OSINTLa verdad está ahí fuera

OSINT en 12 horas 2

¿Preparar una charla de Rooteden menos de 24 horas?

No nos hacemos responsables de las diapositivas generadas en modo automático tras la falta de sueño y la ingesta de caféLa charla es divulgativa y esperemos que os guste

OSINTLa verdad está ahí fuera

En 12 horas

OSINT en 12 horas 4

Daniel González

• Mánager del laboratorio de Ciberseguridad de KPMG

• Profesor en el curso de Especialista en Seguridad Informática y de la

Información de la UCLM

• Formador oficial ISACA

• Máster en Seguridad de las Tecnologías de la Información y

comunicación

• Graduado en Sistemas de la Información

• Ingeniero Técnico en informática de Gestión

WhoAmI?

OSINT en 12 horas 5

Jesús Alcalde

• Pentester

• Arquitecto de sistemas de inteligencia

• Graduado en Ingeniería Informática

• Graduado en Ingeniería del Software

WhoAmI?

OSINT en 12 horas 6

▪ Analizar técnicas utilizadas para acceder a una organización o a sus datos filtrados, sinvulnerar ninguna medida de seguridad, buscando datos publicados en fuentes abiertasde Internet

▪ Para ello, analizaremos las técnicas de information gathering para intentar extraerinformación de los trabajadores de la organización, de zonas de su sitio webdesprotegidas, archivos exfiltrados, etc.

▪ Conocer cómo realizar un correcto planteamiento de las búsquedas en distintas fuentesabiertas así como la forma de acceder a ellas.

Objetivo

OSINT en 12 horas 7

Entorno

OSINT en 12 horas 8

OSINTWikipedia dixit:

OSINT en 12 horas 9

¿Qué, cómo y para qué?

▪ Es la adquisición y análisis de información para identificar, rastrear, predecir ycontrarrestar las capacidades, intenciones y actividades de los atacantes, ofreciendoplanes de acción en base al contexto particular de las organizaciones, ayudando amejorar la toma de decisión.

▪ La mejor manera de ver qué haría un atacante, es ponerse en su lugar y analizar todaslas información que está a su alcance, por ello explotamos las herramientas queusarían ellos en la fase de footprint.

▪ Usamos ciberinteligencia, para ver en que estado está nuestra huella digital o para serla palanca inicial de los trabajos de pentesting.

OSINT en 12 horas 10

Principales objetivosDispositivos existentes

Software instalado

Empleados

Paneles de acceso

Puertos, protocolos y servicios abiertos

Emails y leaks

OSINT en 12 horas 11

OSINT es utilizado tanto en el nivel estrategico como en los niveles operacional y táctico:

▪ A nivel ESTRATÉGICO, OSINT proporciona indicadores de alerta sobre situacionespotencialmente peligrosas. Forma parte de un análisis predictivo.

▪ A nivel OPERACIONAL se encarga de apoyar análisis estimativos proporcionandoinformacion de diversa índole: geográfica, economica, política, etc. necesarios parala planificacion de cualquier operacion sobre el terreno.

▪ A nivel TÁCTICO permite apoyar la recoleccion de informacion sobre objetivos,infraestructuras, control de danos o cualquier otra informacion util para eldesarrollo de misiones concretas y específicas

Niveles en los que opera

OSINT en 12 horas 12

iNTerNet

levels

surfAce

weB

------

Deep

weB

----

DArK

weB

¿Cómo se estructura?1. Páginas comunes: sitios web de uso común, buscadores, blogs,

redes sociales, revistas, etc.2. Zona "underground”, redes olvidadas, web hosting, bases de datos,

redes privadas de grandes organismos como universidades yservicios temporales de email.

3. Contenido no indexado: servidores FTP, los resultados que Google yel resto de buscadores ha baneado por violar alguna ley,pornografía, foros underground, páginas de streaming de video,redes P2P, etc.

4. Deep web: sitios web que rozan o sobrepasan la ilegalidad, comositios con contenido pedófilo, cine pornográfico, sitios web sobrevida alienígena, cosmología, etc.

5. Dark Web: se encontraría un mercado negro de informacióny objetos ilegales, como por ejemplo películas y vídeos prohibidos,datos personales, headhunters, tráfico de animales exóticos, ventade estupefacientes, tráfico de seres humanos, trata de blancas,venta de armas, tráfico de órganos y un largo etcétera. En este niveltambién se encontrarían sitios web con información que quiere serocultada, como los sitios web de botnets cryptolocker, foros degrupos hacktivistas, etc.

OSINT en 12 horas 13

▪ Prevenir y detectar de manera temprana posibles ataques a empresas,organizaciones en general y personas.

▪ Anticipación a acontecimientos peligrosos.▪ Análisis de robos y fugas de información, y lucha contra el fraude online.▪ Investigación de personas, organizaciones, objetivos, eventos, etc.▪ Monitorización y análisis de influencias de lo que se habla en redes sociales, foros,

canales IRC, chats y blogs.▪ Análisis de relaciones entre personas, empresas, países, asociaciones y demás

organizaciones.▪ Apoyo en la resolución de problemas relacionados con la justicia, servicios de

inteligencia, etc.

Beneficios que aporta

OSINT en 12 horas 14

Ciclo de inteligenciaSe establecen todos los requerimientos que se

deben cumplir

identificar y concretar las fuentes de información relevante con el fin de

optimizar el proceso de adquisición.

se obtiene la informacion

dar formato a toda la información recopilada de manera que

posteriormente pueda ser analizada

Se relaciona la información de distintos orígenes buscando

patrones que permitan llegar a alguna conclusión significativa.

Consiste en presentar la información obtenida de una

manera eficaz, potencialmente útil y comprensible

OSINT en 12 horas 15

ELINT

COMINT

GEOINT

HUMINT

Otras inteligencias

NSA: Electronic Intelligence es lainformación obtenida deseñales eléctricas que nocontienen discurso o texto. Porejemplo radares

Actividad humana de explotación y el análisis de imágenes e información geoespacial que describe, evalúa y representa visualmente las características físicas y las actividades geográficamente referenciadas

Es la obtención de informaciónmediante la intercepción deseñales entre personasutilizando toda clase decomunicaciones conocidas

La OTAN define Inteligenciahumana como “Una categoríade la inteligencia derivada de lainformación recogida yproporcionada por fuenteshumanas”.

OSINT en 12 horas 16

Y con esto.. ¿qué?

Levantamiento de huella InvestigacionesServicios de monitorización

Desarrollo de un plan de inteligencia

Identificación de objetivos

Recopilacion de datos

Análisis de datos

Descarte de falsos

positivos

▪ Identificación de tipología▪ Análisis de factores▪ Impersonalización▪ Lecciones aprendidas

OSINT en 12 horas 17

Herramientas

Motores de búsquedas

Análisis de datos personales y redes sociales

Análisis de recursos

Uso masivo

Análisis de datos corporativos

Desarrollos propios

▪ Fotografías: TinEye▪ Video: Youtube,

IntelTechniques▪ Documentos: Slideshare▪ Código fuente: search

code, github

▪ Datos personales: Pipl, Spokeo, thatsthem

▪ Redes Sociales: Checkusernames, Namechk

OSINT en 12 horas 18

Hacking

▪ Google dispone de comandos o filtros que permiten al usuario filtrar la informaciónque se encuentra indexada en el sistema.

▪ Hay filtros de todo tipo.

▪ La mayoría de ellos pueden ser utilizados para filtrar información en el día a día.

▪ Google Hacking es el uso de estos filtros especiales para acceder que sería decomplicada obtener por otra vía.

OSINT en 12 horas 19

▪ Comillas (“”): permiten buscar cadenas de texto concretas.

▪ Guion (-) : permite negar expresiones o términos.

▪ site: permite listar toda la información de un dominio concreto.

▪ filetype o ext: permite buscar archivos de un formato determinado, por

ejemplo pdfs, rdp (de escritorio remoto), imágenes png, jpg, etc.

▪ intitle: permite buscar páginas con ciertas palabras en el campo <title/>.

▪ inurl: permite buscar páginas con palabras concretas si dirección URL.

Hacking: Comandos avanzados

OSINT en 12 horas 20

Interesante▪ buscar frases tipo “index of” para encontrar listados de archivos de

ftps, “mysql server has gone away” para buscar sitios web vulnerables a

SQL en Mysql, etc.

▪ “*@empresa.com”: Emails/cuentas de dominio de empleados

ext▪ :bak: Nos permitirá localizar archivos de respaldo o backup de bbdd, aplicaciones

con sistemas de autoguardado, etc.

ext▪ :rdp: Nos permitirá localizar archivos RDP (Remote Desktop Protocol), para

conectarnos a traves de Escritorio remoto.

ext▪ :log: Nos permitirá localizar archivos de logs. Bastante util ya vereis :)

Hacking: Algunos ejemplos

OSINT en 12 horas 21

▪ ext: ini inurl:”/Desktop.ini": Nos permitirá listar carpetas Windows expuestas.

