¿Te preocupa que tus datos personales los tenga la CIA, el FBI y Putin?
¿Te has cambiado tu Huawei por que le pasa la biometría de tu cara al gobierno Chino?
¿Pasas de Chrome en favor de Brave por que te preocupa tu privacidad?
¿Pagas 20 pavos al mes por usar una VPN privada que difumine tu rastro por la red?
¿Crees que Trump hace muy bien baneando TikTok de los USA?
Pues igual deberías empezar a preocuparte también por la privacidad de otras cosas que te interesan… como tus servidores, por ejemplo.
En esta charla repasaremos las técnicas de extracción de datos más bizarras que hemos encontrado, y veremos cómo ninguno de nosotros, ni de nuestros servidores, está a salvo de la automatización.
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
1. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Técnicas osint que te dejarán con el papo torcido
2. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Who’s that guy
• Security Advocate & Software Architect en @ITI_TIC
• Actualmente en proyectos de investigación de
ciberseguridad en entornos cloud y detección basada en
Machine Learning
• +10 años con proyectos comerciales
• Cybersecurity, Big Data, Machine Learning, Cloud
Computing…
• Consejero Técnico en www.onlyeco.com
• Buscador de viajes eco-sostenibles
• Formador y ponente
• +60 cursos y charlas
https://www.linkedin.com/in/fjbarrena
https://twitter.com/DogDeveloper
https://github.com/fjbarrena
https://www.slideshare.net/fjbarrena
4. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
qué es osint y por que debería importarme?
• OSINT === Open Source Intelligence
• Conjunto de técnicas y herramientas para recopilar información
pública, correlacionar los datos y procesarlos
• Aplicar análisis e inteligencia (a veces, artificial) a una gran
cantidad de información públicamente accesible en Internet
con el objetivo de extraer conclusiones útiles para una
investigación
5. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Las dos caras de osint
• Investigación
forense
• Estudios (buenos)
de Marketing
• Defensa
• Investigación
(construcción de
corpus de datos)
• Estudios
estadísticos
• Etc…
• Ciberdelincuencia
• Extorsión
• Bullying
• Fraude
• Acoso sexual
• Acoso laboral
• Etc…
6. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Dosint
• Las cosas se ponen peor con el Dark OSINT
• Término pendiente de patente :D
• Ciber-delincuentes de todo el mundo tienen especial interés
en la obtención de datos personales que no están accesibles
en la internet pública
• Estos datos se obtienen a través de Data Leaks
• Aprovechan vulnerabilidades de la infraestructura, el software o las
personas para robar esos datos
7. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Data leaks
https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html
2013 – Octubre
153 millones de cuentas
2.1 millones de $ en
sanciones
2016 – Octubre
412.2 millones de
cuentas
¡20 años de datos!
Las contraseñas estaban
escriptadas con SHA-1
2019 – Mayo
137 millones de cuentas
4 millones de cuentas
siguen sin cambiar la
contraseña
2012 y 2016
165 millones de cuentas
Fue la misma persona que se
coló en MySpace en 2013
2019 – Septiembre
218 millones de cuentas
Información de users y
relación con Facebook IDs
9. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Data lics (en español)
2020
Inyección de código en
librería desarrollada por
Inbeta Technologies
(proveedor externo)
Potencialmente dio
acceso a datos personales
de cualquier cliente
Denuncia de FACUA por
incumplimiento de RGPD
10. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Dosint
• Estos datos van a parar a la Dark Web
• Donde son vendidos al mejor postor
• O directamente compartidos gratuitamente entre delincuentes
• Los datos se suelen usar para:
• Construir perfiles falsos, pero con datos reales, para cometer fraude
(scamming)
• Obtener contraseñas y correos electrónicos, y probar esa combinación
en muchas plataformas
• Dependiendo de los datos, extorsión directamente
• Etc.
12. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Dosint
• Así ya no es solo lo que las personas suban a la ClearNet
intencionadamente…
• … también es aquello que depositamos en servicios de terceros
y que termina por ser robado ...
• … o la información personal en la intranet de la empresa (en la
Deep Web, en general) que es comprometida …
• Y no se salva nadie, ni siquiera organismos oficiales
13. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
• +600 agencias de seguridad
EEUU compraron la base de
datos
• Entre 2000$ y 10000$ anuales
cuesta la licencia
• La recolección de datos está
expresamente prohibida en los
términos y condiciones de las
redes sociales, pero una
reciente sentencia lo declara
legítimo (en EEUU)
“osint” institucional
14. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
• Base de datos de fotos y
nombres asociados
• Catalogados
• Ofrecen un motor de
reconocimiento facial asociado
al producto, con un grado de
fiabilidad muchos órdenes de
magnitud superiores a los de
la propia policía.
“osint” institucional
17. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
scammers
https://www.elconfidencial.com/espana/2020-03-01/chiringuitos-financieros-fraude-inversion-criptomonedas_2475391/
20. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
insecam
• Solo cámaras sin contraseña
• No han hackeado nada
• Solo han recolectado…
• Filtradas, solo muestran cámaras que no invaden la vida privada de
nadie
• Pero eventualmente las hay…
• Eliminan todas las cámaras que cualquiera les dice que la eliminen
• Sin preguntas
• Inmediatamente
• Han cosechado esta cantidad de información
• Sin esfuerzo
• Sin ningún objetivo
• Automáticamente
25. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
MalA, osint malA
• OSINT no es ni malo ni bueno
• Es una herramienta que se puede utilizar para el bien, o para el
mal
• Hay líneas de investigación en las cuales se emplean técnicas
OSINT para proteger mejor una infraestructura
• También son técnicas muy poderosas para el esclarecimiento
de delitos
• Pero si que debe hacernos reflexionar acerca de la seguridad y
la privacidad en la red
27. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Cómo de fácil es usarlo?
28. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Pues depende…
• Para usar OSINT solo hay que tener un poco de motivación
• Si eres…
• Persona no-técnica
• Puede que te frustres un poco, porque hay muchas herramientas que no entenderás
cómo se usan
• Si tienes un poco de paciencia, encontrarás algunas muy sencillas de usar que
generalmente te valdrán para hacer tus maldades. Por que si estás buscando esto, y no
tienes background técnico, es para hacer el mal…
• Persona técnica
• Tendrás algunas dificultades en herramientas sin actualizar, pero podrás hacer bastantes
cosas
• Developah
• Encontrarás muchas menos dificultades, la mayoría de ellas las podrás subsanar y
aprenderás rápido que un gran poder conlleva una gran responsabilidad
• Si pilotas Python, pues más fácil todavía
29. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Tipos de herramientas
• Las que se basan en APIs
• Utilizan las APIs legítimas de las plataformas
• Por tanto, se supeditan a las configuraciones de privacidad de las
mismas
• También tienen límites (peticiones máximas por unidad de tiempo,
etc.)
• Son estables mientras las APIs son estables…
• Requieren el uso de API Keys, Tokens, etc.
• Es decir, que se sabe quién está buscando qué
• Las que se basan en crawlers/scrappers
• Scrappean las plataformas y obtienen datos out-of-the-box
• Más inestables, si el código HTML cambia, el scrapper peta
• Bien tiradas, pueden saltarse incluso restricciones de privacidad…
33. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
sherlock
• Scrapper – No usa APIs
• Le das un user, y te saca todo lo que encuentre en Internet
• Ejecutar un script de Python tan “complejo” como este
• Muy interesante para tener un listado de fuentes de las que
rascar con otras herramientas
https://sherlock-project.github.io/
34. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
sherlock
• 3 formas de instalarlo
Clónate el repo tú misma
y móntatelo a tu rollo
Instálate en un ordenador
viejuno Kali Linux
¡Trinca un Docker y a
correr que la vida es corta!
35. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
sherlock
• Más fácil todavía… usa Google Cloud Shell y ya está…
36. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
i know you
• Mixto Scrapper – APIs
• Open Source
• Integra muchas herramientas
• Sherlock
• FullContact
• PeopleDataLabs
• Have I Been Pwned
• EmailRep
• LeakLookup
• Etc…
• Configurable para que busque en la Dark Web
• Y además la interfaz CHANA MOGOLLÓN
40. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Pero vamos a lo que nos interesa
• ¡¡ Somos geeks, freaks, techs !!
• Las personas no nos importan…
• Nos importan las máquinas!!
• Les ponemos nombre
• Les cogemos cariño
• Nunca nos fallan
• Y si lo hacen, casi siempre es por nuestra culpa
• Así que debemos protegerlas!!
42. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
La botmenaza
• Clásicamente las amenazas eran en
tiempo humano
• Ahora son en tiempo máquina
• Existen ”entes” que construyen bots
que se dedican a atacar servidores
• No se cansan
• No se rinden
• Sin clemencia
• Claramente, un gran porcentaje de
esos ataques son detectados
• ¿Pero que ocurre con una PYME?
• ¿Qué ocurre con los pequeños?
43. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Spear hacking and apts
• Por supuesto, siguen existiendo ataques especializados y
dirigidos específicamente contra una organización
• Estos son de los más peligrosos
• También existen acciones de ciberguerra, perpetrados por
APTs (Advanced Persistent Threat)
• No solo ciberguerra, también otros intereses
• Son Avanzadas, Dirigidas, Persistentes y en continuo cambio
• Los objetivos de las APTs son
• Robar información
• Provocar dañor o TERROR
• Beneficio económico
44. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Spear hacking and apts
• Los grupos de técnicos que forman una APT suelen ser estables, y
son reconocibles
• De hecho, hay una clasificación de grupos de APTs, por ejemplo:
Fancy Bear – APT28
Operativo desde 2007
Vinculados a Rusia
45. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Charla relacionada recomendada
https://www.youtube.com/watch?v=9wfMx_z1GW8
https://twitter.com/Martixx
46. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Y que pinta osint en todo esto?
• Parte de estos ataques se articulan a través de herramientas
OSINT
48. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
shodan
• Los ataques que sufren las empresas ya no son en tiempo
humano
• Son en tiempo máquina
• Y para eso es necesario contar con herramientas que permitan
automatizar los ataques
• Shodan es una de ellas, básicamente trinca toda máquina que
esté expuesta a Internet y la indexa en su buscador
• La analiza al máximo y, si tienes el plan de pago, te dice qué
vulnerabilidades puedes explotar
• Con un código universal de referencia
• Tiene una API con la que puedes automatizar el proceso
• Si tu máquina es visible en Internet, está en Shodan
51. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Cve
• Common Vulnerabilities Exposures
• Lista pública de entradas identificadas unívocamente de
vulnerabilidades conocidas
52. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Cve
• Con enlaces hacia ejemplos de exploits y explicaciones del
fallo de seguridad
54. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Cerremos el círculo
• Tengo una lista de vulnerabilidades
conocidas y pública (CVE)
• En esa lista puedo buscar por
tecnología
• Por otra parte, en Shodan puedo
saber qué servidores del mundo
están funcionando con una
determinada tecnología
• Así que puedo correlacionar
vulnerabilidades con máquinas
reales con un chasquido de dedos
55. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Cerremos el círculo
• Pero es que hay más
• En Shodan puedo buscar todos los
servidores del mundo que tengan
una determinada vulnerabilidad
• Puedo buscar por CVE
• Puedo desarrollar un exploit para
ese CVE, y lanzarlo
automáticamente para todos los
resultado de Shodan
60. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Y es que no hace falta ser juanker
• Sencillamente, no les hace falta
• Se aprovechan de una falta de protección o de una
vulnerabilidad conocida no parcheada
• Y es que ser hacker …
• No es estrictamente necesario
• Y además es muy difícil
• Es mucho más sencillo curiosear un sistema y, en base a tus
conocimientos, tratar de salirte del cauce habitual
• Bueno, o puedes ser una scriptkid, que entonces ya no
necesitas ni base… solo lanzar cosas con Kali Linux a ver que
pasa
61. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
La cultura de ciberseguridad debe mejorar
• Las amenazas son cada vez más frecuentes
• Los botines son cada vez más suculentos
• Los ataques son cada vez más sofisticados
• Y tienen más éxito
• ¿Y cómo siguen siendo …
• la seguridad en infraestructuras?
• las tecnologías subyacentes?
• el desarrollo de software?
• la gestión de las dependencias?
• la respuesta a incidentes?
• la actitud de la dirección de las empresas?
63. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
MANTENER nuestras infraestructuras mejor
• Reduce la superficie de ataque
• Cierra puertos innecesarios
• Ten una política de contraseñas
• No utilices la misma contraseña para todo
• Desinstala software innecesario
• Actualiza tu sistema operativo con frecuencia
• Mantente al tanto de las nuevas vulnerabilidades
• Monitoriza tus infraestructuras
• Implanta un SIEM
• Cuida tu red. Segméntala.
64. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Desarrollar software mejor
• No podemos seguir ignorando la seguridad en el desarrollo de
las aplicaciones
• Tenemos que andar al mismo camino que hicimos con el
testing unitario, TDD, etc.
• Shift Security Left
• Análisis de vulnerabilidades en el código
• Convertir DevOps en DevSecOps
• Ownership
• La seguridad no es cosa “de sistemas” o de una empresa externa que
viene a hacerte un pentesting una vez al año
• La seguridad es COSA TUYA TAMBIÉN
• Devs debemos asumir nuestra responsabilidad
65. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Desarrollar software mejor
• No podemos seguir ignorando la seguridad en el desarrollo de
las aplicaciones
• Tenemos que andar al mismo camino que hicimos con el
testing unitario, TDD, etc.
• Shift Security Left
• Análisis de vulnerabilidades en el código
• Convertir DevOps en DevSecOps
• Ownership
• La seguridad no es cosa “de sistemas” o de una empresa externa que
viene a hacerte un pentesting una vez al año
• La seguridad es COSA TUYA TAMBIÉN
• Devs debemos asumir nuestra responsabilidad
66. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
usa osint para tu beneficio
• Adelántate a los malos
• Usa sus mismas herramientas para saber qué información
ofreces al exterior
• Integra esa información en tu ciclo de DevSecOps y actúa en
consecuencia
• Ahora que lo sabes, engaña a los malos
• Diles que usas Express cuando en realidad estás usando Tomcat
• Troléales un rato
• Si te fastidian, al menos hazles sudar la gota gorda
67. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Agravante: nuevos paradigmas
• La defensa clásica se ha basado en ofrecer los puntos de
exposición justos para reducir superficie de ataque
• Al mismo tiempo, los desarrollos eran monolíticos, por lo que
eran más fáciles de proteger
• Solo hay que actualizar un SO, servidor, etc…
• Solo hay que proteger los puertos de una máquina
• Escaso tráfico de red, todo ocurre dentro del programa
• Stacks tecnológicos estables en el tiempo
• La adopción del cloud genera nuevos retos
• Hemos pasado de defender esto:
68. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
Hemos pasado de defender esto
70. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
incluir elementos de seguridad en arquitecturas
• ¿Cuántas soluciones software que ofrecéis contienen
elementos específicos de seguridad?
• Web Application Firewall (WAF)?
• Intrusion Detection System (IDS)?
• Identity Management System?
• Monitorización específica de seguridad?
• User Behaviour Analytics (UBA)?
• Etc…
• Developers y architects deben empezar a proponer elementos
específicos de seguridad para sus aplicaciones, y no dejar la
pelota siempre en el tejado de sistemas
71. Francisco Javier Barrena Castillo - @DogDeveloper#TotoConf #PapoTorcido
fórmate un poquito cada dia
• Ya seas developer, sysadmin, architect o tester,
tienes algo que aprender y que aplicar en tu día
a día
• Pide a tus responsables que inviertan en
formación para mejorar la seguridad de vuestras
aplicaciones
• Si tienes el dedo sobre el botón, ¿a qué esperas?
• Asiste a charlas y eventos como éste ;)
• ¡No necesitas ser Chema Alonso para aportar
positivamente a la seguridad de tu empresa!
holiiii