Metadata op Twitter interpreteren
Voor sommige onderzoeken kan het van belang zijn om het exacte tijdstip van een bericht op Twitter te achterhalen. Denk bijvoorbeeld aan de situatie waarin u moet vastleggen wanneer een dreigtweet verzonden is of wat de precieze volgorde van geplaatste reacties van gebruikers is. Ook kan het zijn dat aan u gevraagd wordt om in kaart te brengen op welke tijdstippen een gebruiker meestal actief is. Bijvoorbeeld om te bepalen wanneer een gebruiker vermoedelijk slaapt, in het geval er een inval gepland staat en deze rustig dient te verlopen.
Kloppen de tijdstippen eigenlijk wel?
Als u vaak naar tijdstippen op Twitter kijkt, dan kan het u zijn opgevallen dat de tijdstippen niet overal hetzelfde zijn. Het maakt namelijk nogal uit of u wel of niet bent ingelogd, en met welk account en op welke laptop u dat heeft gedaan. Als rechercheur of onderzoeker wilt u in ieder geval graag zeker van uw zaak zijn. Als u een fout maakt staat u niet alleen voor gek, ook kan uw fout serieuze gevolgen hebben voor uw onderzoek. In deze blogpost leggen wij u daarom uit hoe u de exacte tijdstippen van Tweets, Retweets en comments op Twitter kunt achterhalen.
Tijdstippen en metadata
De tijdstippen waarop berichten op Twitter zijn geplaatst zijn een vorm van metadata. Metadata kunt u zien als data die iets zegt over andere data. Een simpel voorbeeld van metadata is een Word-bestand waarvan de naam van de auteur wordt opgeslagen, of waarin de titel en het tijdstip van het aanmaken van het bestand is opgenomen. De auteur, de titel en het tijdstip van aanmaken van het bestand vormen in dit geval de metadata. Alle drie zeggen ze namelijk iets over het Word-bestand.
Metadata in uw onderzoek
Metadata is in heel veel data ingesloten, hetgeen voor u als onderzoeker handig kan zijn. U heeft immers niet alleen de “normale” data in handen, maar ook de data die iets over deze data zegt. En deze data bevat soms meer informatie dan u denkt. Zo kunnen er in foto’s gemaakt met digitale camera’s zelfs data, tijdstippen en GPS-coördinaten staan. Hiermee kan u dus heel nauwkeurig achterhalen op welke datum, op welk tijdstip en op welke plaats een foto genomen is. Metadata van afbeeldingen gemaakt met digitale camera’s noemt u overigens EXIF data, hetgeen staat voor “Exchangeable Image File“. Leest u hierover meer in een eerdere blogpost.
Metadata op Twitter
Na het lezen van bovenstaande denkt u misschien direct aan het achterhalen van GPS-coördinaten uit foto’s die op Twitter geplaatst zijn. Helaas moeten we u teleurstellen, want dit werkt niet. Grote websites en sociale media als Facebook, Twitter en LinkedIn verwijderen dit soort informatie namelijk na het uploaden. Dat betekent voor u dat u deze informatie niet meer uit een foto kunt halen. Meer geluk heeft u soms bij kleinere websites of sociale media. Proberen kan in ieder geval geen kwaad.
Gelukkig kunt u op Twitter wel in kaart brengen wanneer een bericht of reactie geplaatst is. En soms zelfs vanaf welke locatie dat is geweest. In deze blogpost richten we ons op het in kaart brengen van data en tijdstippen van berichten (“Tweets“) op Twitter. En dat kan lastiger zijn dan u denkt.
Ingelogd versus niet ingelogd
Om te begrijpen waar wij het over hebben, raden wij u aan om zelf een willekeurig bericht op Twitter te bekijken en om het tijdstip van het bericht te noteren. Belangrijk is dat u dit eenmaal doet terwijl u bent ingelogd, en eenmaal terwijl u bent uitgelogd. Ziet u de verschillen?
In de afbeelding hieronder ziet u tweemaal dezelfde Tweet met een afbeelding staan. De linker afbeelding weergeeft de Tweet zoals wij die zien wanneer wij niet zijn ingelogd, de rechter zoals wij die zien wanneer wij wel zijn ingelogd. Beide afbeeldingen weergeven de datum 23 januari 2015, maar bij het tijdstip is er een verschil te zien: de linkerafbeelding geeft 02:57 aan, de rechter afbeelding 11:57 a.m.. Welke van de twee tijdstippen is nu juist? En hoe komt het dat er verschillen zijn?
Het juiste tijdstip achterhalen
Om het juiste tijdstip te kunnen vinden, moet u op zoek gaan naar de Unix timestamp van het betreffende bericht. De “Unix timestamp” is een tijdstempel uit de Unix time welke tijd ook wel de “Epoch time” genoemd wordt. Zonder veel dieper op de Unix time in te gaan is de Unix time een soort systeem waarmee een bepaald moment in de tijd aangegeven wordt. Doordat deze momenten in de tijd volgens dit systeem wereldwijd hetzelfde zijn, worden Unix timestamps veel gebruik in computersystemen. Als u namelijk de “Unix timestamp” weet, dan kunt u deze timestamp omzetten naar de tijd in uw lokale tijdzone.
Unix timestamps vinden
Hieronder leggen wij u uit hoe u de Unix timestamp van berichten op Twitter kunt achterhalen. U kunt de Unix timestamp van Tweets achterhalen als u ingelogd bent, maar ook wanneer u niet bent ingelogd: beiden leveren exact dezelfde Unix timestamp op.
