Recomendados
Más contenido relacionado
Similar a Tu identidad en internet - c0r0nac0n
Similar a Tu identidad en internet - c0r0nac0n (20)
Último
Último (20)
Tu identidad en internet - c0r0nac0n
- 2. QUIENESSOMOS Security & Cloud Researcher at BBVA Next Technologies @RuthGnz ruthgonzaleznovillo RUTHGONZÁLEZNOVILLO Security Researcher & Pentester at BBVA Next Technologies @MiguelHzBz MiguelHzBz MIGUELHERNÁNDEZBOZA
- 3. Índicedelacharla Introducción Qué se puede hacer con los datos que hay en internet 01 Herramientas Listado de referencias para la recopilación de información 02 SpyScrap Nuestra propuesta03 Conclusiones Recomendaciones de seguridad en privacidad04
- 5. Identidadenelmundoreal Cada vez más, la vigilancia que existe en las ciudades es más agresiva, colocando multitud de cámaras. Algunos ejemplos son Reino Unido o Japón. Los sistemas de reconocimiento facial no están siendo bien vistos desde un punto ético. Al igual que en la vida real, en Internet vamos dejando una huella digital que es posible rastrear. Cuanta información hemos publicado y con cual se nos puede identificar. 5 IdentidadenInternet
- 7. ¿QuéesOSINT? Inteligencia de fuentes abiertas u «Open Source Intelligence» (OSINT) hace referencia al conocimiento recopilado a partir de fuentes de acceso público. [INCIBE] Fuentes de Información ❖ Medios de comunicación ❖ Redes sociales ❖ Foros ❖ Fuentes gubernamentales ❖ Conferencias SOCMINT tiene como fuente de información exclusivamente las redes sociales y trata de convertirla en inteligencia. 7
- 8. Seguidoresquenovemos “En solo 60 segundos en internet se envían 187 millones de emails, se realizan 3,7 millones de consultas en buscadores, se envían 38 millones de mensajes por WhatsApp, se publican 481 mil tweets, se miran 4,3 millones de videos en YouTube, se descargan 375 mil aplicaciones, se comparten 174 mil fotos en Instagram y se gastan unos 862 mil dólares en compras online.” https://adc.org.ar/wp-content/uploads/2019/06/045-seguidores-que-no-vemos-10-2018.pdf El Gobierno Español barre las redes sociales en busca de mensajes que no son necesariamente ilegales. El propio Ministro del Interior, Fernando Grande-Marlaska, se refirió a ellos como "discursos peligrosos" durante una comparecencia pública este fin de semana. En ella, aseguró que los funcionarios públicos están monitorizando las redes sociales "con el fin de comprobar algunos discursos que puedan ser peligrosos o delictivos", además de detectar "campañas de desinformación". Fuente: https://www.elmundo.es/tecnologia/2020/04/15/5e95fe5dfc6c8305188b4644.html “En Boston, Estados Unidos, la American Civil Liberties Union (ACLU) reportó preocupaciones sobre discriminación racial por parte del departamento de policía al utilizar una herramienta para monitorear redes sociales enfocándose injustamente en personas que utilizaban el hashtag #MuslimLivesMatter en Twitter.”
- 9. GeneralDataProtectionRegulation (GDPR) ❖ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo ❖ Aplicable desde el 25 de mayo de 2018 ❖ Deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 LeyOrgánica3/2018ProteccióndeDatos Personales ❖ Aplicable desde 07/12/2018 ❖ Adaptar nuestra legislación al GDPR ❖ Extensión de la GDPR ❖ Regular el derecho fundamental a la protección de datos ❖ Garantizar los derechos digitales de los ciudadanos Reglamento: Actos legislativos vinculantes. Deben aplicarse en su integridad en toda la UE. Directiva: Actos legislativos que establecen objetivos que todos los países deben cumplir. Cada país elabora sus propias leyes.
- 12. Fuente: https://techgaming.pk/2019/05/28/a-chinese-programmer-with-the-help-of-neural-networks-has-identified-100-thousand-porn-actresses-from-photos-in-social-networks/ Un programador chino dice que con ayuda de unos amigos ha sido capaz de identificar y relacionar, a través de redes neuronales, a 100.000 actrices porno usando sus fotos en redes sociales. Los autores decían que el objetivo es saber si la mujer con la que te vas a casar aparece en algún vídeo de este tipo. No aparece rastro alguno de si este proyecto es real, código disponible o bases de datos con algún tipo de prueba que pueda verificar lo que dicen. Osint + 18 ¿Esposible?
- 13. OSINT+18 Fuente: https://sexualitics.github.io/ -> Dataset de videos (2007 - 2013) ~ 800.000 entradas No existe path para listar usuarios Top Sites api.pornhub.com api.xhamster.com
- 14. OSINT+18 Proceso bastante manual debido a que las webs no tienen implementadas (al menos de cara a un usuario consumidor) las llamadas para poder recopilar la información de sus usuarios. No es el objetivo de esta charla
- 16. Herramientas 02
- 19. HerramientasdeOSINT https://github.com/pownjs/pown-recon Herramienta de recopilación de datos abiertos con la salida en modo grafo para después poder visualizarlo con otras aplicaciones como SecApps.com. POWN-RECON https://paterva.com/buy/maltego-clients.php La herramienta más famosa para analistas y expertos en ciberinteligencia ($$$). MALTEGO
- 21. ❖ Las principales redes sociales cuentan con APIs que permiten la interacción con sus plataformas para crear tus propias aplicaciones. ❖ Muchas de ellas están documentadas y tienen ratios de uso. APIs:LastripasdelasRRSS ❖ Dependiendo de la autenticación permiten extraer grandes cantidades de datos.
