martes, marzo 10, 2015

Whatsapp Intelligence: Whatsapp como fuente OSINT [2 de 3]

Una vez creado el sistema descrito en la primera parte de este artículo, la siguiente fase consistía en capturar información de manera periódica que pudiera alimentar el sistema creado. Estos datos pueden permitir después, analizar en detalle la información obtenida. El objetivo es fácil de entender, si de una organización alguien es capaz de recoger todos los números de teléfono de todos los empleados y hacer una base de datos con toda la información que vierten en WhatsApp, tendríamos una base de datos OSINT que puede resultar muy útil en un esquema de APT.

Figura 10: WhatsApp Intelligence como fuente OSINT en un APT (estados y fotos)

De cara a alimentar el sistema con información constante que permitiera obtener conocimiento, el siguiente paso fue programar la ejecución periódica del script mediante un cron. Dependiendo del objetivo que se tuviese en cada caso, se podría optar por ejecutarlo con mayor o menor frecuencia, pero para este estudio decidí evaluar qué resultado obtenía registrando diariamente la información una única vez, todos los días a la 14:00 de la tarde.

Fotografías y estados para conocer la vida de una persona

Mi objetivo era contar por primera vez este trabajo en la 2ª edición de Hackron, nuestro congreso de ciberseguridad en Canarias, los días 13 y 14 de Febrero de este año (aquí puedes ver el vídeo resumen de la conferencia), por lo que desde el momento en que tuve todo listo y empecé a registrar datos, el 19 de Enero, hasta el día de la ponencia transcurrieron 26 días, casi un mes. 

En este período Whatsaspp Intelligence estuvo registrando diariamente la información de 54 usuarios de Whatsappcazados” con Whatsapp Discover, entre los que además de haber usuarios españoles, los había procedentes de otros países diferentes como México, Turquía o Estados Unidos. En lo que a imágenes de perfil se refiere, el comportamiento de los usuarios varía. Los hay como el Maligno o yo que siempre tenemos la misma foto de perfil, los hay que durante este período la modificaron 3 o 4 veces, y los hay que llegaron a tener hasta 9 imágenes distintas en estos 26 días, lo que da una media de 1 imagen de perfil nueva cada 3 días.


Figura 11: Vídeo de bug en Whatsapp web que permite capturar la foto de un contacto

El analizar constantemente el estado, la foto y los horarios de conexión de una persona, puede generar mucha información. A día de hoy, debido a los bugs explotados recientemente con la versión de Whatsapp Web es posible siempre obtener la fotografía, tal y como se explica en el vídeo de de la Figura 11 .

Con el asunto del estado hay un tema muy curioso. Mientras que un usuario puede elegir si le deja ver el estado a todo el mundo o solo a sus contactos, si la respuesta que se obtiene es un estado en blanco, entonces eso implica obligatoriamente que ha seleccionado la opción de "solo a mis contactos" y eso implica que no estamos entre ellos, ya que ningún usuario puede configurar un mensaje de estado vacío en Whatsapp.

Explotando la información para generar conocimiento

Si analizamos las imágenes en conjunto, sin discriminar por usuario, podemos apreciar algunas tendencias comunes a bote pronto. En primer lugar, no pueden faltar las famosas frases de autoayuda, que a veces los usuarios utilizan como fuente de motivación o para lanzar mensajes “cifrados” a sus allegados.

Figura 12: Citas célebres en fotos de perfil de usuarios con WhatsApp

Hay citas célebres de todo tipo, sin duda alguna una de las mejores es esa de “A los hombres de mentira les queda grande una mujer de verdad”. Si no tuviésemos más información de ese usuario, al menos ya podríamos saber que es una mujer, y que probablemente esté desilusionada con respecto a su vida sentimental o que está celebrando el día de la mujer trabajadora.

Por otro lado, a pesar de que esto se aconseje por activa y por pasiva en las recomendaciones que damos siempre acerca de seguridad y privacidad en redes sociales, sorprende ver también fotos de menores, no en cuentas de usuario de los propios menores (lo cual es inevitable) sino en la de sus padres, como en este ejemplo que se puede observar.

Figura 13: Fotos de menos de un usuario de Whatsapp

Si analizamos el resto de la información que tenemos de este usuario podemos averiguar muchísimos datos importantes sobre su vida. Así, podemos saber el nombre de la empresa en la que trabaja (la primera palabra que está ofuscada en la imagen a continuación), a qué se dedica, y también los nombres de sus hijos, los menores que aparecen en las fotos que hemos visto anteriormente echando un vistazo a la información de sus diferentes estados:

Figura 14: Estados que revelan información profesional y nombres de menores

Otros usuarios muestran en sus fotos de perfil información lugares o ubicaciones geográficas así como fotos de sus mascotas o vehículos, como podemos ver en esta imagen.

Figura 15: Imágenes de perfil que revelan lugares, mascotas o aficiones

Sin duda, analizar la información de las fotos de perfil manera global permite obtener conclusiones generales acerca de las costumbres de los usuarios, pero lo realmente interesante es analizar de manera individualizada para cada usuario la información que nos proporciona a través de la conjunción de sus fotos de perfil junto con sus estados, sobretodo para aquellos que modifican estos valores de su perfil con asiduidad.

Figura 16: Usuario con múltiples fotos que incluye su nombre en una de ellas

En la imagen que vemos sobre estas líneas, podemos ver uno de estos usuarios que entre la multitud de fotos de perfil que ha ido subiendo a lo largo de estos días, nos deja su nombre en la primera de ellas.

Figura 17: Usuario revelando sus sentimientos a base de alternar estados

Si vemos luego la información que vuelca en sus estado del perfil, podemos ver cómo alterna diferentes estados de ánimo. Frases como “I'm in love” o “Ya sé que es amor lo que siento hoy”, se suceden con otras tales como “Pues que todos coman tierra”, “voy a colgar”, o “Ahorita no me hablen”. Esta última, de hecho está sincronizada en tiempo y fecha con la siguiente imagen de perfil.

Figura 18: Imagen de perfil que coincide con estado "Ahorita no me hablen"

Por si no quedase del todo claro, este usuario ha querido mostrar por doble vía al mundo o a esa persona que le tiene el alma en vilo que en este momento no está para fiestas. Si es que ya se sabe que esto del amor y las relaciones es como una montaña rusa de emociones, así que sólo nos queda desearle suerte a nuestro amigo.

Hay muchísimos más ejemplos, de usuarios que revelan información sensible acerca de su vida privada, que no he querido incluir en este artículo por motivos evidentes. Usuarios que mencionan en sus estados nombres de personas importantes en su vida, usuarios menores cuya sucesión de fotos de perfil podría dar para un álbum fotográfico completo, así como otros que revelan a través de sus fotos ubicaciones de sus domicilios, aficiones o costumbres. Es muchísima la información valiosa que se puede extraer analizando las fotos de perfil y los estados de cada usuario.

Autor: Deepak Daswani
Sitio web: http://deepakdaswani.es
Twitter: @dipudaswani

****************************************************************************************
- Whatsapp Intelligence: Whatsapp como fuente OSINT [1 de 3]
- Whatsapp Intelligence: Whatsapp como fuente OSINT [2 de 3]
- Whatsapp Intelligence: Whatsapp como fuente OSINT [3 de 3]
****************************************************************************************

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares