domingo, 30 de octubre de 2016

Phishing a banco argentino: roban $99.000 a un cliente

 

 

El Phishing es viejo, sin embargo... Los delincuentes diseñan una página idéntica a la del banco y simulan el acceso al homebanking. Así obtienen los datos de los clientes que llegan a la web, por buscadores o a través de un mail falso confiados de que están entrando a su cuenta como lo hacen habitualmente. Luego, con esa información, desvían el dinero.

El Banco de La Pampa sufrió un caso y la justicia provincial investiga la denuncia de un cliente de la entidad bancaria quien advirtió el robo de unos $ 99.000 de su cuenta, aunque podría haber más casos.

"Estamos investigando la denuncia de un cliente de Santa Rosa por $99.000, por una maniobra defraudatoria, donde efectivamente hay un faltante de dinero en su cuenta", declaró el fiscal penal Máximo Paulucci. Podría haber otra denuncia similar en General Pico.

Lo particular de la investigación penal es que si bien se concretó el robo de dinero, no se vulneró en ningún momento la seguridad del Banco. La entidad igualmente se comprometió a devolver el dinero.

Aparentemente en este caso se copió la página del Banco, con técnicas SEO los delincuentes lograron posicionar la web falsa en las primeras posiciones de Google y confundieron al cliente, que entró con su usuario y su clave al sistema.

El caso penal investiga una supuesta suplantación de identidad a partir de la sustracción de datos personales, en el marco de delitos informáticos que están tipificados.

El sitio falso fue publicado desde Japón, aunque eso no implica que los atacantes no hayan actuado físicamente en la Argentina. Esos y otros detalles se tratarán de dilucidar en la Justicia.

Mediante un comunicado de prensa, la entidad bancaria informó que "ni la página web ni las plataformas e-banking han sufrido algún tipo de hackeo informativo". Y admitió: "Se detectaron situaciones de compromiso de datos de muy pocos de nuestros usuarios. Las áreas de Seguridad Informática del Banco y de la Red Link detectaron hechos, tratándose de intentos de fraude mediante la modalidad delictiva denominada Phishing".


Fuente: Cronista

Aprende a identificar correos fraudulentos mediante una infografía

 

Imagen de acompañamiento

El correo electrónico es una de las formas de comunicación más utilizadas para cometer fraudes. Los ciberdelincuentes lo saben y por eso lo usan como medio de difusión para sus campañas fraudulentas. Descubre cómo identificar correos maliciosos para no caer en engaños.

El email es una herramienta que muchos de nosotros utilizamos a diario para diversos fines como el intercambio de mensajes, el envío y recepción de ficheros adjuntos, registro en la mayoría de servicios online (redes sociales, tiendas virtuales, plataformas de juegos, etc.) e incluso para suscribirnos a distintos tipos de boletines de actualidad.

Este potencial también es conocido por los ciberdelincuentes, que lo utilizan en muchos casos como medio de partida para poner en circulación sus campañas fraudulentas como la de la falsa carta de certificada de Correos o la falsa factura de Endesa. Saber cómo identificar este tipo de correos fraudulentos es esencial ya que si caemos en los engaños, el impacto puede ser muy importante: pérdida de información, económica, infección de dispositivos, etc.

Muchos de los correos fraudulentos presentan una serie de características que aunque de forma individual no garantizan nada, cuando se combinan, podemos estar casi al 100% seguros de que se trata de un correo con intenciones dañinas como por ejemplo, para infectarnos con un ransomware.

En la infografía de hoy os enseñamos cuales son las principales motivaciones que mueven a estos ciberdelincuentes, cómo identificar los correos fraudulentos y en caso de hacerlo, qué hacer con ellos.

Cómo detectar correos electrónicos fraudulentos. Objetivos: Instalar malware para: Formar parte de una botnet. Secuestrar el equipo "Ransomware". Obtener información personal "Troyano". Robar información personal para: Suplantar la identidad. Finer publicitarios. Robar dinero: La mayoría de los fraudes tienen como objetivo obtener datos bancarios de los usuarios. Detección: Documentos adjuntos comprimidos o ejecutables. Mala redacción como si estuviera hecho con traductores automáticos. Enlaces falseados que apuntan a otra dirección a la que indica el texto. Información personal, solicitan excesiva información para un asunto que no requiere tanta. Comunicaciones genéricas e impersonales, raras veces indican el nombre del destinatario. Entrado el amor habitualmente chicas que sin previo contacto quieren conocerte y a los pocos mensajes se han enamorado locamente. Ofertas de trabajo para el trabajar en el extranjero con un gran sueldo, las direcciones de correo generalmente son de servicios gratuitos como Gmail. Préstamos a un interés muy bajo, las direcciones de correo también son de servicios gratuitos. Remitentes desconocidos que sin previa comunicación por otro medio se ponen en contacto. ¿Qué hacer? a la basura.

FUENTE: OSI

sábado, 29 de octubre de 2016

El Consejo de la Magistratura denunció el hackeo al Poder Judicial

 

La denuncia fue realizada por el presidente del órgano judicial, Miguel Piedecasas. El ataque afectó los sistemas informáticos. La Corte exhortó al Consejo para que adopte urgentes medidas.

27.10.2016 22:02 HS.

El Consejo de la Magistratura de la Nación denunció hoy y pidió que se investigue un “ataque cibernético” que afectó los sistemas informáticos con los que opera el Poder Judicial.

La denuncia fue realizada por el presidente del órgano judicial, Miguel Piedecasas, en los tribunales federales de Retiro, y recayó por sorteo en el juzgado federal 9, a cargo de Luis Rodríguez, con la fiscalía de Carlos Stornelli.

El presidente del Consejo de la Magistratura, Miguel Piedecasas.

Aunque la denuncia es por “averiguación de delito”, fuentes judiciales dijeron que se pidió la investigación de un “ataque cibernético internacional” contra la empresa Telefónica, proveedor de internet del Poder Judicial.

Se pidió la investigación de un ataque cibernético contra Telefónica, proveedor del Poder Judicial.

"Se detectó que saturan el sistema, pero sin que haya robo de información", dijo un experto informático de la Corte Suprema de Justicia.

El máximo tribunal declaro hoy “días inhábiles” al pasado lunes 24 y martes 25 de octubre a raíz de los “inconvenientes en los servicios webdel portal del Poder Judicial”.

El ataque afectó los servicios del portal web del Consejo de la Magistratura.

Se trata del sitio pjn.gov.ar y es “como consecuencia de los inconvenientes en los servicios web del portal del Poder Judicial del Consejo de la Magistratura de la Nación”, según indicó la propia Corte.

La medida, adoptada a pedido del presidente del Colegio Público de Abogados de la Capital, Jorge Rizzo, tiene como efecto correr los plazos “sin perjuicio de la validez de los actos procesales cumplidos”.

Jorge Rizzo, presidente del Colegio Público de Abogados.

Asimismo, la Corte exhortó al Consejo de la Magistratura para que “adopte con carácter de urgente todas las medidas conducentes para solucionar la gravísima situación que afecta tanto al servicio de justicia, como al normal ejercicio de la abogacía y el derecho de los justiciables”.

El reclamo se tradujo en la denuncia ante la justicia federal “para evitar, en lo sucesivo, que se reiteren situaciones de este tenor que afecten la normal administración de justicia

FUENTE: CMPD

lunes, 24 de octubre de 2016

Ataque a Dyn por DDOS deja muchos servicios de Internet sin funcionar

Durante hoy muchas páginas web y servicios estaban caídos debido a una serie de ataques de denegación de servicio (DDoS) contra Dyn, uno de los mayores proveedores de DNS del mundo. No está claro cómo sucedió pero podemos estar seguros de que Internet es mucho más frágil que nunca.
Algunos piensan que estos ataques fueron una conspiración política, algo parecido a un intento de tumbar Internet para que nadie pueda leer los correos electrónicos de Clinton en Wikileaks. Otros piensan que es el típico ataque ruso. Pero no importa quién sea el responsable, la verdad es que debemos esperar que incidentes como este sean mucho peores en el futuro. Los DDoS solían ser una amenaza leve, ahora estamos en una nueva era.
 
pncrgi5lclvfvivhw9i3
 
Los ataques DDoS funcionan de esta forma: un atacante envía una ráfaga de paquetes (básicamente datos basura) a un recipiente (en este caso los servidores DNS de Dyn) que se sobrecarga con los paquetes basura y esto hace imposible que gestionen nuevos intentos de conexión. El resultado es que cualquier conexión es mucho más lenta o sencillamente no funciona. En el caso de Dyn el ataque seguramente fue un poco más complejo debido a que la compañía cuenta con sistemas avanzados para evitar verse afectada por ataques DDoS, pero a su vez las personas que atacaron Dyn (sean quienes sean) están usando sistemas mucho más avanzados que un ordenador en el sótano de la casa de sus padres.
 
Hace poco entramos en un nuevo paradigma de los DDoS. Brian Krebs, experto en seguridad informática, asegura que una nueva posibilidad de hackear los dispositivos relacionados al Internet de las Cosas (IoT) y convertirlos en un ejército DDoS ha contribuido a que estos ataques sean mucho más grandes que nunca. Todavía no estamos seguros de que una red de bots IoT haya sido la responsable de colapsar los servidores de Dyn, pero es bastante probable.
 
Lo de hoy fue un adelanto de cómo será la nueva era de ataques DDoS. Como explicó el también experto en seguridad Bruce Scheier en su blog:
Durante los últimos dos años alguien ha estado probando las defensas de las compañías encargadas de partes críticas de la infraestructura de Internet. Estas pruebas fueron en forma de ataques calibrados para determinar exactamente qué tan bien pueden defenderse estas compañías y qué sería necesario para sobrepasar estas defensas. No sabemos quién lo está haciendo, pero se siente como si fuera la responsabilidad de un estado completo. Mis primeros sospechosos serían China y Rusia.
 
Esta clase de ataque es muy diferente al típico DDoS del que leíste en muchos titulares durante los últimos años. En el 2011 el colectivo de hackers Anonymous se hizo famoso gracias a un ataque DDoS, pero ese ataque es juego de niños en comparación a lo que ha sucedido hoy. El ataque a Dyn no fue sencillamente bombardear con datos basura a una página web durante un corto período de tiempo, sino que estos hackers fueron capaces de hacer colapsar una gran parte de la médula espinal de Internet durante muchas horas, dos veces. Eso es algo enorme.
 
Ahora es más fácil que nunca que los hackers puedan crear estas redes de bot para ataques DDoS, lo que quiere decir que Internet es mucho más vulnerable que nunca. Atacar una infraestructura como la de Dyn siempre ha sido posible, pero si resulta que ahora es mucho más fácil lanzar ataques DDoS a gran escala significa que pronto comenzaremos a ver caídas a nuestras páginas web favoritas con cada vez más frecuencia. Estos ataques podrían comenzar a extenderse fácilmente a otras partes importantes de la infraestructura de Internet.
 
Puede ser el inicio de un futuro bastante tenebroso. Si los hackers llegan a ser capaces de tumbar Internet a su voluntad, ¿qué es lo siguiente? No tenemos claro cuánto tiempo pasará para que los técnicos de Dyn logren solucionar este problema, pero este nuevo tipo de ataque DDoS es un problema que desde hoy en adelante nos debería tener preocupados.
Fuente:http://es.gizmodo.com/

sábado, 22 de octubre de 2016

Qué hay detrás del ciberataque mundial más grande de 2016

40 sitios entre los que se encuentran Netflix, Twitter y Spotify estuvieron fuera de circulación por varias horas en lo que es el ciberataque más grande en 2016. Conoce quiénes son los responsables y cómo lo hicieron.

Resultado de imagen para ataque informatico 2016


Lo que parecía un cuento de ficción es hoy ya una realidad: objetos infectados conectados a internet atacaron varias páginas como Netflix, Twitter y Spotify, según indicaron especialistas consultados por Alto Nivel.


David Schekaiban, director Código Verde, firma especializada en seguridad informática, explica que este ataque provino de objetos conectados a internet en lo que se conoce como Internet of Things (IoT).


La empresa Dyn, proveedora de servicios de DNS que “interpreta” las páginas de internet, recibió un ataque DDoS (denegación de servicio, por sus siglas en inglés) lo que dejó a los usuarios de 40 páginas sin servicio por lo menos por dos horas.


“Todos estos dispositivos vulnerables que están conectados a internet son atacados para meterlos en un botnet con un control sobre por lo menos 50,000 equipos y que desvían el tráfico”, comenta.

EXPRESS
El grupo de hackers criminales que amenaza a MéxicoCiberataques ponen en jaque a Twitter, Spotify y otros
Dmitry Bestuzhev, director de investigación y análisis de Kaspersky Lab en América Latina indicó que hay medio millón de dispositivos como lavadoras, refrigeradores y relojes, entre muchos otros, que estarían conectados y disponibles para ser usados en ataques ubicados en Estados Unidos, Brasil y Colombia, principalmente.


“Los dueños de estos dispositivos no tienen ni la menor idea de que alguien está utilizándolos para lanzar los ataques a los servidores de DNS”, precisa.


La firma de análisis Gartner preveía en un estudio de noviembre del año pasado que en 2016 habría 6,400 millones de "cosas" conectadas a Internet. Esta cifra se multiplicaría hasta 20,800 millones de objetos, según el estudio.
Las afectaciones hasta el momento son incalculables, pero ambos especialistas comentan que se trata de varios millones de dólares por pérdidas en servicios y falta de transacciones en los sitios.


Tan sólo Paypal, una de las páginas que fueron afectadas por este ataque, registró 1,500 millones de transacciones en los últimos tres meses de acuerdo con su último reporte de resultados. Por este ataque, miles de transacciones pudieron ser afectadas.


Los responsables del ataque
El grupo New World Hacking se adjudicó el ataque a Dyn de la mañana de este viernes que afectó a varios países de Europa, Estados Unidos y México.


TWITTER IS SUFFERING.. PIC.TWITTER.COM/WE2KFQKUPS
— NEW WORLD HACKERS (@NEWWORLDHACKING) OCTOBER 21, 2016


"Cada año hacemos una prueba de poder y este año es contra Rusia. Es por una buena causa. Rusia está diciendo que es mejor que Estados Unidos al hackear todo, amenazando con iniciar una guerra, les mostraremos una", decía un mensaje en su página.


La semana pasada, el gobierno de Estados Unidos acusó a Rusia de lanzar ataques para influir en las elecciones el próximo 8 de noviembre y del robo de 20,000 correos electrónicos del Comité Nacional Demócrata (DNC), que fueron publicados por Wikileaks.


Bestuzhev señala que en el caso de estos grupos, sus motivaciones son principalmente económicas, pero también pueden trabajar bajo otros intereses. “Si es que se le paga, pueden ir por cualquier causa, así es como funciona el cibercrimen”, menciona.


Este tipo de ataques podrían repetirse y volverse más sofisticados, sobre todo para demostrar quién tiene poder. “El tener ese tipo de arquitectura con los volúmenes de tráfico sería la tendencia para crear ataques más poderosos y con alcance masivo”, dijo Shekaiban.


Se espera que las empresas atacadas refuercen su protocolo de seguridad en servidores de DNS en el futuro o bien, que se diversifique para no ser víctima de una nueva parálisis cibernética.


Ver información original al respecto en Fuente:
http://www.altonivel.com.mx/que-hay-det ... 58240.html

jueves, 20 de octubre de 2016

Los piratas han pasado del “Defacing Web” a instalar Ransomware PHP

 

jueves, 20 de octubre de 2016



Una de las técnicas casi tan antiguas como la propia existencia de las páginas web es el defacing, una técnica mediante la cual un pirata informático que conseguía acceder al servidor de una web, modificaba su apariencia y dejaba, generalmente, una nota personal. Esta técnica solo se utiliza por diversión ya que, en realidad, no aporta ningún beneficio económico al pirata ni supone un gasto para la empresa. Por desgracia, esto está acabando.


Los expertos de seguridad de Fortinet han detectado una nueva amenaza creada por un pirata informático de Indonesia llamado “JapanLocker” (aunque, en realidad, no tiene nada que ver con Japón). Esta nueva amenaza se trata de un nuevo ransomware, escrito totalmente en PHP, el cual secuestra todo el servidor afectado y pide el pago de un rescate a cambio de restaurar la web y todos los datos del mismo.


Este pirata informático es uno de los pioneros en empezar a llevar a cabo este tipo de ataques. Para lograr acceso al servidor, el atacante suele utilizar una serie de exploits (aunque esto aún lo están investigando desde Fortinet) de manera que, una vez dentro, pueden copiar y ejecutar la amenaza. Igual que el Defacing, pero en vez de modificar los archivos HTML, copia y ejecuta un ransomware PHP.



Actualmente, varias fuerzas de seguridad están siguiendo el rastro de este pirata informático que, para demostrar cómo funcionaba su malware, subió un vídeo mostrando su IP pública auténtica, por lo que, en breve, lo más seguro es que sea detenido.

Este nuevo Ransomware PHP es de código abierto, y está publicado en GitHub


Solo hay una cosa peor que el ransomware, y es que este sea de código abierto. Igual que ha pasado en ocasiones anteriores, cuando un investigador publicó el código de uno de los ransomware más complejos con “fines educativos”, tener el código de un arma tan peligrosa como esta abre la puerta a una gran variedad de nuevos malware y nuevas amenazas basadas en él. Cualquiera puede descargar el código, modificarlo, si quiere, y compilarlo para tener una nueva herramienta maliciosa totalmente nueva.


Tal como aseguran los expertos de Fortinet, este pirata informático ha publicado el código del ransomware en GitHub, convirtiéndolo en una amenaza mucho más peligrosa al alcance de cualquiera. Por suerte, esta empresa de seguridad ha publicado una herramienta gratuita con la que descifrar los datos secuestrados por este ransomware.


Los ransomware PHP son herramientas muy simples y es muy sencillo recuperar los datos secuestrados por ellas, sin embargo, no debemos confiarnos ya que, como hemos dicho, el secuestro de servidores se está convirtiendo en la amenaza sustituta del inofensivo defacing web.

miércoles, 19 de octubre de 2016

Herramienta para escanear metadatos y agruparlos en una nube de tags.

 

Los metadatos, es la información insertada en los archivos por el software de edición o creación de los mismos, estés metadatos contienen información acerca de la creación del archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces que el documento fue modificado, fecha de creación…

Los metadatos pueden tener varias aplicaciones como:

tagclusters

  • En informática forense: Para demostrar en un juicio que unos archivos de imágenes pertenecen a una determinada cámara de fotos.
  • En ataques a sistemas o servidores web: A través de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red… para después realizar un ataque de fuerza bruta.

Con la herramienta SCAN un gestor de contenido semánticos que permite escanear metadatos y agruparlos en una nube de tags. Combina las funciones de: búsqueda, análisis de textos, tagging y metadatos, para proporcionar una eficiente gestión de documentos personales. SCAN fue desarrollado para solventar problemas de organización del contenido personal y dar facilidades a la hora de hacer búsquedas en casos de sobrecarga de información. Pero sus posibilidades son muy amplias tanto para análisis forenses como para auditorias de metadatos.

Entre las características de SCAN destacan:

  • Elimina los límites puestos por diferentes sistemas de almacenamiento. Los flujos de información de diferentes fuentes de búsqueda se agregan en un solo espacio semántico, explorable donde los: archivos, páginas web, correos electrónicos y otros elementos de contenido son igualmente documentos organizados por sus propiedades semánticas naturales, más que por su ubicación física.
  • Un marco de metadatos unificado para: describir, clasificar y realizar anotaciones en los documentos.
  • Permite hacer tagging, una forma más sencilla e intuitiva de organizar el contenido. Es posible etiquetar cualquier documento con los tags y navegar por la “nube de tags”.
  • Potente motor de búsqueda de texto y  metadatos.
  • Es un software de código abierto, disponible de forma gratuita.
  • Multiplataforma, independiente del sistema operativo y hardware del equipo.
  • Está diseñado como un marco flexible fácilmente configurable para las necesidades específicas del usuario. Es extensible gracias a la integración de plugins, para nuevas ubicaciones y formatos de documentos.

Su motor de busqueda permiten agregar contenido de diferentes fuentes: carpetas locales, sindicación web, buzones de correo, marcadores del.icio.us y posiblemente otras ubicaciones que estén disponibles en los plugins. Un usuario sólo necesita una ubicación y la aplicación encontrara y agregara todos los documentos. A partir de ahí, las ubicaciones de los documentos agregados serán supervisadas para ver los cambios (nuevos documentos, modificados o eliminados) para mantenerlas monitorizadas hasta la fecha, y guardadas en un repositorio. El repositorio de documentos puede llevar registros de miles de documentos independientemente de su formato original. Un gran número de formatos de documentos populares es compatible de forma nativa, o bien a través de los plugins, incluyendo formatos como: HTML, PDF, OpenOffice, MS Office y mensajes de correo electrónico.

SCAN ofrece un rico conjunto de propiedades de metadatos asociados a los documentos, incluyendo: el título del documento, descripción, anotaciones, autor, fecha de creación y otros. Las propiedades se establecen automáticamente en el documento y se pueden añadir y editar rápidamente después. Las propiedades de los metadatos se pueden utilizar en las consultas de búsqueda para encontrar los documentos que coincidan con los criterios especificados. Además, algunas propiedades (autor, trayectoria, fecha e idioma) sirven como tags de navegación para recorrer los documentos. La colección de documentos está estructurado con un sistema de tags, similar a los servicios como del.icio.us o Flickr. Los tags son palabras clave que identifican documentos para una navegación rápida. Todas los tags juntos forman una taxonomía que representa la semántica del repositorio de documentos. La taxonomía se puede ver como una “nube de tags” para navegar por el repositorio de documentos.

SCAN tiene un potente motor para la minería y análisis de textos para descubrir la semántica de documentos y extraer los conceptos básicos del contenido. El análisis de texto simplifica enormemente el proceso de tagging. Ayuda a un usuario a recoger los términos más relevantes que identifican un documento y transferirlo como tags. Esto hace que el tagging manual de documentos sea tan simple como seleccionar los tags de los candidatos propuestos. Además, un usuario puede confiar el proceso de tagging al sistema, por lo que los documentos se pueden etiquetar de forma automática con los términos pertinentes.

Fuente: http://www.gurudelainformatica.es/

martes, 18 de octubre de 2016

Mimikittenz una herramienta de PowerShell

 

Hay algunas excelentes herramientas y técnicas disponibles para las pruebas de pentesting que intentan tomar el control total de las cuentas de las víctimas. Los investigadores de pentesting han creado una nueva herramienta y este artículo ofrece una nueva herramienta y técnicas útiles para tomar el control completo después de la explotación de Windows.
El motivo de todas las técnicas de pentesting es obtener acceso a todas las cuentas del dominio como sea posible utilizando las credenciales almacenadas en la memoria del dispositivo que has comprometido.
Mimikittenz es una herramienta PowerShell de post explotación que utiliza el ReadProcessMemory función de Windows () con el fin de extraer las contraseñas de texto sin formato a partir de diversos procesos de dispositivo comprometido.
Según expertos de pentesting de International institute of cyber security, Mimikittenz también puede extraer fácilmente a otros tipos de información de los procesos de destino utilizando patrones de regexque incluyen pero no se limitan a:
  • TRACK2 (tarjeta de crédito) los datos de los procesos comerciales / POS
  • Datos PII
  • Claves de encriptación y todas las otras cosas buenas
Esta herramienta de pentesting tiene como objetivo ejecutar en el espacio de direcciones de memoria de proceso, una vez que un proceso se mató de la memoria “debería” ser limpiado y ser inaccesible sin embargo, hay algunos casos extremos en los que esto no ocurre.
El objetivo de mimikittenz es proporcionar extracción de datos sensibles al nivel de usuario con el fin de maximizar los esfuerzos de post explotación y aumentar el valor de la información recogida por cada blanco.
Acuerdo a experiencia de expertos de pentesting, mimikittenz es capaz de extraer las siguientes credenciales de la memoria:

Correo web

  • Gmail
  • Office365
  • Outlook Web

Contabilidad

  • Xero
  • MYOB

Acceso Remoto

  • Juniper SSL-VPN
  • Citrix NetScaler
  • Remote Desktop Web Access 2012

Desarrollos

  • Jira
  • Github
  • Bugzilla
  • Zendesk
  • Cpanel

Ingeniería inversa

  • Malwr
  • VirusTotal
  • AnubisLabs

Otros

  • Dropbox
  • Microsoft Onedrive
  • AWS Web Services
  • Slack
  • Twitter
  • Facebook
 
mimikittenz
 
https://github.com/putterpanda/mimikittenz

domingo, 16 de octubre de 2016

OSRFramework: framework para la investigación de usuarios en fuentes abiertas

Se trata de OSRFramework, (Open Sources Research Framework), desarrollada por Féix Brezo, (@febrezo) y Yaiza Rubio, (@yrubiosec), unos analistas de inteligencia, en el sector de las telecomunicaciones, que pertenecen al grupo de i3Visio.

Se trata de un framework para la investigación de usuarios en fuentes abiertas, capaz de buscar datos en 223 plataformas distintas, entre otras funcionalidades. No usa APIs de las plataformas, (salvo en Skype porque hay que darle permisos), si no que se basa en una aproximación de la url. Extrae la información de una forma automática. Y es de código abierto.

Vamos a proceder.

Primeramente, clonamos o descargamos la herramienta, con

git clone https://github.com/i3visio/osrframework.git

Si listamos el directorio, con

ls -l osrframework

Veremos que tiene un instalador. Instalamos la herramienta con

sudo python setup.py build
sudo python setup.py install

Ahora, si listamos el directorio ‘osrframework.egg-info’, observaremos que tiene unas dependencias.

ls -l osrframework.egg-info

Así que ingresamos al directorio y las instalamos, mediante

cd osrframework.egg-info
sudo pip install -r requires.txt

Ahora, si ingresamos en el segundo directorio de ‘osrframework’ y lo listamos, observaremos los módulos de la herramienta

cd home/marcos/osrframework/osrframework
ls -l

Para comenzar, podemos ejecutar el ‘osrfconsole.py’, para ver qué módulos están disponibles y qué hace cada uno de ellos

python osrfconsole.py

Pinta muy interesante, ¿verdad? Pero ahí no figuran todos. Veamos la ayuda de cada uno de ellos

python searchfy.py --help

Módulo que realiza búsquedas en plataformas, tanto de la web de superficie, como de redes anónimas.

domainfy.py --help

entify.py --help

Módulo al que se le pasan documentos o carpetas o una url para extraer entidades, (emails, hashes, urls, direcciones IPV4, DNI, …)

python enumeration.py --help

Módulo al que se le pasa una estructura de una url y que fuerza la búsqueda de los ‘id’ dentro del sitio y la descarga en local para consultarla offline, en formato ‘.html’. Se descarga toda la lista de usuarios que tiene el sitio.

mailfy.py --help

Módulo al que, dados unos nombres de usuarios, alias o direcciones de correo electrónico, verifica si existe esa cuenta de correo electrónico.

phonefy.py --help

Módulo al que, dado un número de teléfono, procede a su chequeo en listas de Spam.

usufy.py --help

Módulo al que se le introduce un alias, un usuario, o lista, y busca la información, relativa al perfil del mismo en diversas plataformas.

Bueno. Visto esto, es hora de ponerla en funcionamiento con el “voluntario” que teníamos en este perfil de Twitter.

