jueves, noviembre 22, 2018

Dirty Business Card ¿Cuánto de "sucia" está tu tarjeta de visita?

Durante el último año, después del escándalo de Cambridge Analytica, estuve prestándole especial atención a las pequeñas fugas de información que se producen en las aplicaciones web de los servicios en Internet que pueden revelar de forma directa o indirecta algún dato o "insight" sobre las personas. Estos pequeños info-leaks pueden ser verdaderamente peligrosos si se utilizan para perfilar, dentro de algoritmos de Machine-Learning, a gente que utiliza un determinado servicio, o a una persona por utilizar un servicio.

Figura 1: Dirty Business Card ¿Cuánto de "sucia" está tu tarjeta de visita?

Las fugas de información pueden ser grandes, o muy pequeñas, algunas como la del terminal móvil que tiene una persona, y que se obtiene fácilmente del sistema de recuperación de contraseñas de Google, otros como los que se producen en servicios online en el proceso de creación de una cuenta por no haberlo hecho de forma correcta, tal y como os contaba en este artículo de: "Cómo evitar fugas de información en la creación y recuperación de cuentas que pueda utilizar cualquier Cambridge Analytica hoy en día". Ahí es nada con el título del post.

Figura 2: Info-leak del terminal móvil asociado a una cuenta de Google

Con la idea de concienciar a los desarrolladores de estos problemas, di una charla en la Dot.Net Conference Madrid 2018 explicando cómo uno de estos pequeños info-leaks se podría weaponizar y convertir en un autentico problema para las personas, ya que algunas de estos fugas de información podrían apuntar a su vida personal, como el caso de las redes sociales de contactos adultos Follamigos o Grindr.


Figura 3: Info-leaks en tiempos de Cambridge Analytica

Para explicar mucho mejor el concepto a los asistentes del Security Innovation Day 2018, construimos en el equipo de Ideas Locas de CDO una herramienta muy sencilla que se llama Dirty Business Card Reader. Algo que aparentemente es un acto social en el mundo de los negocios muy común, puede convertirse en un autentico perfilado de la persona que entrega la tarjeta a partir de los info-leaks de cuentas. En este vídeo tenéis un pequeño ejemplo de su funcionamiento con datos inventados.


Figura 4: Dirty Business Card Reader

La idea es que, utilizando los daos de la tarjeta de visita, Dirty Business Card, busca a ver en qué sitios que tienen un info-leak, esta persona se ha sacado una cuenta que tiene asociado a su número de teléfono o su dirección de correo electrónico. Por supuesto, integramos búsquedas en servicios de leaks de cuentas como Have I been Pwnd, Pastebin o similares.

Figura 5: Sección del gráfico de cuentas de servicios asociado a una Business Card

Por supuesto, no necesitas tener la tarjeta de visita de una persona para hacer lo mismo, pero yo quería explicar con esta utilidad lo que para mí es una “Dirty Business Card”. Tan sencillo como una tarjeta con datos de contacto utilizados para registro de cuentas y servicios en Internet.

¿Y por qué es útil esta herramienta?

Pues porque cuando un empleado deja la empresa, los responsables de dar de baja sus cuentas – número de teléfono o dirección de e-mail – tal vez deban conocer cuánto de “sucios” se encuentran esos identificadores para proceder a su eliminación completa. O para proteger a sus empleados de ataques de ingeniería social.

Si tus trabajadores dan Dirty Business Cards a sus contactos profesionales, entonces un atacante podría conocer más a su objetivo y preparar un Watering Hole Attack, o preparar un contacto falso en un red social "especial" para sextorsionarle, o conocer su estado de salud o dónde vive por info-leaks en redes de deportistas.

Figura: El inicio y final de una ruta puede ser la vivienda de la persona

Por supuesto, también es útil en sistema de ciberinteligencia, y por eso estamos trabajando para incluirla dentro de OSR-Framework de Felix y Yaiza que está dentro de Kali Linux, para dotar de más capacidades a la herramienta – que por defecto ya trae muchas capacidades de investigación de cuentas utilizando otras técnicas -.


Figura: OSRFramework de Yaiza Rubio y Felix Brezo

En breve liberaremos tanto la integración con OSR-Framework como una herramienta de escritorio escrita en Electron para usarla en proyectos de Ethical Hacking. Eso sí, que no deba recordarte que los datos que van en tu tarjeta de visita deben estar limpios, limpios.

Saludos Malignos!

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares