Doctor, si se me revuelven las tripas… (I): “Toma un poco de #OSINT con #Tinfoleak”

Hola secuaces:

En primer lugar quiero pediros disculpas porque me voy a saltar el orden de entradas que tenía pensado. En lugar de seguir con la fase de adquisición de evidencias, voy a introduciros, introducirme, en el mundo del OSINT, (Open Source Intelligence o Inteligencia de Fuentes Abiertas). Muy desconocido para mí, aunque me gusta ‘trastear’ con ello.

Básicamente, OSINT es una técnica aplicada para la recolección y análisis de una información que es pública y accesible, a través de Internet. Esta técnica es muy usada por las FFCCSE y por los analistas de los Servicios de Inteligencia. Podéis ver la definición en la Wikipedia.

Todos tenemos días buenos, días malos y días peores. Si a eso le añadimos una lectura como esta…: “Baños compara a la Guardia Civil con terroristas del estado islámico.”

Sin comentarios, ¿no? A mí, me duele esta noticia por varios motivos. Y sólo voy a hacer un comentario: El terrorismo islámico es un asunto muy delicado.

Tengo por norma no entablar algunos temas de conversación que siempre terminan en disputas. Uno de ellos, como no podía ser de otra forma, es la política. Por esta razón, vamos al lío.

Antonio Baños… Antonio Baños… quién es este ‘señor’. Acudo a Google y pongo, “Antonio Baños”.

¡Zas! Primer resultado. Wikipedia. Le hecho ganas y pierdo unos minutos en leer su contenido. Tras leerlo, me fijo en el margen derecho de la página. ¡Qué ven mis ojos! Si tiene perfil de Twitter. No necesito saber más.

OSINT + Twitter = Tinfoleak, (Lo tengo claro). Y además tenemos un “voluntario”.

Tinfoleak, es una magnífica herramienta, escrita en Python por Vicente Aguilera Díaz, (@VAguileraDiaz), entre otras muchas cosas, cofundador de Internet Security Auditors. Se trata de una herramienta usada para extraer información, de una forma automática, de un perfil de Twitter. Analizando los datos que se recojan se pueden llegar a interesantes conclusiones, como el nivel cultural y de educación del usuario, su estado de ánimo, su comportamiento, sus cambios de actitud, sus intenciones… Pero es un trabajo muy laborioso y que requiere muchas horas y/o días.

Voy a intentar explicaros cómo se instala y cómo funciona.

Tras descargar la herramienta desde su sitio oficial, a través de

wget http://www.isecauditors.com/sites/default/files/files/tinfoleak-1.5.tar.gz

Procedemos a su descompresión y acceso a su directorio, con

tar xzvf tinfoleak-1.5.tar.gz

cd tinfoleak-1.5

Listamos el directorio, con

ls -l

Lo primero que debemos hacer, es modificar el fichero ‘tinfoleak.py’. Para ello, ejecutamos un

nano tinfoleak.py

Y ahora tenemos que cambiar unos parámetros en la línea 69. Donde dice ‘self.api = tweepy.API(auth, secure=True)’, debe decir ‘self.api = tweepy.API(auth)’.

Tras esta modificación, instalamos las dependencias, a través de

sudo pip install tweepy

sudo pip install exifread

sudo apt-get install python-pyexiv2

Con esto ya tenemos instaladas las dependencias y la herramienta casi lista para operar. Pero ahora debemos ir al sitio de desarrolladores de Twitter y crear una aplicación.

Cumplimentamos los datos que nos piden, aceptamos las condiciones y le damos a ‘Create your Twitter application’. Nos debe decir que se ha creado correctamente.

Ahora debemos irnos a ‘Keys and Access Tokens’. Copiamos nuestros códigos y los guardamos a muy buen recaudo.

Si ahora nos dirigimos a la configuración de nuestra cuenta de Twitter, al apartado de aplicaciones,

Debemos ver que la aplicación que hemos creado tiene permisos.

Ahora, para terminar de configurar la aplicación, tan solo nos queda editar el fichero ‘tinfoleak.conf’, a través de

nano tinfoleak.conf

Y copiamos las cuatro claves, cada una en su campo.

Ahora sí, ya estamos listos para trabajar.

Empezamos llamando a la ayuda de la herramienta, con

python tinfoleak.py -h

Y podemos ver todas las opciones que nos da.

Pues, sin más dilación, comenzamos con

python tinfoleak.py antoniobanos_ -is -t 500 --hashtags --mentions --meta --media d --top 10 -o AntonioBanos

Y dejamos que trabaje tranquilamente.