Het eerste dat u moet doen is met uw muis over het tijdstip van een bericht bewegen. Als u dit doet, ziet u meteen dat er een datum weergegeven wordt. Het tijdstip verschilt opnieuw, want de linker afbeelding (niet ingelogd) geeft het tijdstip 02:57 weer terwijl de rechter afbeelding 11:57 weergeeft. Klik vervolgens met uw rechtermuisknop op het tijdstip en klik daarna op Element inspecteren.
Als u op “Element inspecteren” heeft geklikt, dan krijgt u onderstaande beeld te zien. U ziet dat de “Developer tools” van uw webbrowser zijn geopend en dat er bepaalde informatie blauw gemarkeerd is. Dit beeld had u ook kunnen krijgen door op F12 te klikken en door de datum van het bericht te selecteren. In onderstaande informatie is het gedeelte data-time=”1422010676″ belangrijk omdat dit gedeelte de Unix timestamp van het bericht bevat. De timestamp “1422010676” heeft u nodig om het tijdstip van het bericht te achterhalen.
De Unix timestamp omzetten
U weet inmiddels dat u de Unix timestamp nodig heeft om de datum van het bericht te kunnen achterhalen. Een manier om de Unix timestamp om te zetten naar de tijd in uw eigen lokale tijdzone is via tools op een website als WolframAlpha. Zoals u hieronder kunt zien zet de website WolframAlpha de Unix timestamp 1422010676 om naar 10:57:56 am UTC op vrijdag 23 januari 2015.
Ook middels de website Epochconverter kunt u de Unix timestamp omzetten naar een “echte” tijd. Zoals u hieronder kunt zien wordt de Unix timestamp 1422010676 omgezet in 10:57:56 GMT. Dit tijdstip is exact hetzelfde als het tijdstip dat WolframAlpha aangaf.
Wat betekent dit precies?
Zowel de tool op de website WolframAlpha als de tool op de website Epochconverter maken van de Unix timestamp 1422010676 het tijdstip 10:57:56. WolframAlpha noemt dit tijdstip in UTC, hetgeen staat voor “Coordinated Universal Time” en Epochconverter noemt dit tijdstip in GMT, hetgeen staat voor “Greenwich Mean Time“. Hoewel beiden hetzelfde tijdstip noemen, verschillen UTC en GMT wel van elkaar. GMT is namelijk een tijdzone terwijl UTC geen tijdzone is maar een tijd-standaard. Beide tijdsnotaties veranderen nooit, ook niet wanneer de klok vooruit (“zomertijd”) of juist achteruit (“wintertijd”) gezet wordt.
Als we het tijdstip 10:57:56 GMT/UTC in onze eigen tijdzone willen aflezen, dat moeten we dus rekening houden met de zomer- en de wintertijd. Daarnaast moeten we ook rekening houden met de tijdzone waarin Nederland zich bevindt. Nederland bevindt zich in de tijdzone CET, hetgeen staat voor “Central European Time“. Deze tijdzone loopt standaard 1 uur voor op de UTC, en in de zomer nog eens een uur extra. Omdat het bericht op 23 januari 2015 geplaatst is, moeten we dus rekening houden met de wintertijd. Dat betekent dat het bericht, omgezet naar onze lokale tijdzone, op 11:57:56 geplaatst is (10:57:56 + 1 uur).
Waarom staan er dan verschillende tijdstippen op Twitter?
Hierboven hebben we gezien dat Twitter de tijd noteert als 02:57 als u niet bent ingelogd, en dat hetzelfde bericht de tijd 11:57 a.m. krijgt als u wel bent ingelogd. Waarom zet Twitter deze tijd niet automatisch om naar uw lokale tijdzone? Een mogelijk antwoord hierop kan zijn dat elk Twitter-account eigen tijdsinstellingen heeft. In ons Twitter-account staat de tijdzone bijvoorbeeld ingesteld op de tijdzone GMT+01:00 (Amsterdam), waarmee wij automatisch de tijd 11:57 te zien krijgen als wij het bericht bekijken.
Als we vervolgens met een fake account inloggen, dan zien we dat er een heel ander tijdstip weergegeven wordt. Op de linker afbeelding hieronder is weergegeven hoe de tijd eruit ziet als we ingelogd zijn met een account waarop de tijdsinstellingen op GMT-07:00 Mountain Time (US & Canada) staan. Op de rechter afbeelding hieronder is weergegeven hoe de tijd eruit ziet als we ingelogd zijn met een account waarop de tijdsinstellingen op GMT+01:00 Amsterdam staan.
Zeker van uw zaak zijn?
Wilt u er zeker van zijn dat u de juiste tijd van een bericht, retweet of comment heeft? Zorg er dan voor dat u de timestamp achterhaalt en dat u deze timestamp omzet naar uw lokale tijdzone, waarbij u rekening houdt met de tijd van het jaar (zomertijd en wintertijd). Het maakt hiervoor niet uit of u bent ingelogd of niet, want de timestamp is immers altijd hetzelfde. Bent u wel ingelogd, dan is het ook altijd goed om van uw Twitter-account te weten op welke tijdzone deze staat ingesteld. Dit kunt u in de oude versie van Twitter (gebruik de Add-on GoodTwitter) zien via Instellingen en privacy > Account > Tijdzone.
Meer weten?
Wilt u meer weten over het verrichten van onderzoek op Twitter? Of heeft u een toevoeging aan dit artikel? Neem dan contact met ons op! In onze OSINT-trainingen staan wij uiteraard uitgebreid stil bij hoe u effectief onderzoek op Twitter kunt verrichten.