Saltar navegación

PROYECTO

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 8 de mayo de 2024 por Pedro Jose M.

4 visualizaciones

PROYECTO JOGE PASTOR

Más información Transcripción

Descargar la transcripción

Buenos días. 00:00:00
Buenos días. 00:00:02
Hoy día 8 del módulo profesional de la red. 00:00:03
Y te informo de que está con fines educativos 00:00:14
y solo estará a disposición de las profesiones 00:00:19
a la vez en la aula virtual y en el aula virtual de la red. 00:00:22
El orden de la presentación. 00:00:33
Primero están en 5 minutos máximo para defender el programa. 00:00:35
Y después 5 minutos para presentar. 00:00:40
Dicho esto, no partimos de aquí en este momento. 00:00:44
Lo dejo a todos. 00:00:50
Muchas gracias. 00:00:50
Y mucha suerte. 00:00:52
Bueno, buenos días 00:00:53
Este trabajo se basa en la introducción a las técnicas de OSIN 00:00:56
y su uso en la fase de reconocimiento 00:01:00
Tienes que compartir 00:01:01
Sobre todo enfocado 00:01:03
Comparte 00:01:06
Y a partir de ahí 00:01:07
Empiezas 00:01:10
No la veo 00:01:13
Ahora se empieza a ver 00:01:14
Perfecto, pues a partir de ahora, si quieres, empezamos 00:01:15
Vale, perfecto 00:01:18
Buenos días 00:01:20
Este trabajo se basa en la introducción a las técnicas de OSIN y su uso en la fase de reconocimiento, sobre todo desde el punto de vista de una posible auditoría de seguridad y enfocado en particular a las técnicas de ataques de spear phishing o phishing dirigidos, 00:01:21
en las cuales un posible atacante lo que haría sería buscar información de una persona vulnerable de la empresa 00:01:39
y a través de hacerse pasar por un directivo o una persona influyente de la empresa, 00:01:46
influiría en el primer trabajador del cual se ha tenido información 00:01:53
e intentaría que clicará en algún enlace para descargar un malware en su ordenador 00:01:57
o realizar algún tipo de transferencia bancaria o una cuenta controlada por el Atacante, por ejemplo. 00:02:03
La motivación para este trabajo, sobre todo, ha sido las múltiples aplicaciones de las técnicas de OSIN que hay hoy en día, 00:02:14
como puede ser tanto en el ámbito de ciberseguridad, pero también en el ámbito empresarial, como en distintos sectores, 00:02:22
incluso en la búsqueda de personas desaparecidas. 00:02:28
A través de este esquema obtenido de la página del INCIBE se puede ver las fases un poco de los INE, en las cuales en primer lugar se establecerían los requisitos de la información a tener, se elaborarían una serie de fuentes de información a partir de las cuales obtendremos esa información y ya pasaríamos a la fase propia de la adquisición de la información. 00:02:31
Esta fase no se queda ahí, aquí tendríamos información bruta y esta información debe ser procesada, porque de nada sirve tener cientos de miles de resultados si no podemos procesar esa información. 00:02:59
Una vez procesada, se hará el análisis de esa información y, a través de ese análisis, la información que se ha obtenido es cuando se obtiene la inteligencia, que es, al final, el objetivo de toda búsqueda de información, tener una información muy concreta para los fines que se quiere utilizar. 00:03:14
En este caso, un atacante sería realizar el ataque de forma efectiva y, en el caso de auditoría de ciberseguridad, conocer hasta dónde puede llegar un atacante para esas vulnerabilidades, luego hacer el informe técnico y exponerlas a la empresa para que las pueda mejorar. 00:03:33
El primer paso a la hora de hacer una auditoría de este tipo sería la anonimización. La anonimización es importante, sobre todo en esta fase de reconocimiento, ya que se va a intentar evitar interactuar con la persona objetivo a tratar. 00:03:51
En el caso de interactuación, se va a evitar esto porque, por ejemplo, si vamos a interactuar con un perfil de LinkedIn, LinkedIn va a informar a esa persona que nosotros hemos consultado su perfil. 00:04:21
O en el caso de TikTok, por ejemplo, si ves una historia, TikTok va a notificar que has visto esa historia. Entonces, esto lo vamos a intentar evitar hasta las fases más posteriores. 00:04:33
Las tecnologías utilizadas para hacer este trabajo se ha basado principalmente en la máquina virtual de Tracelab, que es una ONG canadiense que se dedica a buscar de forma altruista personas desaparecidas. 00:04:47
que se colabora con distintos grupos de seguridad de distintos países con este feeling. 00:05:01
Esta máquina virtual se ha instalado en un entorno de virtualbox 00:05:08
y para la parte de la anonimización se ha utilizado el navegador Tor Browser 00:05:11
para conectarnos a través de los proxys y evitar utilizar nuestra IP pública. 00:05:16
Y como software específico de búsquedas de la ciencia se ha utilizado Malteo, 00:05:23
que es un software muy potente. 00:05:28
En este caso, al tener un carácter educativo, se ha utilizado la versión Community Edition, que es gratuita, pero, bueno, existen otras versiones de pago que dan muchísimos resultados, bastante más potentes. 00:05:29
En la primera fase se ha configurado la máquina virtual, esto simplemente se ha descargado del repositorio de guija de la empresa Tracelab y se ha descargado un archivo .ova que se ha importado a Virtualbox y ya viene pre-configurado. 00:05:44
La única variante que se ha realizado en este caso ha sido aumentar la memoria RAM, ya que al principio se instaló y, por ejemplo, para utilizar el software de Malteo sí que tenía requisitos bastante altos y la ajuste se ha realizado de manera muy lenta, por lo que se ha modificado simplemente el parámetro de la memoria RAM. 00:06:03
Esto es un pantallazo de una vez instalada la máquina virtual 00:06:23
Como se puede ver está basada en Calilinus 00:06:31
Pero con ciertas aplicaciones preinstaladas enfocadas a la OSIN 00:06:34
Aquí se puede ver el logo de Malteo que es una de las que se ha utilizado 00:06:40
Como buscador determinado en el trabajo se ha utilizado Google por simplificar un poco 00:06:44
Pero al final las búsquedas de OSIN se deben realizar en la mayor cantidad de buscadores posibles 00:06:51
ya que de uno a otro, como se puede ver, hay una cantidad de resultados muy dispares. 00:06:56
Aquí en Google, por ejemplo, hay millones de resultados, en Yahoo hay 92.000, por ejemplo. 00:07:02
Entonces, al final, no se puede limitar todo a un tipo de buscador porque podríamos perder parte de la información. 00:07:08
La primera fase que se ha seguido en la búsqueda pura de información ha sido buscar un email, 00:07:17
Bueno, un dominio que utilice la empresa objetivo, ya que todas las empresas al final lo que utilizan es el mismo dominio, a partir del arroba suele utilizar siempre lo mismo y luego, dependiendo del departamento o el trabajador, pues cambia la primera parte. 00:07:24
Por lo tanto, se han empezado a realizar las búsquedas a partir de esto. 00:07:40
Es un pantallazo directamente de la empresa en la cual se ha tenido ya el dominio del correo utilizado. 00:07:45
A partir de esto ya empezamos a trabajar con DORs de Google, o sea, de palabras clave o búsquedas avanzadas. En este caso se ha utilizado el DOR site, dos puntos, linkedin.com, lo que quiere decir que se ha buscado todos los resultados que aparezcan solo en la página web de Linkedin. 00:07:50
y a partir de ahí se ha puesto entrecomillado el dominio precedido de un asterisco. 00:08:10
El asterisco lo que indica es que cualquier carácter es válido ahí, por lo que cualquier correo electrónico que haya del objetivo 00:08:17
nos va a valer siempre y cuando la última parte del dominio sea de la empresa. 00:08:24
A través de esto es cuando se ha conseguido un resultado de una persona en la que previsiblemente 00:08:30
visiblemente había colgado su correo corporativo en su página personal del LinkedIn. En esa página personal aparecía un nombre y un apellido, el primer apellido de esa persona y visiblemente también el correo electrónico, 00:08:35
con lo que ya tendríamos datos a partir de los cuales seguir la investigación. A partir de aquí y con el mismo parámetro anterior se ha añadido el nombre de la persona que se encontró anteriormente 00:08:50
y se ha conseguido obtener una fotografía de esa persona. 00:09:01
Esto ya conviene a ser información bastante personal del objetivo y una posible vulnerabilidad, 00:09:05
ya que a través de la imagen ya se pueden hacer bastantes más búsquedas. 00:09:13
En cuanto a las búsquedas que se pueden hacer, son múltiples, tanto por fotografía como nombre de usuario, como email. 00:09:19
Y hay metabuscadores que lo que hacen son páginas web, al final, lo que reúnen una serie de herramientas. En este caso es de OSIM Framework, pero existe otra que se llama Malfas, etc. Entonces, a través de aquí tendríamos enlaces a distintas herramientas. 00:09:25
Una de las herramientas, por ejemplo, gracias a la foto podríamos hacer una búsqueda inversa que es a través de Yandex.com, que es un buscador al estilo de Google, pero de origen ruso, en el que es gratuito y, como se puede ver, ofrece unos resultados bastante similares entre ellos. 00:09:39
En este caso no nos ha obtenido el objetivo, pero son bastante buenos. Existen otras herramientas de pago que son mucho más certeras, pero que al ser de pago no se han utilizado. 00:09:57
Una vez con el nombre se ha proseguido buscando información. En este caso se utilizó entrecomillado para que sea una búsqueda exacta del nombre más el nombre de la empresa. 00:10:13
Gracias a esto se volvió a encontrar nuevas redes sociales, como se puede ver ahí de la red social X, el antiguo Twitter, con nuevas fotografías de esta persona, a través de las cuales se pueden hacer nuevas búsquedas inversas de fotografías, etc. 00:10:23
Y igualmente en esta búsqueda se localizó el segundo apellido y el nombre de usuario de la persona, por lo que ya tendríamos nombre completo, email corporativo y nombre de usuario. 00:10:40
El nombre de usuario es algo muy sensible ya que es algo que las personas suelen variar muy poco y en las redes sociales lo suelen mantener, aunque, por ejemplo, en Instagram puedas cambiar el nombre que te aparece para buscar, pero el nombre de usuario que aparece en las URLs suele ser común. 00:10:54
Hay veces que en las redes sociales eso no varía nunca. Entonces, por ejemplo, en este caso se ha buscado, en el caso de ahí de la derecha, se ha buscado con el autor de Google inurl, dos puntos, el nombre de usuario y se ha localizado una nueva red social. 00:11:14
Y no URL significa que la palabra que busquemos tiene que estar integrada dentro de la URL consultada. 00:11:30
En cuanto a los nombres de usuarios, como os he comentado, eso es muy específico y existen repositores como este ejemplo que se ha puesto, que está sacado de Exploited Database, en el cual mediante combinaciones de dos de Google se puede localizar información sobre ese nombre de usuario. 00:11:39
Aquí hay muchísimos ejemplos. Igualmente, a través del correo electrónico se pueden llegar incluso a saber las claves utilizadas para ese correo electrónico. Hay páginas web, como en este caso, Javidipond, que se puede ver si el correo electrónico ha estado presente en algún leak o alguna filtración de alguna empresa, en algún ataque de alguna empresa. 00:12:01
Una vez ya con el correo electrónico, un ataque ante el final puede entrar perfectamente en la darweb y en la darweb ya incluso se puede comprar esa información o se puede saber también hasta la contraseña que tenía en el que se hizo. 00:12:24
Por lo tanto, es algo bastante crítico. 00:12:38
Tener toda la información de manera manual, ya se ha pasado a utilizar también el programa de Malteo, que es una herramienta, como os he comentado, muy potente, 00:12:40
en la que se basa en la instalación de distintos complementos, como se puede ver en la foto de la izquierda. 00:12:53
A través de esos complementos se pueden hacer distintos tipos de búsquedas. 00:12:59
En este caso se ha realizado búsqueda por el nombre completo de la persona y se han encontrado numerosas redes sociales, 00:13:02
en las que algunas simplemente eran personas con nombres similares y otras sí que eran los resultados que se han obtenido anteriormente. 00:13:08
La diferencia básicamente con la búsqueda manual es que es muchísimo más rápida y al final siempre es mejor complementar las dos, una búsqueda automatizada y una manual. 00:13:18
