TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido

Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Técnicas osint que te dejarán con el papo torcido

Who’s that guy
• Security Advocate & Software Architect en @ITI_TIC
• Actualmente en proyectos de investigación de
ciberseguridad en entornos cloud y detección basada en
Machine Learning
• +10 años con proyectos comerciales
• Cybersecurity, Big Data, Machine Learning, Cloud
Computing…
• Consejero Técnico en www.onlyeco.com
• Buscador de viajes eco-sostenibles
• Formador y ponente
• +60 cursos y charlas
https://www.linkedin.com/in/fjbarrena
https://twitter.com/DogDeveloper
https://github.com/fjbarrena
https://www.slideshare.net/fjbarrena

qué es osint y por que debería importarme?
• OSINT === Open Source Intelligence
• Conjunto de técnicas y herramientas para recopilar información
pública, correlacionar los datos y procesarlos
• Aplicar análisis e inteligencia (a veces, artificial) a una gran
cantidad de información públicamente accesible en Internet
con el objetivo de extraer conclusiones útiles para una
investigación

Las dos caras de osint
• Investigación
forense
• Estudios (buenos)
de Marketing
• Defensa
• Investigación
(construcción de
corpus de datos)
• Estudios
estadísticos
• Etc…
• Ciberdelincuencia
• Extorsión
• Bullying
• Fraude
• Acoso sexual
• Acoso laboral
• Etc…

Dosint
• Las cosas se ponen peor con el Dark OSINT
• Término pendiente de patente :D
• Ciber-delincuentes de todo el mundo tienen especial interés
en la obtención de datos personales que no están accesibles
en la internet pública
• Estos datos se obtienen a través de Data Leaks
• Aprovechan vulnerabilidades de la infraestructura, el software o las
personas para robar esos datos

Data leaks
https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html
2013 – Octubre
153 millones de cuentas
2.1 millones de $ en
sanciones
2016 – Octubre
412.2 millones de
cuentas
¡20 años de datos!
Las contraseñas estaban
escriptadas con SHA-1
2019 – Mayo
siguen sin cambiar la
contraseña
2012 y 2016
Fue la misma persona que se
coló en MySpace en 2013
2019 – Septiembre
Información de users y
relación con Facebook IDs

Data lics (en español)
2020
Inyección de código en
librería desarrollada por
Inbeta Technologies
(proveedor externo)
Potencialmente dio
acceso a datos personales
de cualquier cliente
Denuncia de FACUA por
incumplimiento de RGPD

Dosint
• Estos datos van a parar a la Dark Web
• Donde son vendidos al mejor postor
• O directamente compartidos gratuitamente entre delincuentes
• Los datos se suelen usar para:
• Construir perfiles falsos, pero con datos reales, para cometer fraude
(scamming)
• Obtener contraseñas y correos electrónicos, y probar esa combinación
en muchas plataformas
• Dependiendo de los datos, extorsión directamente
• Etc.

Dosint

Dosint
• Así ya no es solo lo que las personas suban a la ClearNet
intencionadamente…
• … también es aquello que depositamos en servicios de terceros
y que termina por ser robado ...
• … o la información personal en la intranet de la empresa (en la
Deep Web, en general) que es comprometida …
• Y no se salva nadie, ni siquiera organismos oficiales

• +600 agencias de seguridad
EEUU compraron la base de
datos
• Entre 2000$ y 10000$ anuales
cuesta la licencia
• La recolección de datos está
expresamente prohibida en los
términos y condiciones de las
redes sociales, pero una
reciente sentencia lo declara
legítimo (en EEUU)
“osint” institucional

• Base de datos de fotos y
nombres asociados
• Catalogados
• Ofrecen un motor de
reconocimiento facial asociado
al producto, con un grado de
fiabilidad muchos órdenes de
magnitud superiores a los de
la propia policía.
“osint” institucional

scammers
https://www.elconfidencial.com/espana/2020-03-01/chiringuitos-financieros-fraude-inversion-criptomonedas_2475391/

scammers

insecam
• Solo cámaras sin contraseña
• No han hackeado nada
• Solo han recolectado…
• Filtradas, solo muestran cámaras que no invaden la vida privada de
nadie
• Pero eventualmente las hay…
• Eliminan todas las cámaras que cualquiera les dice que la eliminen
• Sin preguntas
• Inmediatamente
• Han cosechado esta cantidad de información
• Sin esfuerzo
• Sin ningún objetivo
• Automáticamente

insecam en datos

insecam en datos
14500

Tipos de ataques 2018

MalA, osint malA
• OSINT no es ni malo ni bueno
• Es una herramienta que se puede utilizar para el bien, o para el
mal
• Hay líneas de investigación en las cuales se emplean técnicas
OSINT para proteger mejor una infraestructura
• También son técnicas muy poderosas para el esclarecimiento
de delitos
• Pero si que debe hacernos reflexionar acerca de la seguridad y
la privacidad en la red

osint
para
personas

Cómo de fácil es usarlo?

Pues depende…
• Para usar OSINT solo hay que tener un poco de motivación
• Si eres…
• Persona no-técnica
• Puede que te frustres un poco, porque hay muchas herramientas que no entenderás
cómo se usan
• Si tienes un poco de paciencia, encontrarás algunas muy sencillas de usar que
generalmente te valdrán para hacer tus maldades. Por que si estás buscando esto, y no
tienes background técnico, es para hacer el mal…
• Persona técnica
• Tendrás algunas dificultades en herramientas sin actualizar, pero podrás hacer bastantes
cosas
• Developah
• Encontrarás muchas menos dificultades, la mayoría de ellas las podrás subsanar y
aprenderás rápido que un gran poder conlleva una gran responsabilidad
• Si pilotas Python, pues más fácil todavía

Tipos de herramientas
• Las que se basan en APIs
• Utilizan las APIs legítimas de las plataformas
• Por tanto, se supeditan a las configuraciones de privacidad de las
mismas
• También tienen límites (peticiones máximas por unidad de tiempo,
etc.)
• Son estables mientras las APIs son estables…
• Requieren el uso de API Keys, Tokens, etc.
• Es decir, que se sabe quién está buscando qué
• Las que se basan en crawlers/scrappers
• Scrappean las plataformas y obtienen datos out-of-the-box
• Más inestables, si el código HTML cambia, el scrapper peta
• Bien tiradas, pueden saltarse incluso restricciones de privacidad…

Chospechoso…

Tipos de herramientas

Algunas herramientas

sherlock
• Scrapper – No usa APIs
• Le das un user, y te saca todo lo que encuentre en Internet
• Ejecutar un script de Python tan “complejo” como este
• Muy interesante para tener un listado de fuentes de las que
rascar con otras herramientas
https://sherlock-project.github.io/

sherlock
• 3 formas de instalarlo
Clónate el repo tú misma
y móntatelo a tu rollo
Instálate en un ordenador
viejuno Kali Linux
¡Trinca un Docker y a
correr que la vida es corta!

sherlock
• Más fácil todavía… usa Google Cloud Shell y ya está…

i know you
• Mixto Scrapper – APIs
• Open Source
• Integra muchas herramientas
• Sherlock
• FullContact
• PeopleDataLabs
• Have I Been Pwned
• EmailRep
• LeakLookup
• Etc…
• Configurable para que busque en la Dark Web
• Y además la interfaz CHANA MOGOLLÓN

i know you

Pero cuantas herramientas???

osint para máquinas

Pero vamos a lo que nos interesa
• ¡¡ Somos geeks, freaks, techs !!
• Las personas no nos importan…
• Nos importan las máquinas!!
• Les ponemos nombre
• Les cogemos cariño
• Nunca nos fallan
• Y si lo hacen, casi siempre es por nuestra culpa
• Así que debemos protegerlas!!

El problema

La botmenaza
• Clásicamente las amenazas eran en
tiempo humano
• Ahora son en tiempo máquina
• Existen ”entes” que construyen bots
que se dedican a atacar servidores
• No se cansan
• No se rinden
• Sin clemencia
• Claramente, un gran porcentaje de
esos ataques son detectados
• ¿Pero que ocurre con una PYME?
• ¿Qué ocurre con los pequeños?

Spear hacking and apts
• Por supuesto, siguen existiendo ataques especializados y
dirigidos específicamente contra una organización
• Estos son de los más peligrosos
• También existen acciones de ciberguerra, perpetrados por
APTs (Advanced Persistent Threat)
• No solo ciberguerra, también otros intereses
• Son Avanzadas, Dirigidas, Persistentes y en continuo cambio
• Los objetivos de las APTs son
• Robar información
• Provocar dañor o TERROR
• Beneficio económico

Spear hacking and apts
• Los grupos de técnicos que forman una APT suelen ser estables, y
son reconocibles
• De hecho, hay una clasificación de grupos de APTs, por ejemplo:
Fancy Bear – APT28
Operativo desde 2007
Vinculados a Rusia

Charla relacionada recomendada
https://www.youtube.com/watch?v=9wfMx_z1GW8
https://twitter.com/Martixx

Y que pinta osint en todo esto?
• Parte de estos ataques se articulan a través de herramientas
OSINT

shodan
• Los ataques que sufren las empresas ya no son en tiempo
humano
• Son en tiempo máquina
• Y para eso es necesario contar con herramientas que permitan
automatizar los ataques
• Shodan es una de ellas, básicamente trinca toda máquina que
esté expuesta a Internet y la indexa en su buscador
• La analiza al máximo y, si tienes el plan de pago, te dice qué
vulnerabilidades puedes explotar
• Con un código universal de referencia
• Tiene una API con la que puedes automatizar el proceso
• Si tu máquina es visible en Internet, está en Shodan

https://www.shodan.io/

Cve
• Common Vulnerabilities Exposures
• Lista pública de entradas identificadas unívocamente de
vulnerabilidades conocidas

Cve
• Con enlaces hacia ejemplos de exploits y explicaciones del
fallo de seguridad

