Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los riesgos de publicar tu información [rootedvlc2019]

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Nächste SlideShare
Apatrullando la ciudad...red
Apatrullando la ciudad...red
Wird geladen in …3
×

Hier ansehen

1 von 53 Anzeige
Anzeige

Weitere Verwandte Inhalte

Diashows für Sie (20)

Ähnlich wie Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los riesgos de publicar tu información [rootedvlc2019] (20)

Anzeige

Weitere von RootedCON (20)

Aktuellste (20)

Anzeige

Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los riesgos de publicar tu información [rootedvlc2019]

  1. 1. Lo que un stalker puede saber de ti, Los riesgos de publicar tu información
  2. 2. RUTH GONZÁLEZ NOVILLO Security & Cloud Researcher at BBVA Next Technologies https://twitter.com/RuthGnz https://www.linkedin.com/in/ruthgonzaleznovillo/ MIGUEL HERNÁNDEZ BOZA Security Researcher & Pentester at BBVA Next Technologies https://twitter.com/MiguelHzBz https://www.linkedin.com/in/miguelhzbz
  3. 3. ÍNDICE 3 ➤ Introducción al OSINT ➤ Herramientas existentes ➤ SpyScrap ➤ Conclusiones
  4. 4. ¿OSINT? 4 Inteligencia de fuentes abiertas u «Open Source Intelligence» (OSINT) hace referencia al conocimiento recopilado a partir de fuentes de acceso público. [INCIBE] ➤ Medios de comunicación ➤ Redes sociales ➤ Foros ➤ Fuentes gubernamentales ➤ Conferencias SOCMINT tiene como fuente de información exclusiva- mente las redes sociales y trata de convertirla en inteligencia.
  5. 5. Leyes de protección de datos Constitución española - Artículo 18. 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos 5 AEPD: Agencia Estatal de Protección de Datos. “La AEPD protege tus derechos de acceso, rectificación, limitación, oposición, supresión (“derecho al olvido”), portabilidad y oposición al tratamiento de decisiones automatizadas.”
  6. 6. General Data Protection Regulation (GDPR): ✘ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo ✘ Aplicable desde el 25 de mayo de 2018 ✘ Deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 6 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. ✘ Aplicable desde 07/12/2018 ✘ Adaptar nuestra legislación al GDPR. ✘ Extensión de la GDPR. ✘ Regular el derecho fundamental a la protección de datos ✘ Garantizar los derechos digitales de los ciudadanos Reglamento: Actos legislativos vinculantes. Deben aplicarse en su integridad en toda la UE. Directiva: Actos legislativos que establecen objetivos que todos los países deben cumplir. Cada país elabora sus propias leyes.
  7. 7. 7 ¿Qué es posible hacer con datos?
  8. 8. 8 Cambridge Analytica Fuente: https://www.vox.com/policy-and-politics/2018/3/23/17151916/facebook-cambridge-analytica-trump-diagram
  9. 9. 9 Fuente: https://techgaming.pk/2019/05/28/a-chinese-programmer-with-the-help-of-neural-networks-has-identified-100-thousand-porn-actresses-from-photos-in-social-networks/ Un programador chino dice que con ayuda de unos amigos ha sido capaz de identificar y relacionar, a través de redes neuronales, a 100.000 actrices porno usando sus fotos en redes sociales. Los autores decían que el objetivo es saber si la mujer con la que te vas a casar aparece en algún video de este tipo. No aparece rastro alguno de si este proyecto es real, código disponible o bases de datos con algún tipo de prueba que pueda verificar lo que dicen. ¿Es posible? Osint + Porn
