O presente artigo pretende apresentar de maneira objetiva em como preservar e coletar postagens do tipo Stories, publicadas diretamente na Rede Social Instagram, visto que as publicações do tipo Stories do Instagram permanecem acessíveis por mais de 24h.
Conforme é sabido, os Stories permanecem ativos no Instagram por 24 horas após a sua postagem, porém, após este período o seu conteúdo permanece acessível, podendo ser acessada diretamente através da URL atrelada a postagem.
O modelo de investigação digital apresentado neste artigo, baseou-se na metodologia OSINT (Open Source Intelligence), que envolve o processo de coleta, análise e uso de dados de fontes públicas para propósitos inteligentes.
No decorrer deste artigo, serão ilustradas técnicas introdutórias sobre a coleta do arquivo objeto da postagem na categoria de Stories, seja ele em foto ou vídeo, para isto fora utilizado o perfil (não oficial) thewalkingdead._.__ podendo ser acessado através da URL https://www.instagram.com/thewalkingdead._.__.
Para efeito de ilustração, fora utilizada como exemplo uma postagem na categoria de Stories, publicado em 23/08/2022.
Coleta da Evidência Digital
Utilizado para a coleta de postagens no Instagram, o Dataxploit Instaloader se destaca como a ferramenta mais completa, desenvolvido em Python, fornece aos investigadores digitais e profissionais OSINT a capacidade de extrair mídia de perfis do Instagram.
Um detalhamento acerca da funcionalidade do Instaloader já fora apresentada no artigo “Redes Sociais: Instagram”, e pode ser lida clicando aqui.
Importante considerar que, além do arquivo em multimídia (foto ou vídeo) objeto da postagem investigada, o Instaloader salva junto com cada postagem todos os metadados que foram recuperados do Instagram durante o download da imagem e das informações necessárias associadas. Lembrando que os Metadados recuperados, referem-se aos dados contidos na postagem em sim, e não os metadados sobre o arquivo antes do seu compartilhamento no Instagram.
Ainda, valendo-se do Instaloader, devemos considerar alguns pontos sobre o arquivo coletado (objeto da postagem), visto que, através da análise de seus metadados, foi identificado o container de dados “Special Instructions“, através do qual o Facebook introduziu um novo código de rastreamento. Nesta instrução especial, cada string começa com “FBMD”, e que possivelmente possa ser interpretado como “Facebook Member Data“, onde, dois caracteres hexadecimais (1 byte) e um comprimento de 16 bytes (4 caracteres). Então vem comprimento+1 conjuntos de valores de 32 bits (8 bytes).
Concluída a coleta do Stories, podemos proceder com a análise em seu arquivo JSON, onde foram identificadas informações relevantes sobre a evidência digital, tais como:
Complementando o exame mais aprofundado sobre o período de exibição e expiração do Stories (dentro da plataforma do Instagram), os timestamp coletados no arquivo JSON serão apresentados em formato “Unix Time”, e deverão ser convertidos para formato de hora padrão. Para esta tarefa, podemos utilizar a ferramenta online unfurl.
Neste exemplo, após a conversão dos timestamp, deu-se o seguinte resultado:
Data/hora de exibição: 1661285151 -> 23 Aug 2022 20:05:51 (UTC)
Data/hora de expiração: 1661371551 -> 24 Aug 2022 20:05:51 (UTC)
Novamente, valendo-se da ferramenta online unfurl, fora examinada a URL referente ao Stories em pauta. Unfurl desmembra uma URL e o expande em um gráfico, extraindo cada bit de informação. Ele faz isso dividindo a URL em componentes, extraindo o máximo de informações possíveis de cada peça e apresentando tudo visualmente, tornando a análise transparente para o usuário.
Ao examinar os container expostos pela ferramenta, fora destacada a string “oe:63085AFD”, através da qual a ferramenta converteu para o Timestamps 26/08/2022 05:32:45, revelando a data e horário em que Stories em pauta realmente expirou o acesso por meio de sua URL.
Como alternativa simplória, podemos proceder com a coleta da URL por meio do browser Google Chrome, valendo-se do recurso “inspecionar”, onde será aberto o recurso “Ferramentas de Desenvolvimento”, e na aba “sources“ poderá ser coletada a URL correspondente ao “Stories” investigado.
Concluindo com as análises referente as postagens do tipo Stories na rede Social Instagram, pode-se concluir que, este tipo de conteúdo permanece ativo no Instagram por 24 horas após a sua postagem, porém, após este período, o seu conteúdo permanece acessível por tempo determinado, quando acessado diretamente através da URL atrelada a postagem.
0 comentários