Cve

Cerremos el círculo
• Tengo una lista de vulnerabilidades
conocidas y pública (CVE)
• En esa lista puedo buscar por
tecnología
• Por otra parte, en Shodan puedo
saber qué servidores del mundo
están funcionando con una
determinada tecnología
• Así que puedo correlacionar
vulnerabilidades con máquinas
reales con un chasquido de dedos

Cerremos el círculo
• Pero es que hay más
• En Shodan puedo buscar todos los
servidores del mundo que tengan
una determinada vulnerabilidad
• Puedo buscar por CVE
• Puedo desarrollar un exploit para
ese CVE, y lanzarlo
automáticamente para todos los
resultado de Shodan

Pricing de shodan

spiderfoot

maltego

spyse

Y es que no hace falta ser juanker
• Sencillamente, no les hace falta
• Se aprovechan de una falta de protección o de una
vulnerabilidad conocida no parcheada
• Y es que ser hacker …
• No es estrictamente necesario
• Y además es muy difícil
• Es mucho más sencillo curiosear un sistema y, en base a tus
conocimientos, tratar de salirte del cauce habitual
• Bueno, o puedes ser una scriptkid, que entonces ya no
necesitas ni base… solo lanzar cosas con Kali Linux a ver que
pasa

La cultura de ciberseguridad debe mejorar
• Las amenazas son cada vez más frecuentes
• Los botines son cada vez más suculentos
• Los ataques son cada vez más sofisticados
• Y tienen más éxito
• ¿Y cómo siguen siendo …
• la seguridad en infraestructuras?
• las tecnologías subyacentes?
• el desarrollo de software?
• la gestión de las dependencias?
• la respuesta a incidentes?
• la actitud de la dirección de las empresas?

qué podemos hacer?

MANTENER nuestras infraestructuras mejor
• Reduce la superficie de ataque
• Cierra puertos innecesarios
• Ten una política de contraseñas
• No utilices la misma contraseña para todo
• Desinstala software innecesario
• Actualiza tu sistema operativo con frecuencia
• Mantente al tanto de las nuevas vulnerabilidades
• Monitoriza tus infraestructuras
• Implanta un SIEM
• Cuida tu red. Segméntala.

Desarrollar software mejor
• No podemos seguir ignorando la seguridad en el desarrollo de
las aplicaciones
• Tenemos que andar al mismo camino que hicimos con el
testing unitario, TDD, etc.
• Shift Security Left
• Análisis de vulnerabilidades en el código
• Convertir DevOps en DevSecOps
• Ownership
• La seguridad no es cosa “de sistemas” o de una empresa externa que
viene a hacerte un pentesting una vez al año
• La seguridad es COSA TUYA TAMBIÉN
• Devs debemos asumir nuestra responsabilidad

usa osint para tu beneficio
• Adelántate a los malos
• Usa sus mismas herramientas para saber qué información
ofreces al exterior
• Integra esa información en tu ciclo de DevSecOps y actúa en
consecuencia
• Ahora que lo sabes, engaña a los malos
• Diles que usas Express cuando en realidad estás usando Tomcat
• Troléales un rato
• Si te fastidian, al menos hazles sudar la gota gorda

Agravante: nuevos paradigmas
• La defensa clásica se ha basado en ofrecer los puntos de
exposición justos para reducir superficie de ataque
• Al mismo tiempo, los desarrollos eran monolíticos, por lo que
eran más fáciles de proteger
• Solo hay que actualizar un SO, servidor, etc…
• Solo hay que proteger los puertos de una máquina
• Escaso tráfico de red, todo ocurre dentro del programa
• Stacks tecnológicos estables en el tiempo
• La adopción del cloud genera nuevos retos
• Hemos pasado de defender esto:

Hemos pasado de defender esto

A defender esto…

incluir elementos de seguridad en arquitecturas
• ¿Cuántas soluciones software que ofrecéis contienen
elementos específicos de seguridad?
• Web Application Firewall (WAF)?
• Intrusion Detection System (IDS)?
• Identity Management System?
• Monitorización específica de seguridad?
• User Behaviour Analytics (UBA)?
• Etc…
• Developers y architects deben empezar a proponer elementos
específicos de seguridad para sus aplicaciones, y no dejar la
pelota siempre en el tejado de sistemas

fórmate un poquito cada dia
• Ya seas developer, sysadmin, architect o tester,
tienes algo que aprender y que aplicar en tu día
a día
• Pide a tus responsables que inviertan en
formación para mejorar la seguridad de vuestras
aplicaciones
• Si tienes el dedo sobre el botón, ¿a qué esperas?
• Asiste a charlas y eventos como éste ;)
• ¡No necesitas ser Chema Alonso para aportar
positivamente a la seguridad de tu empresa!
holiiii

Gracias!

TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido

Similar to TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido (20)

More from Francisco Javier Barrena

More from Francisco Javier Barrena (8)

Recently uploaded

Recently uploaded (11)

TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido