miércoles, mayo 25, 2016

OSINT Framework: Dónde buscar datos de tus objetivos

Hace unos meses llevé a cabo una pequeña investigación dónde pude observar lo fácil que sería para los malos aprovecharse de las fuentes abiertas para tomar el control de máquinas, a través de la explotación de vulnerabilidades conocidas. Con ello hice la charla de "Cómo los malos pueden conquistar el mundo". ¿Cómo obtener la relación vulnerabilidad – máquina? Fácil, el secreto está en la disciplina OSINT (Open Source INTelligence).

Figura 1: OSINT Framework {Dónde buscar datos de tus objetivos}

Fuentes como scans.io proporcionan los resultados de escaneos semanales a diferentes puertos en todo el espacio de direccionamiento IPv4, por lo que si conocemos vulnerabilidades de ciertas versiones de software, tenemos toda la información necesaria y cruzada. Nuestros compañeros Rafa y Fran de Eleven Paths han creado MrLooquer, el cual es un servicio para generar inteligencia y poder realizar ataques en IPv6. Un servicio orientado al descubrimiento de direcciones IPv6 y servicios que ejecutan sobre éstas. Esto provoca que MrLooquer sea una fuente de información, la cual con un trabajo similar al realizado en mi trabajo sobre IPv6 se podrían lograr resultados sorprendentes.


Figura 2: Cómo los malos pueden conquistar el mundo

En el artículo de hoy hablaré sobre OSINT Framework. Es un recurso bastante interesante para llevar a cabo búsquedas de fuentes de información abiertas. La clasificación sobre diferentes temáticas y objetivos de la información propuesta es muy grande y puede dar muchas ideas sobre diferentes investigaciones partiendo del campo OSINT. Además, conocer los diferentes recursos que propone OSINT Framework es importante para un pentester, ya que puede involucrar OSINT Framework en la etapa de Footprinting.

Observando el árbol que OSINT Framework proporciona al usuario podemos ver cómo existe una clasificación que comienza orientada a la persona. Si pinchamos en cada nodo se desplegarán los sitios dónde se podrá acceder a la información.

Figura 3: Lugares para localizar nombres de usuarios en redes sociales

La búsqueda de usuarios, la búsqueda de direcciones de correo electrónico, direcciones IP, recursos multimedia o perfiles en redes sociales son casos típicos de OSINT. He descubierto un gran número de recursos y fuentes gracias a esta recopilación que hace OSINT Framework. Como ejemplo sencillo podemos encontrar en la categoría “Email Address”, la rama Breach Data. Aquí encontramos dos recursos, aunque podríamos sumar sitios como Have I been Pwned? o ¿He sido hackeado?

Las categorías de nombres de dominio y direcciones IP proporcionan sitios dónde el usuario podrá obtener gran cantidad de información. Por ejemplo, en el caso de las direcciones IP podemos ver cómo existen fuentes de información sobre reputación, geolocalización, puertos abiertos, direccionamiento IPv4 e IPv6, incluso, mapas de redes wireless. En el caso de “Cómo los malos pueden conquistar el mundo” una fuente de información como scans.io podría encajar en la subcategoría “Open Ports” de “IP Address”.

Figura 4: Mapas de redes Wireless

En el caso de los nombres de dominio tenemos otras subcategorías interesantes y que proporciona información sobre los dominios. Por ejemplo, el Whois, todo un clásico, la reputación de los dominios, subdominios almacenados de los propios dominios, etcétera. Uno que me llama la atención es la subcategoría “vulnerabilities” dónde encontramos sitios como Shodan, Zone-H o XSSPosed.

Figura 5: Categoría de vulnerabilidades

Otra categoría que puede proporcionar mucho juego son las redes sociales. Solo con Facebook y Twitter tenemos diferentes funcionalidades y fuentes de información disponibles, en función de lo que se quiera en cada momento. Por ejemplo, en Facebook tenemos la posibilidad de buscar desde fotografías, cuentas, archivos, personas a través del directorio de personas de Facebook. En el caso de Twitter, la posibilidad de buscar patrones, usuarios, localizaciones y geolocalizaciones, etcétera, hacen que se pueda extraer gran cantidad de información a través de estos sitios.

Figura 6: Información que se puede sacar a partir de Facebook

La parte inferior del árbol clasifica las fuentes de información más orientada a contenidos no personales. En otras palabras, podemos encontrar fuentes de información orientadas a vulnerabilidades, OpSec, análisis de malware, análisis de código, metadatos - como MetaShield Analyzer -, foros o máquinas del tiempo como Archive.

Figura 7: Reconocimiento de frameworks

Al ver la parte de “Exploits & Advisories” me vino a la mente la parte para localizar exploits públicos con la que tuve que trabajar en “Cómo los malos pueden conquistar el mundo”. La categoría “Code Search” presenta sitios que permiten realizar búsquedas en millones de líneas de código, pudiendo realizar búsquedas de código de empresas, proyectos, funciones inseguras como hacía OSB Rastreator o Gitrob. Gitrob se encuentra entre las herramientas que se recomienda en “Code Search”.

Figura 8: En exploit & Advisories tienes los CVEs documentados. Entre ellos CVE Details

Otra categoría realmente interesante y que puede ayudar a muchos a lograr encauzar investigaciones interesantes es la de “Malicious File Analysis”. Existen cuatro subcategorías como son las fuentes de análisis de host automatizado, ficheros ofimáticos - donde se puede utilizar MetaShield Analyzer -, PDFs o PCAPs con sitios tipo Immunity Stalker.

Figura 9: Análisis de documentos

Como se refleja en el sitio web de OSINT Framewor,k el mundo de Open Source INTelligence es muy grande, y realmente podemos tener fuentes abiertas de cualquier tipo. Lo único que importa es cómo procesemos esa información y la inteligencia que le aportemos. Esto es lo que hicimos en la construcción de nuestra querida FOCA. ¿Estás pensando en llevar algún tipo de investigación tomando como punto de partido un gran volumen de información público? Ya sabes dónde tienes que buscar información.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking" y “Pentesting con Powershell

No hay comentarios:

Publicar un comentario