lunes, noviembre 18, 2019

Ideas locas en HoneyCON: Metasploit, Dirty Business Card & Air Profiling (1 de 2)

Llegó la semana del 4 de noviembre y llegó la V Edición de Honey CON. Decir 5 años es decir palabras mayores. Es un hito en todo congreso y la gente de Honey lo celebrarían por todo lo alto. Su propuesta fue hacer que durase nada más y nada menos que seis días el congreso. Del lunes 4 al sábado 9 de noviembre, y ahí estuvimos nosotros para participar en la agenda.

Figura 1: Ideas locas en HoneyCON: Metasploit, Dirty Business Card & Air Profiling
(1 de 2)

El viernes 8 de noviembre tenía una charla sobre los proyectos que hacíamos en el departamento de Ideas Locas del área CDO de Telefónica. El título de la charla era el de “Pequeñas locas ideas: Air Profiling & Dirty Business Card” y quería mostrar cómo surgieron estos proyectos, cómo se fueron realizando, dónde pueden llegar y ejemplificarlas para que los asistentes vieran la prueba de concepto.

HoneyCON: Metasploit, Dirty Business Card & Air Profiling

Además, el sábado 9 de noviembre tenía un taller sobre "pivoting" de 2 horas. En un entorno distendido estuvimos practicando los saltos y el uso de máquinas a través de diferentes formas de pivotar. Ya he hablado alguna que otra vez sobre esto en artículos como “¡Salta conmigo! Metasploit, Meterpreter, SSH, Port-Forwarding, Túneles & Exploits” y "¡Seguimos saltando! Metasploit Port-Forwarding".

Figura 2: Libro de Metasploit para pentesters 4ª Edición y
Hacking con Metasploit: Advanced Pentesting de 0xWord

El objetivo de ambos proyectos es el de crear inteligencia a partir del análisis y relación de datos obtenidos de diferentes fuentes. A continuación, vamos a describir los dos proyectos que fueron la parte importante en el devenir de la charla.

En primer lugar: Business Card

La primera parte de la charla se dedicó al Dirty Business Card. En esta parte se explicó que el origen de datos es una simple tarjeta de visita que cualquiera puede tener en su bolsillo o que cualquiera puede entregar en una visita a una empresa o cualquier sitio.

Figura 3: Demo de lectura vía OCR de tarjetas de visita

Tras mostrar una tarjeta de visita, a modo de ejemplo, y explicar que con la versión móvil se podría tomar una imagen o foto de la tarjeta de visita y el motor OCR de Dirty Business Card podría reconocer el nombre, el teléfono, el nombre de usuario y el email. Estos son los 4 datos de entrada para el sistema y empezar a aplicar los módulos OSINT de búsqueda y relación de datos.

¿Qué objetivo nos marcamos con el proyecto a priori? 

La idea era clara, sacar el máximo de información a través de estos 4 datos de entrada. Podemos enumerar, si profundizamos un poco más, lo que queremos sacar:
1. Cualquier dato directo relacionado con lo que expone tu tarjeta. 
2. Gustos a través del descubrimiento de otros datos. 
3. Hábitos a través del descubrimiento de relaciones y datos. 
4. Información/Leaks relacionados con una persona. 
5. ¿Cosas que no quieres que se sepan?
Cuando se creó Dirty Business Card, se pensó en un modelo modular que sea fácilmente escalable y que tuviera independencia en la ejecución de otros módulos.

Figura 4: Algunos módulos de Dirty Business Card

Que cada módulo se lanzara por separado y, si alguno tuviera dependencia de otros, reducir el tiempo de ejecución de todos lo máximo posible. Y así estamos haciendo crecer el proyecto.

¿Qué podemos sacar con el nombre de una persona que aparece en una tarjeta de visita?
1. Obtener datos sobre tu persona que hay en Internet.
Estudios
2. Redes sociales.
Instagram  
Follamigos
3. Relacionar teléfonos. 
4. Direcciones físicas. 
5. Trabajos anteriores. 
6. Y más cosas.
¿Qué podemos sacar con el número de teléfono de una persona que aparece en una tarjeta de visita?
1. Obtener información de tu operador. 
2. Última portabilidad. 
3. Quién es el propietario del número. 
4. Tu alta en algunas plataformas y redes sociales. 
5. Y más cosas
¿Qué podemos sacar con el correo electrónico que aparece en una tarjeta de visita?
1. Saber dónde estás dado de alta. 
2. Saber si tu contraseña está en alguna brecha de seguridad. 
3. Conocer tu contraseña si ésta está en alguna brecha. 
4. Conocer otros emails tuyos. 
5. Saber si estás en sitios que no quisieras que se supiesen. 
6. Y más cosas.
¿Y con el usuario? 

Saber si estás dado de alto en plataforma/redes sociales, relacionar otras identidades contigo, etcétera.  De esto, ya hablaron mucho Yaiza RubioFelix Brezo con su OSR-Framewok.


Figura 5: Charla de Yaiza Rubio y Felix Brezo sobre OSR-Framework

A muchos le pudo sorprender todas las acciones y situaciones que se pueden dar en la red y que pueden ser obtenidas a través de los datos de la tarjeta de visita. Tras esto llegó el momento de la demo. 


Figura 6: Ejemplo de Dirty Business Card

Mi compañero Lucas se ofreció para que hiciéramos parte de la demo con sus datos. Su nombre y su usuario fueron utilizados, junto a un número de teléfono y un email ficticio. Los 19 módulos de los que consta Dirty Business Card empezaron a trabajar y empezamos a ver un timeline de los estudios, de los trabajos, de sus fugas de identidades digitales, de sitios que había visitado recientemente, y no tan recientemente, sus redes sociales, dónde no tenía redes sociales, algunos hábitos, etcétera.


Figura 7: CodeTalk de Dirty Business Card

Para que veáis algo parecido, el propio Lucas lo cuenta en el Code Talk de Dirty Business Card que se hizo recientemente. Y como curiosidad, si vais a ver alguna charla de nuestro amigo Kevin Mitnick, seguramente encontréis esta demo en su presentación. Y ya puedes leer aquí la segunda y última parte de este artículo.

Referencias:

- Dirty Business Card: ¿Cuánto de sucia está tu tarjeta de visita?
- The Dirt: Dirty Business Card Curricula Module
- El "leak del login" y de "Recuperar la contraseña"
- Tu tarjeta de visita filtra tu Instagram... o viceversa
- Un leak en people que weaponiza tu leaks y publica tu teléfono en Internet
- CodeTalk for Developers: Dirty Business Card

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

No hay comentarios:

Entrada destacada

Mi nueva vida como CDCO (Chief Digital Consumer Officer)

Hace tres años y medio, cuando me convirtieron en CDO de Telefónica , se montó un lío en los medios que me pilló totalmente por sorpresa....

Entradas populares