- 22. APIs:LastripasdelasRRSS APIOculta Recopilación de ~ 500 usuarios por día APIProtegidas TINDER HAPPN AUT LOOVO api.adoptauntio.es/robots.txt ---- Scanning ---- URL: https://api.adoptauntio.es/api/ https://api.adoptauntio.es/api/users (CODE:401) https://api.happn.fr/ ---- Scanning URL: https://api.happn.fr/api/ ---- https://api.happn.fr/api/users/user_id FAIL AUTH TOKEN FB https://api.lovoo.com/robots.txt ---- Scanning URL: https://api.lovoo.com/api_web.php/ ---- https://api.lovoo.com/api_web.php/init (CODE: 200)
- 23. ¿YCONIMÁGENES?
- 24. Reverseimagesearch ◂ Búsqueda de imágenes similares ◂ ¿Quién? ◂ Google ◂ Bing ◂ Yandex ◂ Baidu ◂ Yahoo ◂ Herramientas web dedicadas ◂ TinEye ◂ Prepostseo ◂ Duplichecker 24
- 25. OSINTCONIMÁGENES ◂ Servicios Web: ◂ Son de pago ◂ Analizan Internet ◂ Generan bases de datos ◂ Algunos bloqueados por GDPR ◂ https://pimeyes.com/en/ ◂ https://socialcatfish.com/
- 26. SocialMapper OSINTCONIMÁGENES 26 ◂ Correlación de perfiles en RRSS mediante identificación facial. ◂ Entradas ◂ Carpeta con imágenes conocidas y nombres ◂ Nombre de una organización ◂ CSV con nombres y URLs de imágenes ◂ RRSS ◂ Linkedin, Facebook, Twitter, GooglePlus, Instagram, VKontakte, Weibo, Douban NecesitasiempreNOMBREdelapersona NecesitascredencialesdelasRRSS:Problemasconlassesiones.
- 27. SpyScrap 03
- 28. SpyScrapHerramienta de Scraping OSINT https://github.com/RuthGnz/SpyScrap
- 30. ¿CómoFunciona? ¿Quiénes? ➔ ImageSearch ➔ RRSS ➔ Fuentes Gubernamentales Perfiladodelusuario ❖ Fotossimilares ❖ URLs ❖ Palabrasrelacionadas ❖ PerfilesRSS
- 31. BrowserAutomation:Selenium ◂ Herramienta para automatizar acciones del navegador. ◂ Programable: ◂ Python API https://selenium-python.readthedocs.io/ ◂ Testing de aplicaciones ◂ AUTOMATIZACIÓN DE BÚSQUEDAS
- 32. PLN/NLP Análisis sintáctico Extracción de entidades CÓDIGO DEFINICIÓN OBJETIVO Campo de las ciencias de la computación, inteligencia artificial y lingüística que estudia las interacciones entre las computadoras y el lenguaje humano
- 33. RECONOCIMIENTOFACIAL ◂ Face Recognition: ◂ https://github.com/ageitgey/face_recognition ◂ Dlib: Detección y reconocimiento
- 36. 1. ImageSearch ◂ Yandex (Reverse Image Search) ◂ Inputs: ◂ Imágen conocida ◂ Outputs: ◂ Imágenes y urls ◂ Google (Search Photos) ◂ Inputs: ◂ Nombre ◂ Imágen conocida ◂ Outputs: ◂ Imágenes y urls ◂ NLP
- 37. 2.RedesSociales INSTAGRAM ◂ Selenium ◂ https://www.google.com/searc h?q=site:twitter.com+AND+<na me> ◂ Coge información del perfil y la imágen ◂ Selenium ◂ https://facebook.com /public/<name> ◂ Fotos y datos TWITTER FACEBOOK TINDER ◂ API abierta ◂ https://www.instagram.com/web /search/topsearch/?context=bl ended&query=<name> ◂ Fotos y datos ◂ API REST con Token ◂ https://api.gotinder.com ◂ Límite por usuario/día ◂ No permite búsquedas concretas, se almacenan los datos en DB y se busca sobre ella.
- 38. 3.FuentesGubernamentales BOE: Contiene documentos oficiales donde se pueden encontrar DNIs, nombres y apellidos. Hay versión PDF y versión XML. ◂ Selenium + XML ◂ Búsquedas: ◂ DNI ◂ Apellidos y/o Nombre ◂ Palabras clave ◂ Fechas de búsqueda opcional. ◂ Resultados: ◂ Documento BOE ◂ DNIs, Nombres y apellidos encontrados.
- 40. CLITOOL
- 41. Tinder
- 43. Google
- 44. WEBINTERFACE
- 57. BOE 57
- 58. 58BOE
- 59. GLOBAL
- 60. GLOBAL
- 61. GLOBAL
- 62. GLOBAL
- 64. Conclusiones 04
- 65. Conclusiones ◂ Existen muchas fuentes de información ◂ Múltiples herramientas ◂ Definir ◂ Qué se quiere buscar / Cómo se quiere hacer ◂ Importante ◂ Automatización / Correlación de datos ◂ Diferenciación ◂ NLP / Identificación facial mediante ML
- 66. Recomendaciones ◂ Nunca sabes dónde pueden acabar tus datos, ten cuidado con lo que publicas en internet. ◂ Los usuarios no usan su nombre y apellidos como nickname pero suelen ser combinaciones: ◂ PepeMartinez ◂ PepeMart ◂ PepeM ◂ Usar avatares como imagen de perfil puede dificultar tu identificación. ◂ Cada vez son más accesibles este tipo de herramientas. ◂ Calidad de las fotos ◂ Detección de caras