google e do Bing lado a lado, se você quiser comparar os resultados de um tópico. É um truque bacana, mas nunca o achei particularmente útil; sua milhagem pode variar, especialmente se você estiver escrevendo sobre tecnologia de pesquisa na web. Alguns dos operadores específicos do Google acima funcionarão em vários mecanismos de pesquisa, embora não em todos.

Boardreader.com é um site de pesquisa que indexa fóruns. A ferramenta de pesquisa avançada fornecerá resultados de sites específicos, incluindo Reddit, Voat, 4chan, 8chan e outros.

Os mecanismos de pesquisa são uma indústria, e searchenginewatch.com cobre a chegada de novos sites relacionados à pesquisa que surgem. Existem centenas deles, mas muitos produzem cópias completas uns dos outros.

 

Pesquisando nas redes sociais

O Facebook

O Facebook apresenta desafios únicos aos repórteres por uma série de razões. Por um lado, o site é enorme, ostentando mais de dois bilhões de usuários ativos mensais. Por outro lado, a linha do tempo de cada usuário pode flutuar perfeitamente entre as postagens públicas e privadas, e ir fundo na linha do tempo de uma pessoa para obter informações relevantes pode ser assustador. Existem alguns atalhos para pesquisar no Facebook, mas estão longe de ser perfeitos.

Cada perfil do Facebook possui um ID numérico, que pode ser encontrado em vários sites gratuitos se forem voltados ao público. Aqui estão três sites que obtêm contas do Facebook por número:

• Findmyfbid.com
• Commentpicker.com
• SmallSEOtools.com

Este artigo é uma livre tradução e adaptação de: https://www.cjr.org/tow_center_reports/guide-to-osint-and-hostile-communities.php

Quer dominar OSINT?

Gostou do artigo? Quer aprendar mais sobre o assunto?

Conheça o curso:

Investigação Cibernética em Fontes Abertas