Espionaje en IMVU, Twitter, Instagram, Facebook (Pentesting OSINT)
Pero se preguntarán, ¿qué diablos es OSINT?, OSINT por sus siglas Open Source Intelligence, son técnicas para recabar información de fuentes abiertas que ha sido empleada por los militares y las agencias de inteligencia a nivel mundial durante décadas, y ¿qué son las fuentes abiertas?, son fuentes de información de acceso público, cualquiera puede tener acceso a esta información, llámese Facebook, Twitter, Youtube, la página de la empresa donde trabajas, metadatos de tus archivos informáticos, periódicos, foros, el vecino, tu basura, los recibos del cajero automático que siempre tiras, tus recibos de luz e Internet y en si cualquier información al alcance de una novia celosa o de un depravado sexual.
Por lo que ven OSINT es un tema bastante amplio, nosotros en este artículo lo enfocaremos a las redes sociales de IMVU, Twitter e Instagram, facebook.
Más de un curioso se preguntará, ¿para qué sirve esto del OSINT?, debo decir que sirve para muchísimas cosas, desde su origen que es para recabar información de enemigos de guerra o de hacktivistas, pasando por el análisis de información de empresas respecto a sus potenciales clientes, su mercado actual y su imagen corporativa, hasta espionaje empresarial, suplantación de identidad, saber dónde estuvo tu novia la noche anterior, conseguir el número y dirección de la chica rikitik de tu universidad que tanto te gusta, y en sí obtener tanta información de algo o alguien como sea posible. En el mundo del verdadero hacking (no en el de los script kiddies o wannabes cuyo objetivo en la vida es “hackear” una cuenta de Facebook) las técnicas de OSINT son el primer punto obligado a partir, gracias a estas técnicas es que se construye un buen vector de ataque, y como es sabido en el arte de la guerra:
"Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla."
Sun Tzu, El arte de la guerra.
Un buen vector de ataque incrementa nuestras probabilidades de éxito en alguna auditoria o pentest a algún sistema de cualquier tipo. Explicado lo anterior comenzaremos con el uso conjunto de dos herramientas de OSINT para redes sociales: geostalker y cree.py
Geostalker.
herramientas de inteligencia de código abierto (OSINT) para minería de datos, se facilita mucho este proceso y, como comentamos, es posible aprovecharse de uno sólo de tus amigos imprudentes para conseguir tener mucha información sensible y un auténtico esquema de tu vida personal.
Estas herramientas fueron presentadas (pdf) por Keith Lee y Jonathan Werrett de SpidersLabs en la última conferencia Hack in the Box en Kuala Lumpur. Ambos demostraron cómo utilizar Facebook Graph con otras fuentes como LinkedIn, Flickr, Instagram y Twitter para recolectar información sobre una objetivo, como lugares y sitios web visitados con regularidad, el trabajo, la escuela o los amigos on-line y mostrar los datos en Google Maps.
Geostalker puede ser descargado desde esta url https://github.com/milo2012/osintstalker , esta herramienta dadas coordenadas de latitud y longitud recaba información de las fuentes abiertas Wigle.net, Instagram, Twitter, IMVU, Foursquare y Flickr; al procesar los datos nos da información de acuerdo a las coordenadas que pusimos de los Access Point Wireless a la redonda, fotos tomadas en el lugar, cuentas de redes sociales y post de personas que han visitado el lugar.
Instalación
En nuestro ejemplo lo probaremos en Kali Linux (32 bit). Para ello, empezaremos instalando Chrome y su driver correspondiente:
wget http://95.31.35.30/chrome/pool/main/g/google-chrome-stable/google-chrome-stable_27.0.1453.93-r200836_i386.deb
dpkg -i google-chrome-stable_27.0.1453.93-r200836_i386.deb
wget https://chromedriver.googlecode.com/files/chromedriver_linux32_23.0.1240.0.zip
unzip chromedriver_linux32_23.0.1240.0.zip
cp chromedriver /usr/bin/chromedriver
chmod 777 /usr/bin/chromedriver
Después instalamos los paquetes de python necesarios:
sudo apt-get install python-setuptools
wget https://pypi.python.org/packages/source/p/pip/pip-1.4.1.tar.gz
tar xvfz pip-1.4.1.tar.gz
cd pip-1.4.1
sudo python2.7 setup.py install
pip install pytz
pip install tzlocal
pip install termcolor
pip install selenium
pip install requests --upgrade
pip install beautifulsoup4
git clone https://github.com/hadim/pygraphml.git
cd pygraphml
python2.7 setup.py install
pip-2.7 install google
pip-2.7 install python-instagram
pip-2.7 install pygoogle
pip-2.7 install geopy
pip-2.7 install lxml
pip-2.7 install oauth2
pip-2.7 install python-linkedin
pip-2.7 install pygeocoder
pip-2.7 install selenium
pip-2.7 install termcolor
pip-2.7 install pysqlite
