Open Source Signal #028 / Сигнал відкритих джерел

Editorial frame

What this is: A weekly tool radar for public-interest OSINT. Each item explains what the tool, dataset, release or workflow does, why it matters for Ukrainian accountability work, how to use it safely, and where its limits are.

What this is not: Doxxing, stalking, credential hunting, leaked-database abuse, private-person deanonymization, unsafe facial recognition, live targeting, or tools that facilitate harm against private people.

Rubric map

🗄️ Preservation

🛡️ Investigator OPSEC

🧪 Decoding Bench

🎞️ Transcripts

🗃️ Dataset Publishing

🗺️ Geospatial Workbench

🌐 Geospatial Publishing

🗄️PreservationЗбереження

#01

yt-dlp 2026.06.09 hardens public-video preservation workflows

Source: yt-dlp GitHub · 9 June 2026

What happened

yt-dlp released version 2026.06.09 with security-focused changes and extractor updates. The release restricts unsafe --exec template conversions, fixes a cookie-leak issue with the curl downloader, blocks dangerous file-type creation in normal download paths and removes aria2c support for HLS/DASH manifest downloads because of an arbitrary-code-execution risk.

Why it matters

For accountability teams, yt-dlp remains a practical tool for preserving public video before deletion, moderation, account bans or platform changes. The security fixes matter because video-capture workflows often run in semi-automated pipelines and may touch untrusted URLs, cookies, filenames, manifests and metadata.

How to use it

Use it in a controlled evidence-capture VM or container; save the original URL, download command, timestamp, metadata JSON, subtitles, thumbnails, output hash and platform page snapshot. Update existing scripts that use --exec templates and review any workflow that uses cookies, curl, aria2c or automatic post-processing.

Limits

yt-dlp is not an evidence chain by itself. It does not prove authenticity, legality, context or authorship, and it should not be used to access private material, bypass credentials, scrape closed groups or publish sensitive personal footage without an editorial and legal basis.

yt-dlp 2026.06.09 посилює безпеку збереження публічного відео

Джерело: yt-dlp GitHub · 9 червня 2026

Що сталося

yt-dlp випустив версію 2026.06.09 із важливими безпековими змінами й оновленнями екстракторів. Реліз обмежує небезпечні шаблони в --exec, виправляє витік cookie при використанні curl, блокує створення небезпечних типів файлів у звичайних сценаріях завантаження та прибирає підтримку HLS/DASH через aria2c через ризик виконання довільного коду.

Чому це важливо

Для команд підзвітності yt-dlp залишається практичним інструментом для збереження публічних відео до видалення, бану акаунта, модерації або зміни платформи. Безпекові виправлення важливі, бо такі пайплайни часто працюють напівавтоматично й торкаються недовірених URL, cookie, назв файлів, маніфестів і метаданих.

Як це застосувати

Запускайте інструмент в окремій VM або контейнері для збору доказів; зберігайте оригінальний URL, команду запуску, час, metadata JSON, субтитри, thumbnails, хеш файлу й знімок сторінки платформи. Перевірте старі скрипти з --exec, cookie, curl, aria2c та автоматичним постпроцесингом.

Обмеження

yt-dlp сам по собі не створює доказовий ланцюг. Він не доводить автентичність, законність, контекст або авторство і не має використовуватися для доступу до приватних матеріалів, обходу авторизації, закритих груп або публікації чутливого персонального відео без редакційної й правової підстави.

yt-dlpvideo-preservationarchivingplatform-evidencetoolbox

🛡️Investigator OPSECБезпека дослідника

#02

Safe-IOC gives teams a reversible way to defang malicious indicators

Source: IETF Datatracker · 10 June 2026

What happened

The Safe-IOC Internet-Draft was updated on 10 June 2026. It describes a consistent, reversible way to share potentially malicious URLs, domains, IP addresses and email addresses so they are human-readable but not accidentally clickable or executable.

Why it matters

Accountability teams often exchange phishing links, hostile infrastructure indicators, suspicious domains, malware-adjacent URLs and platform-abuse traces. A shared defanging convention reduces accidental clicks in chats, spreadsheets, reports, tickets, PDFs and newsletters.

How to use it

Adopt one safe-IOC convention in internal notes and public writeups, and keep raw indicators in restricted machine-readable fields when needed for analysis. Use it for malicious infrastructure, phishing pages, suspicious redirect chains and hostile document links, especially when non-technical editors or partners will handle the material.

Limits

This is an Internet-Draft, not an IETF standard, and should be treated as work in progress. Defanging lowers accidental activation risk, but it does not sanitize hostile documents, protect devices, attribute infrastructure or replace browser isolation and malware-handling rules.

Safe-IOC дає команді оборотний спосіб знешкоджувати шкідливі індикатори

Джерело: IETF Datatracker · 10 червня 2026

Що сталося

10 червня 2026 року оновлено Internet-Draft Safe-IOC. Документ описує послідовний і оборотний спосіб передавати потенційно шкідливі URL, домени, IP-адреси та email-адреси так, щоб вони лишалися зрозумілими людині, але не спрацьовували випадково як клікабельні або виконувані об’єкти.

Чому це важливо

Команди підзвітності часто обмінюються phishing links, індикаторами ворожої інфраструктури, підозрілими доменами, malware-adjacent URL і слідами platform abuse. Єдина defanging-конвенція зменшує ризик випадкових кліків у чатах, таблицях, звітах, тікетах, PDF і розсилках.

Як це застосувати

Запровадьте одну safe-IOC-конвенцію для внутрішніх нотаток і публічних текстів, а сирі індикатори тримайте лише в обмежених machine-readable полях, коли це потрібно для аналізу. Використовуйте це для шкідливої інфраструктури, фішингових сторінок, підозрілих redirect chains і hostile document links, особливо коли матеріали бачать нетехнічні редактори або партнери.

Обмеження

Це Internet-Draft, а не стандарт IETF, і його слід сприймати як work in progress. Defanging знижує ризик випадкової активації, але не знезаражує шкідливі документи, не захищає пристрої, не атрибутує інфраструктуру й не замінює browser isolation та правила роботи з malware.

safe-iocopsecioc-sharingdefanginghostile-links

🧪Decoding BenchДекодування

#03

CyberChef 11.1.0 is a local bench for suspicious strings and analyst hygiene

Source: GCHQ CyberChef GitHub · 13 June 2026

What happened

CyberChef released v11.1.0 on 13 June with a signed GitHub release and a small maintenance-oriented update. The current release should be treated as the freshest version of a defensive decoding workbench rather than as a new investigation by itself.

Why it matters

CyberChef is still a safe first bench for decoding, normalizing and transforming suspicious strings before deeper analysis. For Ukrainian investigators and editors, it is useful when working with pasted Telegram artifacts, encoded URLs, logs, hashes, HTML fragments, OCR output, email headers or hostile-looking text snippets.

How to use it

Keep a local or offline CyberChef copy for sensitive work, document every recipe used, and export both the input and recipe when a transformation becomes part of an evidentiary note. Use it for reversible transformations and triage, not for opening unknown files or executing hostile content.

Limits

CyberChef can make dangerous content easier to click if analysts decode and paste carelessly. It does not attribute infrastructure, detect malware by itself or prove that a transformed string is authentic; hostile links and documents still belong in isolated workflows.

CyberChef 11.1.0 — локальний стіл для підозрілих рядків і гігієни аналітика

Джерело: GCHQ CyberChef GitHub · 13 червня 2026

Що сталося

CyberChef випустив v11.1.0 13 червня як підписаний GitHub-реліз із невеликим maintenance-oriented оновленням. Цей реліз варто сприймати як найсвіжішу версію оборонного робочого столу для декодування, а не як окреме розслідування.