▪ ext:ovpn “C:\”: Expone archivos de configuración de Open VPN alojados en la

unidad C: de un sistema.

▪ ext:sql: Nos permitirá localizar archivos con instrucciones SQL

▪ ext:sql user password: Recuperando credenciales

▪ ext:db "select *”: Profundizando en queries más concretas de selección

▪ ext:sql "create table”: Recuperando la creación de tablas

Hacking: Algunos ejemplos

OSINT en 12 horas 22

▪ inurl:bash_history scp “/home”: Carpetas Home indexadas en comandos scp

▪ inurl:bash_history scp “/root”: Carpetas del usuario Root

▪ inurl:bash_history scp “/var/www”: Carpetas de Apache

▪ inurl:bash_history “*.sql”: archivos sql listados en historiales

▪ inurl:"readme.html" ext:html intitle:wordpress: Buscando wordpress en Internet

▪ inurl:wp-admin –site:wordpress.* “Parent Directory”: Buscando el código fuente

determinados)

▪ inurl:”dominio.es:8080" Con el que localizaremos aplicaciones tras puertos poco

típicos (podéis jugar con la barra e incluso filtrar por puertos determinados)

Hacking: Algunos ejemplos

OSINT en 12 horas 23

▪ Ext:pdf factura euros iva s.l. dirección cif fecha total

Hacking: Ejemplos en vivo

OSINT en 12 horas 24

▪ inurl:"/drive/folders/" site:drive.google.com Carpetas compertidas de Google Drive

Hacking: Ejemplos en vivo

OSINT en 12 horas 25

▪ inurl:bash_history mysql "-u": Historiales de bash

Hacking: Comandos avanzados

OSINT en 12 horas 26

▪ "apache/1.3.27 server“ “port 80”: buscando versiones de un servidor

Hacking: Ejemplos en vivo

OSINT en 12 horas 27

inurl▪ :login inurl:?user intitle:main inurl:pass intitle:cpanel: Dork cpanel

Hacking: Ejemplos en vivo

OSINT en 12 horas 28

▪ inurl:jira “Manage Filters” “Popular Filters” Owners: Jiras expuestos

Hacking: Ejemplos en vivo

OSINT en 12 horas 29

▪ Es un motor de búsqueda pero a diferencia de Google o Bing se encarga de indexara nivel de servicio y puerto y no solo el servicio web.

▪ Al igual que los otros buscadores también tiene filtros avanzados.

▪ Web: https://www.shodan.io

¿Qué es?

OSINT en 12 horas 30

• country: Permite filtrar por sistemas publicados en país en concreto.

• city: Filtrar por ciudad en la que se encuentra un sistema.

• geo: Puedes afinar más aún la búsqueda por las coordenadas de latitud y

longitud.

• port: Permite hacer búsqueda por el puerto específico.

• net: Realiza una búsqueda por una IP específica o por rangos de IP.

• os: Búsqueda basada en el sistema operativo.

• hostname: Realiza una búsqueda que coincida con el nombre del host.

• before/after: Limita la búsqueda a un periodo concreto.

Filtros avanzados

OSINT en 12 horas 31

Algunos ejemplos

OSINT en 12 horas 32

Sitios de pastes▪ http://junpaste.it

▪ http://pastie.org/

▪ http://hastebin.com/

▪ http://pastebin.com

▪ http://paste.ubuntu.com

▪ http://dumptext.com/

▪ http://pasteguru.com

▪ http://wklej.se

▪ http://www.textsnip.com

▪ https://snipt.net/search/

OSINT en 12 horas 33

Has my email been hacked?

▪ https://hacked-emails.com

▪ https://haveibeenpwned.com

▪ https://hesidohackeado.com

▪ https://isleaked.com

OSINT en 12 horas 34

IntelTechniques

Dispone▪ de un conjunto de herramientas orientadas a OSINT.

Se▪ encuentran categorizadas segun la fuente.

Web▪ : https://inteltechniques.com

OSINT en 12 horas 35

IntelTechniques: Ejemplo en vivo

OSINT en 12 horas 36

¿ Preguntas ?