Al terminar el proceso, tendremos generado un reporte, en formato ‘.html’, que podemos comprobar con

ls -l ReportTemplate/AntonioBanos

file ReportTemplate/AntonioBanos

Y descargados todos los ficheros que han sido compartidos por este usuario, que podemos listar con

ls antoniobanos_

Nos dirigimos a la ruta donde se ha generado el reporte y lo abrimos con cualquier navegador.

Y aquí está. Bien bonito y bien completo. Nombre del perfil, alias, el ID de Twitter, la fecha de la creación de la cuenta, número de seguidores y seguidos, la localización, la zona horaria, (que no la tiene establecida), número de tweets y la geolocalización, (que la tiene deshabilitada).

Podemos ver los clientes que ha usado para compartir los tweets, con la fecha de primer uso, la de último uso, el número de usos y el porcentaje.

Y aquí todo lo que puede recopilar esta maravillosa herramienta. Los clientes, (que los acabamos de mencionar), los hashtags, las menciones a usuarios, los tweets, los metadatos, los ficheros de imagen y video y la geolocalización.

Como tan solo quería mostraros cómo instalar, configurar y trabajar con esta herramienta, voy a ver simplemente su primer tweet.

Hecho el día 30 de julio de 2015, a las 12.41.01 horas, con 1472 RTs y 718 Fav y con el hasgtag #27S2015. Presionamos sobre ‘view’ y…

Aquí está. Su primer tweet: “Venir a ganar la independencia, venir a desobedecer al Estado y venir a construir un país @cupnacional #27S2015”

¡¡Dónde estaría yo si hiciera este comentario!!

Como dije al principio, no voy a comentar nada. Si lo deseáis, podéis bucear un poco en algunas fechas destacadas de este TL, a través de algunas hemerotecas.

No quiero despedirme, para variar, sin recomendar antes que sigáis a Vicente y que leáis algunos análisis que ha hecho. Son muy interesantes. A modo de ejemplo, este: Analizando el 13/11 con Tinfoleak

Ahora sí…

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.


Marcos @_N4rr34n6_

Mujeres y Hombres y Geocreepy y Viceversa

Buenas tetas y tetes,

Hoy vamos a presentar una herramienta llamada Creepy (su nombre ya lo dice todo). Se trata de una herramienta de geolocalización mediante el uso de fuentes OSINT. Gracias a esta herramienta podremos geolocalizar mensajes de Twitter, Instagram, Google+ y Flirck y realizar diferentes estudios con los datos.

Empezaremos descargando la aplicación desde la página oficial: http://www.geocreepy.com/

Allí nos explican como instalarla la aplicación en distintos Sistemas Operativos.

Como siempre, reitero que todo lo que se va a enseñar a continuación es puramente educativo y en ningún caso debéis utilizarlo para cosas nazis malas.

¡Teteeee! Pero... ¿Cómo puedo hacer que funcione esto?

Primero tenemos que configurar los plugins que utilizaremos. Para este ejemplo vamos a realizar una prueba con el plugin de Twitter.

Pulsamos sobre “Edit” / “Plugins Configuration”:

Se nos mostrará una ventana como la anterior y pulsaremos sobre el símbolo de Teter Twitter. En este apartado clicamos sobre el botón “Run Configuration Wizard" e introducimos nuestro usuario de Twitter.

Una vez nos hayamos registrado, se nos asignará un token que debemos introducir en el cuadro de texto para poder empezar.

Ya tenemos todo configurado, solo habrá que crear un nuevo proyecto.

Creepy nos da la posibilidad de hacer dos tipos de búsqueda: por usuarios o por zonas.

Empecemos por la búsqueda de usuarios y como no podría ser de otra forma, lo haremos sobre un usuario tan jodidamente atractivo, que hasta la gente más heterosexual se planteará su orientación sexual. Sí... tetas y tetes, se trata del galán ¡Rafa Mora! Para ello, tendremos que pulsar sobre el icono de usuarios y darle nombre a nuestro proyecto.

Ahora, en el cuadro de texto "Search for" introducimos el nombre a buscar, seleccionamos los plugins que queramos y pulsamos en "Search". Se nos mostrarán todos los resultados de la búsqueda y seleccionaremos el que queramos.

Una vez creado la carpeta de nuestro nuevo objetivo, pulsamos sobre ella con el botón derecho y seleccionamos “Analyze Current Project” (también se puede pulsar sobre el botón con forma de diana en la parte superior).

Una vez termine de realizar la búsqueda, se nos mostrarán todos los tweets de la persona en cuestión. Aquí veremos que la mayoría de tweets de Rafa puto amo Mora, provienen de la zona de Valencia (hábitat natural del susodicho) sino como cojones iba a mantener ese bronceado perfecto todo el año...

Si pulsamos sobre el apartado Analysis, se nos proporcionara ¡Mazo de info nano!

Podemos obtener información de los seguidores a los que hace más RT, clientes mediante los que se ha conectado a Twitter, frecuencia con la que publica en función de unas franjas horarias del día y los tweet que ha publicado en cada hora del día

Una de las opciones que nos ofrece esta herramienta, es exportar en formato CSV o KML los datos obtenidos pulsando sobre los iconos superiores.

Con un poco de imaginación seguro que podríais hacer muchas cosas con estos datos, como por ejemplo, hacer un análisis de dónde se come el mejor pollo con arroz para nuestros ciclos sanos, qué tiendas frecuenta para comprar Nano-proteinas.

Otra opción que nos brinda Creepy, es realizar búsquedas algo más específicas, como por ejemplo: por horas, días de la semana y meses:

Aquí podríamos realizar un análisis del comportamiento nocturno de Rafa durante los viernes y sábados noche ¡Para no perdernos ningún Bolo!

Existen otras pijadas avanzadas en esta herramienta, como mostrar los tweets en forma de gráfico (pulsando sobre el icono de la llama)

¡Pero a mi el tete este flipao me da igual, yo quiero ver a los tetes y tetas de mi barrio!

Pues para esto y ya finalizar, mostraremos la opción de búsquedas por lugares. Tendremos que pulsar en el botón del globo terráqueo, crear un proyecto nuevo e indicar la zona y distancia que queremos analizar.

Si lo que estabas buscando era una zona güena, güena, donde ver a los tetes de Valencia, simplemente añade la ciudad en la dirección y pon el radio de Km al gusto para que no se te escape nadie.

Por último y que quede bien claro, no nos hacemos responsables de un mal uso de la herramienta. Se ha realizado esta prueba de concepto para un uso puramente académico.

Este programa puede ser usado, por ejemplo, por una empresa que se dedique a la venta de proteínas y ciclos sanos derivados, para saber dónde le viene mejor ubicar su local según las menciones de concursantes de MYHYV. Pero si cae en manos de gente non grata como Rajoy en Pontevedra podrían saber incluso dónde vives o que sitios sueles frecuentar.

El briconsejo de hoy para finalizar, es que hay que desactivar la ubicación de GPS para cualquier aplicación si no queremos sustos.




"Todos los hombres son intelectuales tete, pero no todos los hombres tienen la función de intelectuales en la sociedad", "Me río en tu cara, ¡Payaso!" Antonio Gramsci Vs Rafa Mora.

Pablo Lorenzo

OSINT Parte I - Todo lo que sabe Google de nosotros

Buenas,

En esta mi segunda entrada del blog, quería comenzar una serie de entradas sobre la técnica OSINT (Open Source Intelligent).

En la actualidad la información es poder y con el uso de Internet proliferan la comunicaciones por este medio, además cada día más dispositivos se encuentran conectados a Internet, el llamado Internet de las Cosas (IoT).

Como bien se sabe cada vez que se publica o se sube algo a Internet se queda registrado para siempre. Otra cosa será saber dónde buscar para encontrarlo.

Dentro de la información a buscar destacan servicios online de buscadores de información de personas, que suelen ser muy "jugosas". Entre estas herramientas destacan:

• Webmii: Te indica el score, muestra documentos, imágenes, vídeos, noticias, redes sociales. Te ofrece una puntuación de búsqueda y del porcentaje respecto a la media. Muy completa.

• Checkusernames y namechk: Son verificadores de redes sociales. Indican que con el username introducido si hay cuentas registradas. A pesar de que introduce falsos positivos, es útil para verificar una posible suplantación en alguna red social.

• Pipl: Muy similar a Webmii, pero no tan completo, sin embargo, permite introducir más parámetro que el nombre: apellidos, teléfono, localización geográfica, correo,...

• Spokeo: Muy similar a las anteriores posibilitando diferentes inputs de búsqueda.

De esta manera en función de la actividad de la persona en Internet se puede obtener un notable cantidad de información acerca suya, en especial de las redes sociales.

Además empleando usuarios en redes sociales, se puede llegar a obtener más información, como por ejemplo las sesiones de app's de running como runtastic o endomondo, que suelen emplear la cuenta de Facebook.

Dichas sesiones se suelen compartir en esta red social. De ta manera que con esta información, se puede llegar a identificar una rutina, un mapa de recorrido, el horario a la sale dicho individuo,...por lo tanto se debe ser consciente de que exactamente se pública.

No hay que olvidar que hace unos años un "bug" en Facebook posibilitaba visualizar perfiles completos de usuarios sin tenerlos agregados como amigos con un hecho tan simple como cambiar el idioma a inglés americano.

Del mismo en Twitter, por la configuración por defeco en cada tweet enviado se añade la localización GPS.

Es importante revisar las configuraciones de las app's y redes sociales para saber que información realmente se está compartiendo.

Saludos.

Naxhack5