  10. 10. 10 Osint + Porn Top Sites No existe path para listar usuarios api.pornhub.com api.xhamster.com https://sexualitics.github.io/ -> Dataset de videos (2007 - 2013) ~ 800.000 entradas
  11. 11. 11 Osint + Porn Proceso bastante manual debido a que las webs no tienen implementadas (al menos de cara a un usuario consumidor) las llamadas para poder recopilar la información de sus usuarios. No es el objetivo de esta charla
  12. 12. 12 Lo que Google sabe de mí ➤ Apariciones en medios ➤ Redes sociales ➤ Fotografías
  13. 13. REDES SOCIALES Como hemos visto con el caso de Cambridge Analytica, hay que tener el cuenta el poder de los datos de redes sociales. Muchas de las empresas están poniendo medidas para evitar que se puedan explotar sus datos desde fuera. FUENTES GUBERNAMENTALES Para información más institucional, es posible analizar la que aparece tanto en el BOE como en el BORME, aunque en el último año han ido cambiando la publicación y ya no son visibles documentos como el D.N.I. Aunque en los antiguos se sigue pudiendo conseguir estos datos. FUENTES DE INFORMACIÓN 13
  14. 14. 14 ¿Existen herramientas? ¿Qué puedo hacer?
  15. 15. 15 REPOSITORIOS DE HERRAMIENTAS - OSINT https://osintframework.com/https://ciberpatrulla.com/links/
  16. 16. 16 SERVICIOS WEB DE OSINT https://stalkface.com/ https://instamon.net https://inteltechniques.com/menu.html
  17. 17. 17 HERRAMIENTAS DE OSINT Maltego ✘ https://paterva.com/buy/maltego-clients.php ✘ La herramienta más famosa para analistas y expertos en ciberinteligencia ($$$). ✘ Proporciona multitud de módulos, y expone la información de manera interactiva. ○ Personas ■ Nombre ■ Correo ■ Alias ○ Grupos de personas ○ Empresas ✘ Herramientas basadas en servicios americanos.
  18. 18. 18 HERRAMIENTAS DE OSINT Pown-Recon ✘ https://github.com/pownjs/pown-recon ✘ Herramienta de recopilación de datos abiertos con la salida en modo grafo para después poder visualizarlo con otras aplicaciones como SecApps.com. ✘ Proporciona multitud de modulos, los más interesantes: ○ Búsquedas en GitHub por usuarios, repositorios y Gists. ○ Búsquedas en Bitbucket por usuarios, repositorios y Snippets. ○ Whoaretheyreport para buscar donde se ha creado cuentas.
  19. 19. HERRAMIENTAS DE OSINT PARA RSS OSRFramework Esta herramienta no requiere de credenciales de ninguna API. ✘ Busca en distintas redes sociales y muestra el resultado por consola y en un CSV. ✘ Puedes buscar por nombre de persona, nickname o nombre de empresa. ✘ Puede comprobar si los correos existen y en qué rrss se ha registrado. ✘ Puedes seleccionar una o varias rrss ✘ Incluye un gran número de rrss ✘ https://github.com/i3visio/osrframework 19
  20. 20. 20 ¿Y con imágenes?
  21. 21. Reverse image search ✘ Búsqueda de imágenes similares ✘ ¿Quién? ○ Google ○ Bing ○ Yandex ○ Baidu ○ Yahoo ✘ Herramientas web dedicadas ○ TinEye ○ Prepostseo ○ Duplichecker 21
  22. 22. {"similar_images": ["http://d279m997dpfwgl.cloudfront.net/wp/2019/01/AP_19019717725291-1000x666.jpg", "https://s.abcnews.com/images/Politics/donald-trump-lawn-01-ap-jc-190125_hpMain_1 6x9_992.jpg", "https://thenypost.files.wordpress.com/2018/12/donald-trump-pay-freeze.jpg?quality=9 0&strip=all&w=618&h=410&crop=1", "https://media.wired.com/photos/5ba036249c21992d8a957128/master/pass/PresDonald Trump_18260700973102.jpg", "https://fm.cnbc.com/applications/cnbc.com/resources/img/editorial/2018/12/21/105643 460-1545429807479trump2.530x298.jpg?v=1546021780", "https://media.vanityfair.com/photos/5c2fe03e3fa6927f3c5fb45a/master/pass/donald-t rump-wall-street.jpg", "https://www.thoughtco.com/thmb/5OLfQHG0gd06t3ZGjCZw8QzYvXw=/1500x1000/filters :fill(auto,1)/DonaldTrumpSilly-589a41493df78caebc7c934e.jpg", "https://ichef.bbci.co.uk/images/ic/720x405/p05lp7sn.jpg", "https://s.abcnews.com/images/Politics/president-trump-ap-jef-190116_hpEmbed_4x3_ 992.jpg"} 22 TOOLS SEARCH REVERSE IMAGE ✘ Herramienta CLI OpenSource ✘ https://github.com/vivithemage/mrisa ✘ Búsqueda de imágenes inversas de Google. ✘ Devuelve los resultados en un JSON. MRISA (Meta Reverse Image Search API) Solo funciona con personas influyentes
  23. 23. 23 OSINT CON IMÁGENES ✘ Servicios Web: ○ Son de pago ○ Analizan Internet ○ Generan bases de datos ○ Algunos bloqueados por GDPR ■ https://pimeyes.com/en/ ■ https://socialcatfish.com/
  24. 24. 24 SocialMapper OSINT CON IMÁGENES ● Correlación de perfiles en RRSS mediante identificación facial. ● Entradas: ○ Carpeta con imágenes conocidas y nombres. ○ Nombre de una organización ○ CSV con nombres y URLs de imágenes ● RRSS: ○ Linkedin, Facebook, Twitter, GooglePlus, Instagram, VKontakte, Weibo, Douban Necesita siempre NOMBRE de la persona Necesitas credenciales de las RRSS : Problemas con las sesiones.
  25. 25. 25 ¿Hay algo más?
  26. 26. APIs: Las tripas de las RRSS ✘ Las principales redes sociales cuentan con APIs que permiten la interacción con sus plataformas para crear tus propias aplicaciones. ✘ Dependiendo de la autenticación permiten extraer grandes cantidades de datos. 26 ✘ Muchas de ellas están documentadas y tienen ratios de uso.
  27. 27. Recopilación de ~ 500 usuarios por día 27 APIs: Las tripas de las RRSS ✘ APIs Ocultas api.adoptauntio.es/robots.txt ---- Scanning URL: https://api.adoptauntio.es/api/ ---- https://api.adoptauntio.es/api/users (CODE:401) https://api.lovoo.com/robots.txt Disallow: /api_web.php/* ---- Scanning URL: https://api.lovoo.com/api_web.php/ ---- https://api.lovoo.com/api_web.php/init (CODE: 200) https://api.happn.fr/ ---- Scanning URL: https://api.happn.fr/api/ ---- https://api.happn.fr/api/users/user_id FAIL AUTH TOKEN FB ✘ Es sencillo escanear las peticiones para automatizar.
  28. 28. 28 Pero... ¿se puede hacer algo nuevo?
  29. 29. SpyScrap Herramienta de Scraping OSINT 29
  30. 30. 30 OBJETIVO OSINT Facial Recognition (Machine Learning) Natural Language Processing SpyScrap
  31. 31. ¿Cómo Funciona? 31 ¿Quién es? Perfilado del usuario: ● Fotos similares ● URLs ● Palabras relacionadas ● Perfiles RSS ➔ Image Search ➔ RRSS ➔ Fuentes Gubernamentales
  32. 32. 1. Image Search ✘ Yandex (Reverse Image Search) ○ Inputs: ■ Imágen conocida ○ Outputs: ■ Imágenes y urls. ✘ Google (Search Photos) ○ Inputs: ■ Nombre ■ Imágen conocida ○ Outputs: ■ Imágenes y urls. ■ NLP 32
  33. 33. 2. Redes Sociales 33 Facebook Twitter Instagram Tinder Selenium Selenium API Abierta API REST con Token https://facebook.co m/public/<name> https://www.google.c om/search?q=site:twi tter.com+AND+<name > https://www.instagram .com/web/search/tops earch/?context=blend ed&query=<name> https://api.gotinder.com Fotos y datos. Coge información del perfil y la imágen. Fotos y datos. Límite por usuario/día. No permite búsquedas concretas, se almacenan los datos en DB y se busca sobre ella.
  34. 34. 3. Fuentes Gubernamentales BOE: Contiene documentos oficiales donde se pueden encontrar DNIs, nombres y apellidos. Hay versión PDF y versión XML. ✘ Selenium + XML ✘ Búsquedas: ○ DNI ○ Apellidos y/o Nombre ○ Palabras clave ✘ Fechas de búsqueda opcional. ✘ Resultados: ○ Documento BOE, ○ DNIs, Nombres y apellidos encontrados. 34
  35. 35. BROWSER AUTOMATION: SELENIUM ✘ Herramienta para automatizar acciones del navegador. ✘ Programable: ○ Python API https://selenium-python.readthedocs.io/ ✘ Testing de aplicaciones ✘ AUTOMATIZACIÓN DE BÚSQUEDAS 35
  36. 36. PLN/NLP El procesamiento del lenguaje natural, en inglés natural language processing, es un campo de las ciencias de la computación, inteligencia artificial y lingüística que estudia las interacciones entre las computadoras y el lenguaje humano. En nuestro caso, lo hemos aplicado para tratar de extraer entidades (Ciudades que aparezcan en el texto por ejemplo). 36 import spacy nlp = spacy.load("en_core_web_sm") doc = nlp(stripped_filter2) resp = req.get(from_url) for e in doc.ents: if e.label_ == "LOC": # Palabras clave
  37. 37. RECONOCIMIENTO FACIAL ✘ OpenFace: ○ http://cmusatyalab.github.io/openface/ ○ Dlib + OpenCv: Detección ○ Facenet (Python y Torch): Reconocimiento ○ shape_predictor_68_face_landmarks.dat ✘ Face Recognition: ○ https://github.com/ageitgey/face_recognition ○ Dlib: Detección y reconocimiento 37
  38. 38. RECONOCIMIENTO FACIAL 38 Face-Recognition ● Fácil instalar ● No es configurable ● Lento OpenFace ● Difícil de instalar ● Configurable ● Rápido
  39. 39. 39 It’s Time To Play….
  40. 40. 40 python3 main.py -t yandex -k token -i path python3 --tag google -n name -i path python3 -t tinder -k token python3 -t instagram -n name -i path python3 -t facebook -n name -i path python3 -t twitter -n name -i path python3 -t boe -n text -s pages Se puede elegir realizar o no el reconocimiento facial. Si no se hace, se puede elegir descargar o no las fotografías.
  41. 41. Data, Data, Data! 41 ● Datos de una gran cantidad de usuarios. ● Múltiples cuentas de Tinder para extraer más perfiles. ● Búsquedas sobre la DB: ○ Nombre ○ Trabajo ○ Edad ○ Localización
  42. 42. 42 Paula Echevarria ● Búsqueda: Paula Echevarria
  43. 43. 43 Ruth González Novillo ● Búsqueda: ○ Ruth ○ Ruth Gonzalez ○ Ruth G ○ Ruth Gz
  44. 44. 44 Miguel Hernández Boza ● Búsqueda: ○ Miguel ○ MiguelHB ○ MiguelHernandez ○ Miguel Hz Foto de perfil, muy pequeña y de muy lejos!
  45. 45. Facebook 45
  46. 46. Yandex 46
  47. 47. boe Texto de entrada: Nombre, Apellidos, DNI, Texto…. 47 * A partir de 2019 los DNIs ya no se publican enteros.
  48. 48. google python3 main.py -t google -n "miguel hernandez boza" -s 100 48
  49. 49. python3 main.py -t google -n "ruth gonzalez novillo" -s 100 -i ruth.jpeg 49
  50. 50. DEMO TIME 50
  51. 51. Recomendaciones ● Recopilar información de cómo una persona puede aparecer en Internet. ● Los usuarios ya no usan Nombre y Apellidos en las RSS pero la mayoría hacen combinaciones. ○ PepeMartinezPerez ○ PepeMarPer ○ Pepe MP ○ PepeMP ○ PPMartinez ● Hacer búsquedas automáticas encadenadas. ● No siempre funciona el reconocimiento facial. ○ Calidad ○ No es una cara 51
  52. 52. Conclusiones 52 ● Existen muchas fuentes de información ● Múltiples herramientas ● Definir: ○ Qué se quiere buscar ○ Cómo se quiere hacer ● Importante: ○ Automatización ○ Correlación de datos ● Diferenciación: ○ NLP ○ Identificación facial mediante ML
  53. 53. Lo que un stalker puede saber de ti, Los riesgos de publicar tu información @MiguelHzBz @RuthGnz Ruthgonzaleznovillo

×