martes, marzo 26, 2019

The Dirt: Dirty Business Card Reader Curricula Module

Hace un tiempo habló Chema Alonso en este blog del proyecto del equipo de Ideas Locas llamado Dirty Business Card y de cómo sacar información pública en Internet a partir de una tarjeta de visita usando OSINT y algún info-leak. A día dese  sigue dotando a la herramienta de nueva funcionalidad, y como ya es por todos hacer un poco de Hacking con Buscadores permite extraer información con gran facilidad.

Figura 1: The Dirty: Dirty Business Card Reader Curricula Module

En el artículo de hoy os vengo a hablar de cómo estamos dotando a Dirty Business Card de la capacidad de conseguir el currículo de aquellas personas que lo tengan público en la red usando Google. Estas mismas técnicas se pueden - y se deberían - aplicar también usando otros buscadores como Bing o DuckDuckGo.

Figura 2: Libro Hacking con Buscadores 3ª Edición.
Un auténtico clásico para entender OSINT


El proyecto de Dirty Business Card ya cuenta con la búsqueda de información estructura de los curricula usando LinkedIN, pero en este caso queríamos ir a la búsqueda no estructurada de CV que se haya creado en documentos ofimáticos.

Google Hacking para búsqueda de Curricula

Encontrar un Curriculum Vitae nos puede ayudar a encontrar información muy relevante acerca de una persona, como su número de teléfono, su dirección de e-mail personal o dirección postal de residencia. Para llevar a cabo esta tarea, utilizaremos algo de Google Dorks. En la red tenemos muchos idiomas, y como hablamos de información no estructurada, cada CV puede contener un formato diferente, y como es lógico las palabras clave a buscar cambiaran. Veamos un ejemplo en inglés y español.

Ejemplo de búsqueda en inglés

“phone * * *” “address *” “e-mail” intitle:”curriculum vitae”

Como veis, tenemos más de 62.000 resultados, algunos de ellos serán falsos positivos. Muy lejos de los millones de resultados que puede tener un LinkedIN, pero puede que aparezca información muy jugosa.

Figura 3: Búsqueda de CVs en Inglés

Además, nos puede interesar buscar una determinada persona, para ello basta con añadir el nombre y/o apellido que venga en la Business Card a la búsqueda (no olvides las comillas), o filtrar por algún dato que ya tengamos como el número de teléfono o una dirección de correo electrónico.

Ejemplo de búsqueda en español

“teléfono * * *” “dirección *” “e-mail” intitle:”curriculum vitae”

En esta ocasión recibimos menos resultados, pero 18.900, que no es poco. Al igual que en el ejemplo de inglés podemos añadir los datos de la persona buscada en Dirty Business Card, a ver si hay suerte.

Figura 4: Currículos devueltos por la búsqueda

Estas búsquedas son ejemplos, es posible obtener otra consulta con más resultados (mejores o peores), todo es probar y variar la búsqueda, se puede cambiar phone por telephone, por poner un ejemplo.

Dirty Business Card Reader

La herramienta para el backend utiliza el Framework Flask (Python), para las peticiones hacemos uso de requests y para parsear los resultados beautifulsoup. En la parte frontend del proyecto se hace uso de Angular, una tecnología que utilizamos en muchos proyectos en nuestra unidad CDO.

Figura 5: Libro de desarrollo en Angular en 0xWord

El funcionamiento general de Dirty Business Card Reader ya lo habéis visto en el vídeo. Se escanea una tarjeta de visita y el sistema va buscando toda la información que se puede extraer de los datos que van en ella. Aquí tenéis un vídeo de su funcionamiento.

Figura 6: Dirty Business Card Reader

Dentro de Dirty Business Card Reader, se busca a través del nombre y apellidos por posibles CV que encuentra Google, y devolvemos un gráfico con las posibilidades (se ha limitado la información que se devuelve para este ejemplo).

Figura 7: A partir de la Business Card se han encontrado 2 CV en Google

Vemos que a través del nombre se ha encontrado el CV en Internet, y tiene dos posibles resultados. Si pasamos el ratón por encima, se puede ver la URL. Esta es la forma más visual, pero a la hora de trabajar es más fácil el acceso a formato texto, para ello tenemos los resultados en un listado (URLs editadas para eliminar información sobre la persona de ejemplo).

Figura 8: URLs de los CV encontrados

Si vistamos cualquiera de los dos enlaces obtenidos por la herramienta, podemos verificar que se trata de un CV, y que pertenece a la persona indicada (por motivos de privacidad se ha omitido). Nada rocket-science, solo más información que se extrae de tu Business Card si no tienes controlada la información que llevas en ella.

Figura 9: CV encontrado con Dirty Business Card Reader

Según el lado de donde miremos, Google puede ser nuestro mejor aliado, o convertirse en nuestro peor enemigo. Conclusión, controla lo que compartes en Internet, no dejes información sensible accesible al mundo.

¡Hasta pronto!

Autor: Josué Encinar García (@JosueEncinar), autor del blog BoomerNiX y Security Researcher en el equipo de Ideas Locas de la unidad CDO de Telefónica.

No hay comentarios:

Publicar un comentario