Чому це важливо

CyberChef залишається зручним першим робочим столом для декодування, нормалізації й перетворення підозрілих рядків перед глибшим аналізом. Для українських розслідувачів і редакторів він корисний у роботі з Telegram-артефактами, encoded URLs, логами, хешами, HTML-фрагментами, OCR-виводом, email headers або підозрілими текстовими шматками.

Як це застосувати

Тримайте локальну або offline-копію CyberChef для чутливої роботи, документуйте кожен recipe і зберігайте input та recipe, якщо трансформація входить до доказової нотатки. Використовуйте для оборотних перетворень і triage, а не для відкриття невідомих файлів чи виконання ворожого контенту.

Обмеження

CyberChef може зробити небезпечний контент легшим для випадкового кліку, якщо аналітик необережно декодує й копіює посилання. Він не атрибутує інфраструктуру, не виявляє malware сам по собі й не доводить автентичність перетвореного рядка; hostile links і документи мають лишатися в ізольованих workflow.

cyberchefdecodinganalyst-opsectext-artifactstoolbox

🎞️TranscriptsРозшифровки

#04

Subtitle Edit 5.0.0-rc4 helps turn video evidence into time-coded transcripts

Source: Subtitle Edit GitHub · 11 June 2026

What happened

Subtitle Edit published v5.0.0-rc4 on 11 June as a release-candidate build with packages for Windows, macOS, Linux and ARM64 platforms. The release page lists installers and archives and marks the build as pre-release.

Why it matters

Video evidence often needs synchronized transcripts, translated subtitles, time-coded quotations and reviewable excerpt packages. A cross-platform subtitle editor can help investigators turn long videos, interviews, propaganda clips, livestream captures or courtroom-relevant recordings into structured material that editors and lawyers can inspect.

How to use it

Use it after preserving the original video: create or import subtitles, align them to the timeline, export SRT, VTT or ASS plus a clean transcript, and keep the subtitle file together with the original media hash. Mark machine transcription and translation as unverified until reviewed by a human speaker of the language.

Limits

This is a release candidate, not a stable final release. Subtitles and transcripts are derivative evidence: timing errors, mistranscription, translation mistakes, sarcasm, dialect, background noise and edits can all change meaning.

Subtitle Edit 5.0.0-rc4 допомагає перетворювати відеодокази на таймкодовані розшифровки

Джерело: Subtitle Edit GitHub · 11 червня 2026

Що сталося

Subtitle Edit опублікував v5.0.0-rc4 11 червня як release-candidate збірку з пакетами для Windows, macOS, Linux та ARM64-платформ. На сторінці релізу є інсталятори й архіви, а сам build позначений як pre-release.

Чому це важливо

Відеодоказам часто потрібні синхронізовані розшифровки, перекладені субтитри, цитати з таймкодами й пакети уривків, які можуть перевірити редактори або юристи. Cross-platform subtitle editor допомагає перетворювати довгі відео, інтерв’ю, пропагандистські кліпи, livestream captures або потенційно судові записи на структурований матеріал.

Як це застосувати

Використовуйте після збереження оригінального відео: створіть або імпортуйте субтитри, вирівняйте їх по таймлайну, експортуйте SRT, VTT або ASS і чисту розшифровку, а subtitle file тримайте поруч із хешем оригінального медіа. Машинну транскрипцію й переклад маркуйте як неперевірені, доки їх не перегляне людина, що знає мову.

Обмеження

Це release candidate, а не стабільний фінальний реліз. Субтитри й розшифровки є похідним доказом: помилки таймінгу, розпізнавання, перекладу, сарказм, діалект, шум і монтаж можуть змінити сенс.

subtitle-editvideo-evidencetranscriptssubtitlescourtroom-review

🗃️Dataset PublishingПублікація наборів даних

#05

Datasette 1.0a33 tightens reviewable database publishing

Source: Datasette GitHub · 11 June 2026

What happened

Datasette released 1.0a33 on 11 June as a pre-release. The release adds editing and deletion controls for stored queries, extends the JSON API extra mechanism for row and query pages, and fixes two security issues, including a SQL injection issue involving table and column names containing a closing bracket and an open redirect.

