Un luser en la NcN2K15 (II)

Cuando la esteganografía deja de ser "cool"

Segunda charla de la mañana, a cargo de David Sancho (@davidsancho66). Quien empezó por el principio: ¿qué es la esteganografía? Pues no es sino el arte de meter datos dentro de otros datos, siendo el método más conocido el de insertar datos dentro de una imagen digital aprovechándonos del LSB (Least Significant Bit, o "bit del extremo derecho")

¡Aaaahhh! ¿Y eso qué es?

Un luser en la NcN2k15 (I)

¡Qué bien se duerme en los autobuses interurbanos con WiFi gratis! Así he podido llegar casi fresco a la NoConName 2015 en La Salle de Barcelona este sábado 12 de diciembre…

Y despejadito me he quedado con la primera de la mañana, el workshop de Vicente Aguilar, que llevaba el sugerente título de

TÉCNICAS OSINT PARA INVESTIGADORES DE SEGURIDAD

Que la traía preparada para seguirla con ojos, orejas y dedos, aunque problemas técnicos con la WiFi del salón y la falta de cobertura telefónica no nos han dejado “trastear”(yo tampoco lo iba a hacer, confieso).

Vicente (permíteme que te tutee aún sin conocerte) ha comenzado como Dios manda, con un esquema de cómo iba a desarrollar la charla, punto por punto, que es como la voy a contar-interpretar yo.

1. INTRODUCCIÓN

“Información es poder” así hemos comenzado. E info hay cantidades ingentes en Internet, de dónde hemos de “trillar” la paja para quedarnos con el grano. Y las principales fuentes de información, las grandes generadoras, son las Redes Sociales (RRSS).

Vale. Y eso sirve para definir, a quien no lo tuviera claro, qué es OSINT: Open Source INTelligence, o inteligencia de fuentes abiertas, de fuentes de acceso libre; a diferenciar de las herramientas para explotar esa información que podrían costar dinero.

Vamos bien. Y con esta información ¿qué hacemos? Pues tanto analizar conductas pasadas para prever comportamientos futuros (se precisan/precisarán analistas de datos predictivos) como para averiguarlo TODO de una persona u organización. Total ná.

Y para llevar a cabo esa monumental tarea, que no es baladí, pasamos al siguiente punto.

2. PROCESO OSINT

Que como todo proceso necesita organizarse, y sigue estos pasos:

• Requerimiento: Identificar al objetivo, preguntarnos a qué vamos a dar respuesta.
• Identificar las fuentes de las que vamos a obtener la información.
• Recopilación y análisis de los datos obtenidos.
• Obtenemos una información útil que nos servirá para tomar una decisión.

¿Problemas? Sí, dos: exceso de información y fiabilidad de las fuentes.

Ámbito de aplicación de OSINT: Business intelligence, Government intelligence e Individual intelligence, o, para entendernos, recolección y análisis de información de empresas o para empresas, de los gobernados para el Gobierno y de individuos de a pie… ¡para todos!

3. HERRAMIENTAS

Lo primero que debemos tener en cuenta es que debemos combinar varias herramientas para lograr un mejor resultado.

• Maltego. Hay que crear una cuenta. Permitiría conocer, por ejemplo, los tuits publicados en un periodo de tiempo concreto desde unas coordenadas dadas.
• ReconNG. Se cargan módulos que después se lanzan.
• The Harvester. Busca direcciones de correo, por ejemplo, para luego cotejarlas con las de acceso o publicadas en RRSS.

Estas tres son parte de casi cualquier distro de Linux enfocada a pentesting (Kali, por ejemplo…), y ahora otras para trabajar vía web:

• www.tinfoleak.com.  Busca por usuarios, hashtags, coordenadas…
• www.echosec.net. Herramienta online que se ejecuta con un navegador. Se seleccionan coordenadas, o palabras a analizar y luego se ve que se mueve por las RRSS.
• Para buscar información sobre personas: www.peekyou.com, www.pipl.com, www.spokeo.com. Partimos de nombre y apellidos, nicks, números de teléfono...

www.twipho.net, www.geosocialfootprint.com , para buscar a partir de hashtags.

www.knowem.com, www.namechk.com, www.usernamecheck.com son sitios básicos para localizar usuarios en RRSS.

www.inteltechniques.com si queremos buscar info a partir de códigos (de programación)

4. EJEMPLOS PRÁCTICOS

Pena penita pena que debido al errático funcionamiento de la WiFi (¿hackers “malos”?) y a que no había apenas cobertura de móvil (lo que agradecieron las tarifas justitas de datos) no pudieron hacerse los ejercicios que traía, así que tampoco los voy a poner yo…

Pero si nos comentó algunos tips como buscar a partir de fotos similares a una dada en google imágenes, fotos en la misma calle o cerca en esas fechas; también en Instagram, por ejemplo. Y sí nos hizo hincapié en que los resultados que buscamos por lo general no van a estar en las primeras páginas de resultados de los buscadores, sino más bien a partir de la sexta u octava…

Y que en Linkedin hay creados perfiles falsos de personas que dicen pertenecer a departamentos de Recursos Humanos, lo que les permite tener un número elevado de seguidores y un mejor ranking en la red, lo que les permite acceder a más datos del resto de usuarios.

Si queremos averiguar, por ejemplo, la estructura de una empresa muchas veces nos basta con hacer una búsqueda de empleo, ya que las empresas publican el perfil requerido a los candidatos a un puesto concreto. E incluso son los propios técnicos quienes en su perfil profesional describen con todo detalle su puesto y la “electrónica” que deben manejar.

También nos dijo cómo hacer el segundo reto, que consistía en localizar a dos “curritos” del FBI americano a partir de sendas fotos… Pero eso lo dejo en secreto por si la NSA… ;-)

5. REFERENCIAS

Nada tengo anotado además de las páginas que ya están citadas más arriba, lo que no significa que no haya ni que no haya dicho… Pero yo soy analógico ¡y se me agotó la tinta del bolígrafo! ¿Os ha pasado alguna vez? La parte positiva es que tengo un boli nuevo con el logo de la NoConName. ¡mola!

Y con mi boli nuevo continué tomando notas en la siguiente charla, ésta a cargo de David Sancho con el sugerente título de

ESTEGANOGRAFÍA Y MALWARE: CUANDO LA ESTEGANOGRAFÍA DEJA DE SER COOL

Sí. Asusta el título y asustó el desarrollo... Pero para otro día...