Para ello, y conociendo un alias como conocemos, (antoniobanos_), vamos a llamar a ‘usufy.py’, con

usufy.py -n antoniobanos_ -p all

Esta línea nos devuelve algunos resultados.

Como considero que no me es suficiente, voy a usar otro módulo que no os he presentado antes. Se trata de un generador de Alias.

Este es un módulo al que se le introducen una serie de datos para que genere una lista de posibles alias.

Es realmente interesante. Como teníamos una bonita página en la Wikipedia de este ‘señor’, con algunos datos personales, me es más que suficiente para mostraros cómo trabaja este framework.

Así que, vamos a proceder a generar una lista de posibles alias, mediante

alias_genarator.py

Como podéis ver, es muy fácil de usar. Tras finalizar, se presenta la siguiente pantalla, que nos indica el número de alias posibles que se han generado.

¡Casi nada! 1656 nicks generados, en un fichero de texto con nombre ‘output’. Son demasiados, para mostraros el poder de este framework.

Esto podría tardar demasiado tiempo, en torno a 40 segundos por cada alias. Echad cuentas. No tengo ninguna prisa, pero hay que recortar esta lista. Recordáis que había un perfil en Twitter, ¿verdad? Pues vamos a hacer una cosilla.

Nos dirigimos al sitio de Twitter. Clicamos en “¿Olvidaste tu contraseña?”

Introducimos en alias en cuestión y le damos a buscar.

Y se nos presenta esta bonita pantalla.

¿Qué tenemos? Pues tenemos una dirección de correo, de un dominio que empieza por ‘Y’, seguido de cuatro caracteres, con un ‘.’, seguido de dos caracteres. Y un alias, que empieza por ab, seguido de cinco caracteres. Total… siete caracteres de un alias que comienza por ‘ab’.

Como el módulo de ‘alias_generator.py’ nos había generado 1656 posibles nicks,

wc -l /home/marcos/osrframework/osrframework/output.txt

Seleccionamos aquellos que comienzan por ‘ab’ y los copiamos a un nuevo fichero.

wc -l /home/marcos/osrframework/osrframework/ab

Siguen siendo demasiados. Vamos a hacer otra cosa. Los vamos a copiar a una tabla Excel y le vamos a aplicar una pequeña fórmula para ordenarlos por número de caracteres.

Recodáis que, según una cuenta de recuperación de correo electrónico, tenía un total de siete caracteres, comenzando por ‘ab’. Pues copiamos únicamente los posibles alias con siete caracteres a un nuevo fichero de texto.

wc -l /home/marcos/osrframework/osrframework/Alias-7.txt

Hemos pasado de 1656 posibles nicks, a 4. Casi nada.

Esto es un ejemplo de cómo funciona esta herramienta. Os muestro otros

python enumeration.py --u https://assemblea.cat

python enumeration.py --u https://cup.cat

entify.py --u https://assemblea.cat

entify.py --u https://cup.cat

mailfy.py -N Alias-7.txt

usufy.py -p all -l output.txt

searchfy.py -p all -q antoniobanos

Todos los resultados obtenidos, a excepción del módulo de ‘enumeration.py’, que se descargan en local, son exportados a un fichero en formato ‘profiles.csv’

ls -l | grep profiles.csv
file profiles.csv
wc -l profiles.csv

En mi caso, el fichero ‘profiles.csv’ creado, me ha generado un total de 627 resultados, matando algunos procesos. Y no os digo nada de los miles de resultados obtenidos de la enumeración.

NOTA: Los resultados obtenidos se basan en supuestos. Es decir, que hay que realizar una comprobación ‘manual’ de los datos obtenidos, intentando correlacionarlos entre sí, para determinar si pertenecen a la persona que se está ‘estudiando’.

Por último, de obligada lectura y obligado visionado:

#RetoISACA2015 – OSRFramework, un framework libre para la investigación de usuarios en fuentes abiertas

Taller de Félix Brezo Fernández y Yaiza Rubio Viñuela en Cybercamp 2015

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos @_N4rr34n6_