Lâu lắm mình mới làm CTF và viết write up, nên lần này chúng ta sẽ cùng thử thách với một thể loại rất là thú vị trong CTF nhé. Mục tiêu lần này của chúng ta là thể loại OSINT tại trang OSINT playground do Cyber Space tổ chức.
Giới thiệu
Cyber Space
Cyber Space là một nhóm hoạt động trong lĩnh vực an toàn thông tin, họ có một fanpage tại https://www.facebook.com/cyberg0100 (trên này cũng thường xuyên đăng memes về Cyber Sec). Đúng như mô tả trên fanpage của họ: "Cybersecurity, OSINT, Threat Intelligence"
. Cyber Space bắt đầu nổi lên với những bài viết, thử thách cộng đồng, dự án,... liên quan tới các kỹ thuật OSINT. Thời điểm Cyber Space dấn thân vào "Secbiz" thì những nội dung về OSINT tại Việt Nam chưa xuất hiện nhiều. Phải nói thật rằng nhờ có các bài viết của Cyber Space mà mình mới biết về OSINT.
Dưới đây là một số bài viết rất hay của Cyber Space mà các bạn nên đọc:
- Series điều tra tổ chức Hoa Khuya:
- Hướng dẫn giảm thiểu nguy cơ an ninh mạng dành cho nạn nhân của các vụ lộ lọt dữ liệu
- Hướng dẫn cho người mới bắt đầu thực hiện kiểm chứng trên mạng xã hội
OSINT
OSINT là từ viết tắt của Open-source intelligence. OSINT là kỹ thuật thu thập thông tin từ các nguồn tin tức công khai trên Internet, trên mạng xã hội,... Bất cứ nguồn tin công khai nào đều có thể được sử dụng, từ bài viết trên các trang web, bài đăng trạng thái trên mạng xã hội, bài báo nghiên cứu khoa học,... cho tới những tấm ảnh check-in khi đi chơi.
Các dữ liệu trên sau khi thu thập về sẽ được chắt lọc, phân tích để lấy được thông tin cần thiết. Kết quả của quá trình OSINT có thể định hướng cho các hoạt động sau này. Có thể hình dung quá trình OSINT giống như việc Cảnh sát hình sự tiến hành điều tra phá án vậy (còn anh bạn Digital Forensics thì giống như quá trình pháp y - phân tích sau khi một sự kiện đã diễn ra).
Write up OSINT playground
Write up của mình sẽ hạn chế đề cập đến những hình ảnh hoặc tư liệu có trong đề bài mà có thể bị google bot tìm được. Tránh việc khi người chơi làm bài thì lại vô tình tìm thấy write up do mình viết.
Do Cyber Space vẫn tiếp tục cập nhật thêm các thử thách, và mình thì cũng không tự tin có thể giải được toàn bộ thử thách, nên bài viết này sẽ còn được cập nhật tiếp tục theo thời gian. Các bạn nhớ check bài viết của mình thường xuyên nhé, chừng nào mình còn làm được thì sẽ còn cập nhật.
Travelling
Lost - 50
- Mục tiêu: tìm ra tên con phố nơi có thể chụp được bức ảnh này.
- Link ảnh: https://1drv.ms/u/s!ArPnIPrcTV7Xab6zk8rne5KZCTA?e=UyUs0T
Nhìn lướt qua cả bức ảnh thì không có gì đáng chú ý cả. Dựa vào chữ trên biển quảng cáo thì chúng ta biết rằng ảnh này được chụp tại đất nước "anh em láng giềng".
Ban đầu mình cũng nghĩ đến việc tìm thông tin từ POLYEC GROUP này. Hướng tìm kiếm là các dự án bất động sản, công trình,... Nhưng sau đó mình nghĩ phương án này có thể tốn quá nhiều thời gian. Giả sử tìm hướng này có thể ra được đáp án thì cũng tồn tại những vấn đề sau:
- Bức ảnh này được chụp cách đây bao lâu? nếu thời gian quá xa thì thông tin liệu có còn hay không?
- Số lượng dự án bất động sản có nhiều hay không? nếu quá nhiều, hoặc có một số dự án lẻ tẻ không được công bố rầm rộ trên Internet thì khó mà tìm được.
- Liệu đây có phải là một công ty xây dựng, chủ thầu bất động sản? Nhỡ chỉ là cái tên nhét vào biển quảng cáo thì chỉ tốn thời gian vô ích.
Do có nhiều vấn đề như trên, thậm chí còn nhiều vấn đề khác nữa nhưng mình lười viết hết lên đây, nên phương án tiếp theo là tìm chi tiết khác hiệu quả hơn trong việc tìm kiếm.
Để tìm kiếm chính xác hơn, chúng ta sẽ cần chú ý vào các chi tiết "độc nhất", "đặc biệt" của bức ảnh. Ở đây chúng ta có thể để ý được một kiến trúc lạ lạ màu đỏ ở phía bên trái bức ảnh.
Giờ chúng ta sẽ thử tìm kiếm bằng Google Lens với ảnh này. Chúng ta sẽ co lại phần tìm kiếm để tập trung vào kiến trúc màu đỏ.
Kết quả tìm được lần này khá tốt, tốt hơn nhiều so với lần đầu tiên mình làm bài này.
Nếu kết quả chưa được như ý thì chúng ta có thể kéo thả căn chỉnh phạm vi hình ảnh tìm kiếm. Như lần này mình đã tìm được hẳn link wikipedia ngon. Trong link còn có hẳn toạ độ địa điểm này trên google map luôn.
Nếu lần đầu tìm kiếm chưa ra thì chúng ta có thể căn chỉnh lại tiếp. Trong lần đầu làm bài này, mình có chỉnh thế nào cũng chỉ ra mỗi cái link của con tem ngu si đần này 🙂🙃. Ngoài ra hầu như không có thông tin giá trị nào. Không có tên kiến trúc, không có địa điểm, chỉ có mỗi thông tin là chụp tại Macau: tem ngu si đần
Tại địa điểm trong Wiki trỏ tới đây, theo góc chụp thì bức ảnh trong đề bài khả năng cao là được chụp tại đường Av. da Ponte da Amizade kia. Nhưng sao chúng ta không du lịch Macau thử để nhìn cho chính xác hơn nhỉ?
Trước tiên hãy bấm vào khu vực ở góc dưới phía trái màn hình để chuyển sang chế độ ảnh vệ tinh.
Trông đẹp hơn hẳn rồi, giờ thì chúng ta sẽ cuộn chuột lên để phóng to hình ảnh. Cuộn tới khi chúng ta nhảy dù xuống mặt đất luôn.
Hình ngọc trai này nhìn gần cũng đẹp phết, ngay cạnh chúng ta còn là ảnh khi toà nhà to to chưa xây xong luôn. Giờ chúng ta sẽ click chuột vào vị trí bất kỳ để du lịch trên Google maps. Đi theo hướng men theo toà nhà để xem có góc nào đẹp hơn không.
Xời, đúng cái góc có 2 con xe trắng kia luôn. Giờ chỉ cần đi submit tên đường Av. da Ponte da Amizade
là chúng ta sẽ nhận được 1 thông báo sai flag 🤡. Chậm lại chút và đi search google tiếp nào.
Bây giờ mới chính thức hoàn thành.
Dancing - 50
- Mục tiêu: tìm ra tên cửa hàng mà người trong video đang nhảy ngay phía trước cửa.
- Link ảnh: https://1drv.ms/v/s!ArPnIPrcTV7Xb1wotPXWUgOGZnU?e=ek7eR3
Trong video có một địa điểm tên là TANGO CENTRO
Làm bài Lost rồi thì bài này còn dễ hơn. Chỉ cần search google là ra ngay địa điểm của toà nhà trên maps.
Cũng du lịch y như bài vừa rồi, chúng ta sẽ thấy cửa hàng cần tìm tên là Kruidvat.
Time - 50
- Yêu cầu: tìm thời gian chính xác theo giờ Việt Nam mà bức ảnh này được đăng lên Instagram.
- Link ảnh: https://www.instagram.com/p/BvHxQsAgr3V/
Tại thời điểm này mình chỉ còn một lần submit flag cuối cùng :v Hơi căng nha.
Trong bài đăng có ghi ngày đăng, nhưng chúng ta cần thời gian chính xác từng giờ, phút, giây cơ.
Như một thói quen, tất nhiên chúng ta sẽ F12 lên rồi, check check nhẹ cái HTML xem có gì không nào.
OK, phần làm mình bay mất 4 lần submit flag đây này. Rõ ràng thời gian đăng bài chính xác đã có rồi, đó là 19 giờ 36 phút 54 giây ngày 17/3/2019. Ừ, vấn đề là giao diện lại hiển thị rằng bài này được đăng vào ngày 18/3/2019. Tức là ở đây có sự chênh lệch múi giờ.
Theo mình đoán thì thời gian chính xác người dùng đăng bức ảnh này lên đúng là 2019-03-17T19:36:54.000Z rồi, còn trang web chuyển sang ngày 18/3/2019 để tiện với người dùng ở Việt Nam hơn thôi.
Vậy thì muốn biết thời gian chính xác theo giờ tại Việt Nam thì chúng ta cần biết thời gian đăng bài thực tế chênh lệch bao nhiêu tiếng với thời gian ở Việt Nam. Để giải quyết vấn đề này thì mình đăng một bài lên Instagram để tính xem lệch bao nhiêu tiếng.
Ảnh trên mình đăng lên Instagram vào khoảng hơn 8h sáng, và đến 11h13 thì mình mới nhớ ra để lên kiểm tra. Thời gian đăng bài thực tế lúc này là 2022-09-28T01:01:51.000z => tức 1 giờ 1 phút 51 giây. Vậy thì múi giờ chênh lệch ở đây là 7 tiếng. Lúc này mình nhận ra bản thân đã bị Overthinking rồi, nó là GMT+0 với GMT+7 chứ còn gì nữa 🙃🙂.
Vậy đối với bài đăng trong đề bài, chúng ta sẽ cộng thêm 7 tiếng nữa. Ta được 02:36:54.
Icy - 100
- Mục tiêu: tại vị trí hầm tránh thiên tai của Oreo trên Google Maps có một công ty đã đăng ảnh. Công ty này có bao nhiêu con chó?
OK, vậy đầu tiên chúng ta cần tìm xem hầm tránh thiên tai của Oreo nằm ở đâu đã. Thông tin này rất dễ tìm thấy. Tình cờ là trước khi tham gia giải OSINT này mình đã từng thấy một bài đăng trên Facebook nói về việc Oreo xây hẳn một căn hầm tránh thiên tai, chỉ để lưu công thức làm bánh và các mẫu bánh.
Tại toạ độ này trên Google Maps có ngay cái ảnh to đùng với lũ Husky =))
Sau khi click vào ảnh, chúng ta biết được rằng tấm ảnh được đăng bởi Svalbard Husky - công ty cho thuê chó Husky kéo xe tuyết (chắc thế).
Thăm quan trang web thôi nào.
Đọc thêm thông tin công khai về công ty này, chúng ta dễ dàng tìm được số lượng chó mà họ đang sở hữu.
Quá là trời Husky lun 😆
Sign - 150
- Mục tiêu: tên gọi phổ thông của toà nhà độc nhất gần địa điểm chụp bức ảnh.
- Link ảnh: https://1drv.ms/u/s!ArPnIPrcTV7XchhiqjBS0V52ep8?e=JUe4WG
Trong ảnh là một tấm biển quảng cáo có chữ Helsinki. Khi tìm kiếm về Helsinki thì chúng ta được biết đây chính là thủ đô của Phần Lan, đồng thời cũng là một địa điểm du lịch nổi tiếng.
Nếu là một địa điểm nổi tiếng thì việc tìm một toà nhà độc nhất nào đó sẽ dễ dàng hơn nhiều.
Tuy nhiên chúng ta vẫn cần nhiều thông tin hơn để xác định được địa điểm chính xác. Khi tìm kiếm nguồn ảnh trên Google, mình tìm được bức ảnh trong đề bài trên Shutterstock.
Bức ảnh trên được chụp tại Kansalaistori Square. Vậy giờ chúng ta chỉ cần tìm kiếm trong phạm vi hẹp hơn rất nhiều.
Giờ thì đi tìm tên thường được gọi của cái thư viện này.
Đáp án là Oodi.
CULT - 150
- Mục tiêu: tìm tên cũ của toà nhà màu hồng trong ảnh.
- Link ảnh: https://1drv.ms/u/s!ArPnIPrcTV7Xcwbr-ODvmmU3FaM?e=ys51ou
Tiếp tục với Google Image nàooooooo
Thu hẹp phạm vi tìm kiếm lại thì chúng ta có được một vài kết quả về cửa hàng bánh Cutie Pie. Ở trong link trên có bức ảnh giống y hệt mặt tiền con phố chúng ta muốn tìm. Mà còn có thêm cả địa chỉ trên Google Maps nữa chứ.
Khi trỏ vào 2 địa điểm khác cũng ở chung địa chỉ, chúng ta sẽ thấy có 2 nơi từng thuê mặt bằng này để kinh doanh, 1 quán bar và 1 quán ăn. Nhưng đây là cú lừa thôi.
Hãy chú ý đến giao diện của Google Maps, ở góc trên bên phải có một phần để chúng ta điều chỉnh, xem lại các ảnh chụp trong quá khứ.
Chọn mốc thời gian ngay trước mốc gần nhất, chúng ta sẽ có được đáp án. Đó là một quán Pizza tên là MOWIE, cũng chính là đáp án của bài này.
Japanese - 300
- Mục tiêu: có một người Nhật Bản đã tweet về trải nghiệm tại một địa điểm trong khoảng 1km quanh Hồ Gươm vào ngày 22/9/2022. Số hiệu chuyến bay đến Việt Nam của người đó vào ngày 13/9/2022 là gì?
Bài này tuy chỉ có 300 điểm nhưng thực sự tốn khá nhiều thời gian để tìm kiếm. Qua dữ kiện từ đề bài chúng ta chỉ biết là phải tìm một bài đăng của một người Nhật trên Twitter vào ngày 22/9/2022. Trong bài viết có thể sẽ đề cập đến "Việt Nam", "Hà Nội". Khả năng cao là du khách này sẽ không thể biết rằng "Yeah, tôi đang ở gần Hồ Gươm/Hồ Hoàn Kiếm". Do đó có thể họ sẽ nói về địa chỉ, tên địa điểm (VD: quán ăn xxx, quán cafe xxx,...).
Mình nghĩ khả năng cao nhất là trong bài đăng sẽ có ảnh chụp về địa điểm đó (mấy ai đi du lịch mà không chụp ảnh chứ). Nếu may mắn thì trong ảnh sẽ có kèm địa chỉ quán, hoặc ít nhất là biển hiệu, tên quán, menu,... còn không thì sẽ tốn thời gian để tìm các địa điểm ăn chơi quanh Hồ Gươm.
Dù vậy thì việc tìm kiếm trên Twitter cũng không nhanh hơn là bao. Chúng ta sẽ sử dụng công cụ tìm kiếm nâng cao của Twitter. Tìm kiếm các bài viết bằng tiếng Nhật từ ngày 22/9/2022 đến 23/9/2022 (do nếu chỉ chọn mỗi ngày 22/9/2022 thì sẽ lỗi và không tìm được bài nào hết). Gợi ý của bài này thâm vãi, mình mua gợi ý để mong được gợi ý từ khoá tìm kiếm sát hơn, nhưng chỉ nhận được gợi ý là: dùng tìm kiếm nâng cao của Twitter đê 👿.
Mình chọn luôn tìm kiếm hình ảnh. Với mình thì khả năng trong tweet có ảnh địa điểm là cao nhất.
Bây giờ là thời gian dài dài dài ngụp lặn trong đống bài đăng. Trong đề bài chỉ nói rằng địa điểm được nhắc đến cách Hồ Gươm khoảng 1km. Đây là một con số không đáng tin lắm, vì nó có thể chênh lệch tuỳ vị trí bạn dứng. Do đó kể cả những địa điểm cách khoảng 2km mình cũng cần kiểm tra lại cho chắc.
Tích cực quay tay, vận may sẽ đến 👻💥🤘Mình đã tìm được một bức ảnh chụp một cửa hàng đồ ăn nhanh ở Hàng Bài, rất là gần Hồ Gươm luôn. Lúc nhìn thấy bài đăng này là mình đã cảm thấy đây là hướng đi đúng rồi.
Chắc là tài khoản này rồi, giờ thì cần vào trang cá nhân của tài khoản này, sau đó kéo nhanh xuống tới ngày 13/9/2022. Chắc mấy anh em wjbu sẽ thích tài khoản này đây, ở đâu mà chẳng có người tốt và wjbu 🤪🤣.
Kéo xuống thì mình thấy một bài đăng về việc máy bay của VietJet có khả năng sẽ khởi hành muộn. Trong ảnh chụp thì có 2 chuyến bay của VietJet, một chuyến có số hiệu VJ823, chuyến còn lại có số hiệu VJ93x (số cuối đã bị cắt đi).
Có tận 10 lần submit flag cho bài này cơ mà, submit thử VJ823 thôi, tại sao lại không nhỉ 😌
Tất nhiên flag không phải VJ823 rồi. Tiếp tục kéo đi. Dưới nữa có một bài đăng về lịch trình chuyến bay của VietJet, khởi hành lúc 9h30 ngày 13/9/2022 tại Narita tới Hà Nội. Vậy là chắc kèo chuyến bay VJ93x rồi. Tiếc là trong ảnh này chưa có số hiệu chuyến bay luôn, app làm chán thế nhờ.
Tầm 1 2 3 5 bài viết nữa là có ảnh checkin với số hiệu chuyến bay luôn rồi. Flag là VJ933 ✌️
The Queen - 500
- Mục tiêu: tìm một toà nhà gần nơi có hình ảnh nữ hoàng trong bức ảnh.
Bắt đầu với việc tìm kiếm trên googlee map. Vì là tìm kiếm địa điểm nên chúng ta sẽ giới hạn chỉ lọc các kết quả tìm kiếm liên quan tới nước Anh. Ngoài ra chúng ta cũng cần chú ý các kết quả liên quan tới loại thùng rác đặc biệt trong ảnh.
Trong số các kết quả tìm kiếm, kết quả đầu tiên là một bài viết trên Linkedin của tài khoản Nidhi Turakhia. Sau khi tìm kiếm một hồi trong phần Activity của tài khoản này, chúng ta sẽ thấy bài viết sau.
Trong bài viết là loại thùng rác đặc biệt trong ảnh tại đề bài. Và địa điểm được nhắc đến ở đây là sân bay Heathrow tại London - Anh. Lại đến lúc du lịch rồi 🤠
OK, giờ thì cả cái sân bay này rất lớn, muốn tìm ra được địa điểm chính xác cần chú ý hơn vào yêu cầu ở đề bài: "nơi có hình ảnh nữ hoàng". Nhưng nữ hoàng ở đâu trong cái ảnh? Đây chính là câu trả lời khi chúng ta phóng to ảnh lên.
Đã thấy nữ hoàng, tuy nhiên nhìn vào đây mình chẳng biết nó là cái gì cả. Vậy sao chúng ta không tìm điểm mốc dễ nhìn thấy hơn trên Google Maps? Ví dụ như một toà nhà đặc biệt.
Ở khu vực này của bức ảnh có hình một toà nhà rất tốt để chọn làm mốc. Phân tích về toà nhà này như sau:
- Mái màu đen. Theo kiểu sắp xếp không đồng nhất, chỗ thì nhô lên, chỗ thì thụt xuống.
- Tường nhà có màu nâu, cam.
- Toà nhà có một phần sân mái bằng khá rộng.
- Gần toà nhà có một con đường, chúng ta có thể thấy xe cộ đi lại trên đó.
Sau một hồi tìm kiếm thì mình đã tìm được toà nhà nói trên, cũng đoán được góc chụp của bức ảnh có thể như sau:
Và toà nhà cần tìm là khách sạn Hilton Garden Inn.