Why it matters

Datasette is useful when a team needs to publish or internally review structured evidence tables without turning spreadsheets into a tiny kingdom of broken filters. It can expose read-only SQLite-backed views for casualty categories, sanctions/entity screening, procurement records, archive indexes, media inventories or source-status ledgers.

How to use it

Use it for reviewed, redacted datasets: convert working spreadsheets to SQLite, define read-only views, document field definitions, preserve source links, add export notes and keep public and restricted databases separate. Put security updates on the same checklist as dataset redaction.

Limits

1.0a33 is a pre-release and should be staged before production use. Datasette does not anonymize data by itself; it can expose sensitive fields, query logic or source relationships if permissions and redaction are wrong.

Datasette 1.0a33 посилює перевірювану публікацію баз даних

Джерело: Datasette GitHub · 11 червня 2026

Що сталося

Datasette випустив 1.0a33 11 червня як pre-release. Реліз додає керування редагуванням і видаленням stored queries, розширює JSON API extra mechanism для row і query pages та виправляє дві security issues, зокрема SQL injection для назв таблиць і колонок із закривною дужкою та open redirect.

Чому це важливо

Datasette корисний тоді, коли команді треба публікувати або внутрішньо переглядати структуровані доказові таблиці без перетворення spreadsheet на маленьке королівство зламаних фільтрів. Він може давати read-only SQLite-backed views для категорій втрат, sanctions/entity screening, procurement records, archive indexes, media inventories або source-status ledgers.

Як це застосувати

Використовуйте для перевірених і відредагованих наборів даних: конвертуйте робочі таблиці в SQLite, створюйте read-only views, документуйте визначення полів, зберігайте source links, додавайте export notes і розділяйте public та restricted databases. Security updates мають бути в тому самому чеклисті, що й редагування даних перед публікацією.

Обмеження

1.0a33 — pre-release, тому перед production use його треба тестувати на staging. Datasette не анонімізує дані сам по собі; він може розкрити чутливі поля, логіку запитів або зв’язки джерел, якщо permissions і redaction налаштовані неправильно.

datasettedataset-publishingsqliteevidence-ledgersredaction

🗺️Geospatial WorkbenchГеопросторова майстерня

#06

GeoLibre 1.0 brings local cloud-native GIS into the browser

Source: Qiusheng Wu / GIS Hub · 10 June 2026

What happened

GeoLibre 1.0 was introduced as a lightweight open-source GIS that runs in a browser, as a desktop app or inside a Jupyter notebook. It can load vector and raster data, stream Cloud Optimized GeoTIFF and GeoParquet, work with PMTiles, 3D tiles, LiDAR point clouds, DuckDB, WMS/WFS and local project files.

Why it matters

This is useful for small OSINT and accountability teams that need quick geospatial triage without a full QGIS or ArcGIS setup. It can help analysts inspect incident points, satellite-derived rasters, damage polygons, building footprints, route traces and attribute tables on a laptop or field machine.

How to use it

Use GeoLibre for first-pass geospatial review: load GeoJSON, KML or CSV incident points, compare them with imagery or open basemap layers, inspect attributes, measure distances and export a project file into the evidence package. For sensitive layers, prefer local mode and keep shared static links disabled unless the map has been redacted.

Limits

GeoLibre is a new 1.0 project, so outputs should be checked against established GIS tools before publication or legal use. Browser-based workflows can leak data if users paste remote URLs or publish project links; sensitive military, witness, victim or POW/MIA locations should not be shared through public map URLs.

GeoLibre 1.0 переносить локальну cloud-native GIS у браузер

Джерело: Qiusheng Wu / GIS Hub · 10 червня 2026

Що сталося

GeoLibre 1.0 представлено як легку open-source GIS, що працює в браузері, як desktop app або всередині Jupyter notebook. Інструмент може відкривати vector і raster data, стримити Cloud Optimized GeoTIFF і GeoParquet, працювати з PMTiles, 3D tiles, LiDAR point clouds, DuckDB, WMS/WFS та локальними project files.

