martes, abril 19, 2016

Pablo Iglesias tiene más dispositivos que yo o algún Community Manager le pone algún tweet

No busquéis en este post de hoy ningún tipo de interés en mediatizar en la compleja situación política de nuestro país y quédese nada más el lector con que el personaje elegido tiene los requisitos necesarios para poder ejemplarizar la pequeña historia que os voy a narrar sobre lo que llamamos internamente en Eleven Paths el "Social Faast", o lo que es lo mismo, una plataforma para hacer pentesting persistente a las personas que trabajan en una organización para ver si tenían el nivel de protección personal necesaria para mantener el nivel de "Ressiliance" en una empresa dentro de unos términos aceptables.

Figura 1: Pablo Iglesias tiene más dispositivos que yo o
algún Community Manager le pone algún tweet

Dentro de esta iniciativia, el objetivo es sacar partido de lo  fácil que es localizar a través de las redes sociales los puntos de exposición de los empleados de una compañía. Esto, que parece una perogrullada puede llevarse a puntos muy curiosos. Desde utilizar las cuentas de correo electrónico descubiertas de los empleados para hacer ataques de Spear Phishing o Spear Apps, hasta localizar los números de teléfono en los directorios de la empresa para sacar sus cuentas de Facebook, Twitter o demás servicios o ver cómo robar las cuentas en base a robos de SMS con ataques Software Defined Radio de personas clave en la empresa. O robarles las cuentas personales de Facebook por las preguntas secretas. En un APT todo vale.

También es posible saber dónde está una persona por los metadatos GPS que quedan en sus Tweets o por las fugas de información de metadatos que quedan publicadas en sitios como Flickr. O saber si está despierto o dormido por cuándo está activo en WhatsApp o en Telegram. También es posible localizar si los correos electrónicos están en otras redes sociales y si han sido hackeados en algún momento, crear una base de datos OSINT con los estados de WhatsApp o conocer la información del dispositivo por las firmas de sus mensajes en Twitter.

Figura 2: Geoposicionamiento de Steve Wozniak por la información GPS de sus tweets

Es de este punto en concreto de lo que quería hablar hoy. De las firmas de los dispositivos que se quedan en los mensajes de Twitter. Cuando publicas un Tweet queda registrado el dispositivo que has utilizado para hacerlo. En mi caso, si revisas mis mensajes de Twitter - hacedlo que desde ayer estoy verificado por Twitter }:) - veréis que suelo hacerlo desde Twitter for Mac para las publicaciones de los Twitts que anuncian los posts del blog, Twitter for iPhone cuando respondo a algo "on my way" o "Twitter Web Client" cuando estoy sentado trabajando y contesto cosas. Es fácil con estos ingredientes conocer mucho de las rutinas de una persona. 

Figura 3: Twitt escrito desde Twitter for Mac (visualizado desde Tweetdeck)

Esta información puede ser peligrosa si estás haciendo una campaña promocionada por un fabricante, como ya le paso a HTC que había hecho las fotos con iPhone o al propio Iker Casillas que promocionó su Samsung Galaxy usando Twitter for iPhone, algo que podéis comprobar en todos sus tweets. Iker es de iPhone.

Figura 4: El twitt de Iker promocionando Samsung desde un iPhone
(Visto desde Tweetdeck)

Aprovechando que descubrí que en Twitter hay búsquedas avanzadas para localizar por las firmas de dispositivos, decidí que sería una buena opción buscar en el time-line de alguna personalidad pública información de los dispositivos que utiliza. Elegí a Pablo Iglesias (@pablo_iglesias_) porque el uso que da su grupo político a las redes sociales es muy activo, y pensé que podrían ser varias las personas que manejan las cuentas de sus líderes, algo común, como ya vimos en el pasado con Rosa Díez

Figura 5: Pablo Iglesias enviando mensajes desde "Twitter for Windows"

El caso es que la búsqueda que hay que hacer desde cada cliente de Twitter es tan sencilla como from:Cuenta_de_Twitter source:"firma_de_cliente_Twitter". En la lista de firmas de Twitter que puedes probar están las siguientes (y si conoces alguna más pásamela y la añado a la lista):
  • Twitter Web Client
  • Twitter for Mac
  • Twitter for Windows
  • Twitter for Android
  • Twitter for iPhone
  • Tweetdeck
  • Buffer
  • IFTTT
  • twitterrific
  • Sprinklr
  • Radiant 6 -Social Media Management
Los resultados obtenidos con la cuenta Twitter de Pablo Iglesias, como se puede ver, son muy variados en cuanto a dispositivos, pero si miramos los contenidos de los mensajes, podemos ver que los más personales son los que se envían desde Twitter for iPhone y Twitter for iPad - el que dan a los diputados -.  Esa sería mi apuesta para saber cuándo escribe él y cuándo un Community Manager, pero podría ser que Pablo Iglesias tenga más dispositivos que yo.

Figura 6: Twitts de Pablo Iglesias desde iPhone, iPad, Android, TweetDeck y Web Client

Automatizar el descubrimiento del dispositivo personal se podría hacer con un análisis NPL (Procesamiento del Lenguaje Natural) que sacara metadatos de las emociones de los mismos. Teniendo esta información, se podría saber a quién de los que están twitteando hay que atacar en un escenario de APT. A lo mejor es más fácil engañar al Community Manager.


Figura 7: Configuración del Spout de Twitter para Sinfonier que permite procesar time-lines

El procesado del time-line de Twitter se puede hacer con una topología Sinfonier - similar a la que hicimos en para desenmascarar perfiles ocultos en Twitter - con la que se podría detectar en todo momento cuándo el que está twitteando es un Community Manager y cuando la autentica personalidad, sacar estadísticas, etcétera. Haciendo esta detección, se podría también hacer un cliente Twitter que eliminara, por ejemplo, los mensajes de aquellas personalidades a las que sigues que han sido inyectados por un Community Manager, y así evitar el posible spam. Al final, tú decides para que quieras la información.

Saludos Malignos!

8 comentarios:

  1. Está claro que la mayoría de personajes públicos (politicos, actores, actrices, deportistas) tienen sus community manager. Y espero que así siga siendo. ¡Tienen que dedicarse a trabajar y no a las redes sociales! ¡Y eso crea trabajo!

    Como siempre, Grande Chema!

    ResponderEliminar
  2. Buenas! Yo no uso twitter, no se puede desactivar la opción de los dispositivos? Así para hacer la detección solo quedaría analizar el contenido de los twits y supongo que eso tendrá un gran margen de error en caso de que se escriban twits muy neutros y solo de vez en cuando algo personal, por lo que sería dificil identificar la existencia de un manager, no?

    ResponderEliminar
  3. Muy bueno el artículo. Como siempre, grande, Chema.

    ResponderEliminar
  4. En el artículo enlazado aparece como source: twitterfeed. (Espero no estar metiendo la pata, pero si la meto, algo aprenderé jeje)

    Buen artículo!

    ResponderEliminar
  5. me funciona esas busquedas con algunas cuentas, he probado con mi cuenta y no da resultados y asi con otras

    ResponderEliminar
  6. C's también usa mucho las redes sociales, y PP y PSOE están muy 'on fire' últimamente. El poner a Pablo Iglesias puede tener un fin más allá del que comentas.

    ResponderEliminar
  7. Otra de las firmas de clientes de twitter: "gremln". Uno de los pocos que quedan que permiten automatizar tweets recurrentes.

    ResponderEliminar