W drugim tygodniu wyzwania Bellingcata ponownie mierzymy się z tajemniczymi zdjęciami, które wymagają spostrzegawczości i umiejętności analizy wizualnej. Tym razem zadania okazały się bardziej złożone, ale też ciekawsze. W tym wpisie pokażę krok po kroku, jak doszedłem do rozwiązania – zapraszam do lektury!
Zadanie numer 1 – “Fully Stocked”

źródło: https://challenge.bellingcat.com/assets/moored_ship-B0-TXAUs.jpg
Treść zadania: Kontenerowce są częstym widokiem w portach na całym świecie, ale ten jest szczególnie dobrze zaopatrzony. Stanowią one istotną część globalnego łańcucha dostaw, ale gdzie zacumowany jest ten statek? W którym mieście znajduje się ten port?
Realizacja
Na zdjęciu widać port/terminal. Rozpocząłem od wyszukiwania obrazem w Google, dzięki czemu odnalazłem zdjęcie zdradzające więcej szczegółów

Następnie proste zapytanie w google i dostajemy rozwiązanie:

Rozwiązanie: Hamburg
Narzędzia: Google, Google Lens
Zadanie numer 2 – “Operation Fleet Finder”

Źródło: https://challenge.bellingcat.com/assets/military_shipyard-CEWyEkMk.jpg
Treść zadania: Oto kilka okrętów zacumowanych razem, ale jedynym widocznym kolorem jest szary. Wszystkie wyglądają tak samo! Czy możesz pomóc je zidentyfikować? Jaki jest numer MMSI statku najbardziej wysuniętego na lewo?
Realizacja
Na zdjęciu widać 3 okręty, ale w oczy od razu rzuca się oznaczenie środkowego lotniskowca liczba 69.

Szybkie skorzystanie z wyszukiwarki google i dostajemy nazwę środkowego okrętu: USS Dwight D. Eisenhower

Z analizy artykułu na wikipedii dowiadujemy sie, iż portem macierzystym dla tego okrętu jest: Naval Station Norfolk

Poszedłem tropem nazwy portu, aby zweryfikować wszystkie statki, których portem macierzystym jest https://en.wikipedia.org/wiki/Naval_Station_Norfolk. Na stronie wikipedia mozemy znaleźć wszystkie okrety, które tam stacjonują, natomiast nas interesują lotniskowce:

W każdym artykule dotyczącym danego lotniskowca znajduje się zdjęcie jednostki wraz z “aparaturą”. Dlatego porównujemy zdjęcie źrodłowe:

Ze zdjęciami pozostałych lotniskowców:
USS John C. Stennis – MMSI number: 368912000

USS Harry S. Truman – MMSI number: 368800000

USS George H. W. Bush – MMSI number: 369970663

USS Gerald R. Ford – MMSI number :338803000

Po bezpośrednim porównaniu zdjęć mamy tylko jednego kandydata: USS George H. W. Bush – MMSI number: 369970663
Rozwiązanie: 369970663
Narzędzia: Google, Wikipedia
Zadanie 3 – “Cyrillic Confusion”

Źródło: https://challenge.bellingcat.com/assets/YuiPeng3Log-CJv3Y2-b.png
Treść zadania: W listopadzie 2024 roku dwa podwodne kable danych na Morzu Bałtyckim uległy awarii, zakłócając komunikację między krajami europejskimi i wzbudzając podejrzenia o sabotaż. Chiński statek towarowy, YUI PENG 3, szybko znalazł się w centrum zainteresowania zarówno śledczych, jak i internetowej społeczności badawczej open source. Niektórzy błędnie sugerowali, że ten dziennik portowy wykazał, że kapitan statku był obywatelem rosyjskim (pomylili tymczasowego pilota portowego z kapitanem statku).Pojawiło się jednak kluczowe pytanie: czy można zweryfikować autentyczność dziennika? Jaki jest oryginalny adres URL tego dziennika (nie należy podawać „http://” lub „https://”)?
Realizacja
Poszukiwania rozpocząłem standardowo od Google i typowaniu po słowach kluczowych, czyli “YUI PENNG 3 No. 165759”. Niestety nie przyniosło to żadnych rezultatów. Po chwili zastanowienia stwierdziłem, że czytanie ze zrozumieniem przydaje się 🙂 Nazwa zadania, podpowiedź pod zadaniem “Russian port log for vessel YUI PENG 3, November 2024” jasno sugerowały ze rozwiązania należy szukać w języku rosyjskim oraz zapewne na stronach rosyjsko-języcznych. Ponownie poszukałem tej samej frazy, tym razem używając rosyjskiego odpowiednika Google – YANDEX.ru

Po odwiedzeniu adresu, naszym oczom ukazuje się znajomy dziennik w jezyku rosyjskim:

Z pomocą Google Translator potwierdzamy dane:

Rozwiązanie: skap.pasp.ru/Move/InOutMoveList/165759?harb=UL
Narzędzia: Google Translator, Yandex
Zadanie 4 – “Clouded Perception”

źródło: https://challenge.bellingcat.com/assets/manipulated_lake-By7pLY1L.jpg
Treść zadania: To spokojne jezioro to piękny widok, ale coś jest nie tak: ten obraz został zmanipulowany. Co powinniśmy zrobić, jeśli obraz został zmieniony ręcznie lub za pomocą sztucznej inteligencji? Jaka jest 6-cyfrowa liczba ukryta w obrazie?
Realizacja
Na zdjęciu widzimy cudowny widok, ale zgodnie z opisem zadania nie powinniśmy zainteresować się tym co na zdjęciu widzimy tylko szukać czegoś “w nim”. Dziennikarze Bellingcata wielokrotnie na przykładzie realnych scenariuszy pokazywali jak należy analizować zdjęcia oraz czego można szukać.
Do analizy zdjęć offline używam narzędzia: https://github.com/GuidoBartoli/sherloq

W metadanych zdjęcia nie znalazłem nic przydatnego. Dlatego przeszedłem do sekcji JPEG, gdyż w tym formacie zostało zapisane zdjęcie. Sherloq wspiera ponizsze analizy/opcje dla JPEG

Bingo

Error Level Analysis ujawniła ukryta liczbę, pozostało tylko wyostrzyć obraz, aby można ją bezbłędnie odczytać:

Rozwiązanie: 428309
Narzędzia: sherloq
Zadanie 5 – “Synoptic Code”

Treść zadania: Jest to transmisja kodem Morse’a odebrana 13 października 2024 roku. Uważa się, że nadawcą jest Yelnya, rosyjski statek operujący na Morzu Czarnym..
.-. -.-. …- / -.. . / ..- -.-. – .- ….. / .—- …– .—- —.. .—- / —-. —-. …– ….- ….. / .—- —– …– ….- -…. / ….- .—- -…. —-. —.. / …– ..— ….- —– ….. / .—- —– ..— —.. —– / ….- —– .—- ..— —– / ….. ….- —– —– —– / –… —– ..— —– —– / —.. …– ….. —– —– / ..— ..— ..— ….. ..— / —– —– ..— —.. —– / .—- …– —– .—- ..— / -… – / .- .-. / ..- -.-. – .- ….. / -.
Czy potrafisz rozszyfrować wiadomość?
Jaka była podana temperatura powietrza w stopniach Celsjusza? (podaj odpowiedź z dokładnością do jednego miejsca po przecinku, np. „12,3”).
Realizacja
Pracę rozpocząłem od zdekodowania kodu Morse’a. Do tego zadania idealnie nadaje się kultowe już narzędzie jakim jest CyberChef: https://gchq.github.io/CyberChef/

Jako wynik otrzymujemy:
RCV DE UCTA5 13181 99345 10346 41698 32405 10280 40120 54000 70200 83500 22252 00280 13012 BT AR UCTA5 N
Z tytułu i treści zadania wynika ze jest to komunikat meteorologiczny nadany przez statek.
RCV DE UCTA5 – To jest część nie meteorologiczna. „RCV DE” – „Received from” UCTA5 to identyfikator stacji lub centrum komunikacyjnego. Krótkie przeszukanie google wskazuje ze UCTA5 to okręt (tankowiec) rosyjskiej marynarki wojennej.

Od tego momentu wiemy, że mamy doczynienia z SHIP SYNOP CODE
BT AR UCTA5 N – to potwierdzenie odbioru wiadomości i koniec komunikatu.
Właściwa treść komuinikatu meteoroligcznego to :
13181 99345 10346 41698 32405 10280 40120 54000 70200 83500 22252 00280 13012
Przeszukując czeluścia internetu w poszukiwaniu materiałów do zdekodowania powyższej depeszy trafiłem na treściwą prezentacje: https://coemct.met.gov.om/pluginfile.php/2413/mod_resource/content/3/Ship Weather reports and Met Station Plot (Encoding and Decoding) – Manal Al Hashmi.pdf
W jej zawartości odnalazłem informację o sekcji odpowiedzialnej za temperaturę powietrza
1 sn T T T 1 – Group indicator for air temperature sn – Sign of temperature (0 for 0℃ or above, 1 for below 0℃ ) T T T – Air temperature in whole degrees or and tenths (example 10260)
pasującym polem/sekcją w naszym komunikacje jest: 10280
1 – temperatura powietrza 0 – temperatura powyżej zera
280 – 28.0 stopni celsjuasza
Rozwiązanie: 28.0
Narzędzia: Google, CyberChef
OSINT to w dużej mierze kwestia spostrzegawczości, logicznego myślenia i umiejętności czytania ze zrozumieniem. Nawet najbardziej skomplikowane zdjęcie potrafi zdradzić swoją tajemnicę, jeśli potrafimy dostrzec drobne detale i połączyć je w spójną całość. Wyzwanie z drugiego tygodnia pokazało, że nie zawsze potrzebne są zaawansowane narzędzia – często wystarczy cierpliwość, zdrowy rozsądek i uważna analiza treści.
Do zobaczenia w tygodniu trzecim!