Чому це важливо

Це корисно для невеликих OSINT- і accountability-команд, яким потрібен швидкий геопросторовий triage без повного QGIS або ArcGIS-стеку. Інструмент може допомогти переглянути точки інцидентів, супутникові raster layers, damage polygons, building footprints, route traces і attribute tables на ноутбуці або польовій машині.

Як це застосувати

Використовуйте GeoLibre для першого перегляду геоданих: завантажте GeoJSON, KML або CSV із точками інцидентів, порівняйте з imagery або open basemap, перегляньте атрибути, виміряйте відстані й збережіть project file до доказового пакета. Для чутливих шарів краще працювати локально й не вмикати shared static links без редагування карти.

Обмеження

GeoLibre — новий 1.0-проєкт, тому результати варто перевіряти в усталених GIS-інструментах перед публікацією або юридичним використанням. Browser-based workflow може призвести до витоку даних, якщо вставляти remote URLs або публікувати project links; чутливі військові, witness, victim або POW/MIA locations не мають потрапляти в публічні map URLs.

geolibregeospatialgiscloud-native-datamap-triage

🌐Geospatial PublishingПублікація геоданих

#07

GeoServer 3.0.0 is a major release for controlled geospatial evidence layers

Source: GeoServer GitHub · 11 June 2026

What happened

GeoServer released 3.0.0 on 11 June as a major version release. The release notes include UI and REST improvements, OGC API and WFS-related fixes, module changes and security-relevant fixes, including an XXE vulnerability in the features-templating extension.

Why it matters

GeoServer is relevant when an accountability team needs to publish or share controlled geospatial layers rather than static screenshots. It can support internal WMS/WFS-style workflows for damage mapping, incident layers, evidence review, deconflicted public maps and partner access.

How to use it

Treat 3.0.0 as an upgrade and staging candidate for teams already running GeoServer or planning a controlled geospatial evidence portal. Test migration, review moved or changed extensions, enforce access controls, separate public and restricted layers, and keep redaction rules before any map is shared outside the team.

Limits

GeoServer is server infrastructure, not a lightweight analyst tool. Misconfiguration can leak sensitive coordinates, witness or victim data, military context or unpublished investigation material; it should not be used for live targeting or public release of operationally sensitive layers.

GeoServer 3.0.0 — великий реліз для контрольованих геопросторових доказових шарів

Джерело: GeoServer GitHub · 11 червня 2026

Що сталося

GeoServer випустив 3.0.0 11 червня як великий major release. У release notes є UI та REST-покращення, OGC API і WFS-related виправлення, зміни модулів та security-relevant fixes, зокрема XXE-вразливість у features-templating extension.

Чому це важливо

GeoServer доречний тоді, коли accountability-команді треба публікувати або контрольовано поширювати геопросторові шари, а не статичні скриншоти. Він може підтримати внутрішні WMS/WFS-style workflows для damage mapping, incident layers, evidence review, deconflicted public maps і доступу партнерів.

Як це застосувати

Розглядайте 3.0.0 як upgrade/staging candidate для команд, які вже мають GeoServer або планують контрольований geospatial evidence portal. Перевірте міграцію, перегляньте перенесені або змінені extensions, налаштуйте access controls, розділіть public і restricted layers та застосуйте redaction rules до будь-якого зовнішнього поширення.

Обмеження

GeoServer — це серверна інфраструктура, а не легкий інструмент аналітика. Неправильне налаштування може розкрити чутливі координати, дані свідків або потерпілих, військовий контекст чи неопубліковані матеріали розслідування; його не можна використовувати для live targeting або публікації операційно чутливих шарів.

geoservermap-publishinggeospatial-evidencewmsaccess-control