pip-2.7 install TwitterSearch
pip-2.7 install foursquare
wget https://gdata-python-client.googlecode.com/files/gdata-2.0.18.tar.gz
tar xvfz gdata-2.0.18.tar.gz
cd gdata-2.0.18
python2.7 setup.py install
Finalmente descargamos los scripts correspondientes a ambas herramientas:
cd
wget https://raw.github.com/milo2012/osintstalker/master/fbstalker1.py
wget https://raw.github.com/milo2012/osintstalker/master/geostalker.py
Ahora antes de utilizar cualquiera de los dos scripts debemos editarlos y añadir información de nuestra cuentas (usuarios, contraseñas o tokens)
root@Exploits:~# vi fbstalker1.py
facebook_username = ""
facebook_password = ""
#Gmail
google_username = ""
google_password = ""
google_drive_collection = "kkk"
#http://instagram.com/developer/register/
instagram_client_id = ""
instagram_client_secret = ""
instagram_access_token = ""
#Foursquare
foursquare_client_id = ""
foursquare_client_secret = ""
foursquare_access_token = ""
#IMVU
#https://secure.imvu.com/login/
#IMVU_username = ""
#IMVU_password = ""
Y por fin llegamos a lo divertido. Por ejemplo, vemos la actividad alrededor de unas coordenadas
root@Exploits:~# sudo python2.7 geostalker.py -location 4.237588,101.131332
[*] Downloading Instagram Data based on Geolocation
[*] Found http://instagram.com/w3ndy (4.244855271,101.131421276)
[*] Found http://instagram.com/w3ndy (4.244901804,101.131402526)
[*] Found http://instagram.com/w3ndy (4.245,101.131666667)
[*] Found http://instagram.com/jayshraj2003 (4.245109112,101.131786781)
[*] Found http://instagram.com/jayshraj2003 (4.245241754,101.131453847)
[*] Found http://instagram.com/jayshraj2003 (4.245279049,101.131642412)......
Abrimos nuestra consola y colocamos:
root@Exploits:~# mkdir Irina
root@Exploits:~# cd Irina
root@Exploits:~# sudo python2.7 fbstalker1.py -user 'IrinaShayk'
[*] IMVU_Username: IrinaShayk
[*] Uid: 341875219865
[*] Caching Facebook Apps Used By: IrinaShayk
[*] Caching Pages Liked By: IrinaShayk
[*] Writing 8 record(s) to database table: pagesLiked
[*] Caching Videos Liked By: IrinaShayk
[*] Writing 3 record(s) to database table: videosBy
[*] Caching Photos Of: IrinaShayk
[*] Caching Photo Page: 10150637269859866
[*] Caching Photo Page: 10151479413524866
[*] Caching Photo Page: 10151470788269866
...
Ahora en WINDOWS, pero para ello lo haré en una red social más conocida como TWitter
Los comandos para ejecutarlo son ya sea en consola de Linux o en cmd de Windows:
geostalker.py –location coordenada_1,coordenada_2
ej: geostalker.py –location 16.755138, -93.129243
Chiapas en México.
En lo personal me llamó la atención el post que dice: "Al final el asesino regresa a la escena dle crimen", vamos a visitar el twitter de la persona que escribió eso.
Esta
persona acaba de escribir el tweet cerca de las coordenadas con las
que ejecutamos el geostalker y por lo visto tiene activada la opción de
geolocalización en sus tweets. Geostalker llega hasta aquí, pero si
quisiéramos rastrear a esta persona mediante sus tweets (ya que vimos
que los tienen la ubicación donde fueron hechos) pasamos a la siguiente herramienta
.
Creepy.py.
Esta herramienta puede ser descargada en https://ilektrojohn.github.io/creepy/,
su función principal es encontrar las ubicaciones dentro de un mapa de
una cuenta de twiiter, IMVU, instagram o flickr, analizando los
metadatos de los post e imagenes.
Primero
se debe de crear un nuevo proyecto, nosotros vamos a ver que
encontramos del usuario de twitter melissamoises (previamente encontrado
con geostalker).
Posteriormente buscamos el nombre de usuario en cuestión y lo seleccionamos como target.
Por ultimo aplicamos un mapa de calor para ver los lugares donde mas frecuenta twittear esta persona.
Ya uno puede darse una idea de por donde puede vivir esta persona.
Como conclusión mediante técnicas de OSINT en redes sociales uno puede obtener información muy sensible de la persona, por eso es importante desactivar la geolocalización de nuestros post en las diversas redes sociales, así como protegerlos para que solo nuestros contactos puedan acceder a ellos.
Geostalker en empresas.
También que utilizando geostalker en las coordenadas de una empresa o corporación objetivo, los empleados constituirán un vector de ataque importante, es por tal motivo que hay que capacitar a los empleados para que tomen medidas de seguridad referente a sus publicaciones, basta con fotografías dentro de las instalaciones de alguna empresa o corporación para saber que software o que tipo de modem, routers, access point, utilizan y a partir de eso perfilar un ataque informático.
Suerte :)
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.