Una vez obtenida toda la información posible de la víctima, ya se entraría a hacer el mismo proceso en el equipo directivo o en la persona que queramos que haga influencia sobre esa persona, 00:13:32
como os he comentado, para abrir un enlace con un malware o realizar una transferencia, por ejemplo. 00:13:46
La mayor parte de las empresas en sus páginas corporativas tienen un apartado que se llama Consejo de Administración o Equipo Directivo, 00:13:52
en el cual van a aparecer las personas de ese consejo o de ese equipo directivo con el nombre, apellido, la foto, 00:14:00
por lo cual se puede hacer de nuevo ese proceso y con toda la información nueva ya sigue el laboral, el spear phishing, con el que se va a atacar a la primera víctima. 00:14:07
Todo esto, al final, aplicado en contexto laboral, lo que se pretende al hacer una auditoría es reducir el impacto que pueda generar en la empresa. Por lo que, si mediante el informe podemos ver las vulnerabilidades, se puede elaborar una serie de herramientas para disminuirlas y disminuir la probabilidad. 00:14:17
En este caso, una de las más sencillas que puede ser, por ejemplo, es la formación de los empleados, que sepan cómo se les puede atacar para poder defenderse de esto. 00:14:40
Al final, esto es común a todas las empresas, ya sean grandes o pequeñas. 00:14:51
En este caso, por ejemplo, hay muchos ejemplos de empresas muy grandes que han sido hackeadas y no todo tiene por qué ser por vulnerabilidades del sistema informático. 00:14:55
Puede ser, al final, trabajadores que, por algún tipo de despiste de este tipo, como un spear phishing, pueden acceder a una empresa aún teniendo un buen sistema de ciberseguridad. 00:15:04
Por lo tanto, al final, como he comentado, la formación es algo muy básico, muy sencillo y bastante barato. 00:15:16
Y, por ejemplo, en este caso, para protegerse de los spear phishing, un atacante al final lo que puede hacer es enviar un correo con técnicas más elaboradas o menos elaboradas. 00:15:24
En el caso de las menos elaboradas, lo que puede hacer es cambiar el del dominio, un AO por un 0, cosas así, que una persona no se dé cuenta. 00:15:38
O en técnicas más elaboradas puede hacer un ataque de email spoofing cambiando la cabecera. 00:15:47
Esto simplemente se puede controlar yendo, en este caso es Gmail, a las opciones adicionales en Mostrar Original y en Mostrar Original se puede ver todos los datos de la cabecera, tanto la IP del servidor desde el que parte, desde el que inició, etc. 00:15:51
Al final, las técnicas de OSINT se pueden aplicar en muchas vías futuras y en muchos campos, como puede ser, por ejemplo, en marketing, para elaborar un estudio de mercado sobre una empresa o incluso en periodismo o en muchos campos. 00:16:05
Al final, el periodismo, por ejemplo, se basa en la búsqueda de información y el OSIN se basa en eso principalmente. Por lo tanto, al final, las técnicas de OSIN es algo que está muy en auge e incluso existen congresos. 00:16:24
En este mismo mes en Madrid hay un congreso que se llama Osintomático, que está respaldado por empresas muy grandes e incluso por el gobierno, etc. Y al final es algo en lo que se está invirtiendo mucho, es algo barato y que puede ayudar mucho a disminuir para las empresas la probabilidad de sufrir un ataque y el posible impacto. Muchas gracias. 00:16:39
Perfecto. Ya nos ha tardado 15 minutos justo. Y nada, ahora llega el momento de las preguntas. 00:17:06
Y bueno, has estado hablando de todo el proyecto de técnicas, y bueno, nada que la naturaleza de la recolección de datos en ciberseguridad tiene ciertas implicaciones acerca de la seguridad y de la ética. 00:17:16
¿Cómo te aseguraste de que el uso de las técnicas se adhiriera a las normativas éticas y legales pertinentes ahora? 00:17:34
A ver, entre comillas lo bueno de Lossing es que al final es fuentes abiertas, entonces es todo lo que está publicado al final, de por sí la persona que lo ha publicado ya lo ha hecho público 00:17:46
De todas formas, al intentar minimizar el riesgo que pueda, en este caso la empresa que se ha utilizado o lo que sea, se ha omitido totalmente cualquier referencia al nombre del trabajador o a la empresa, se ha borrado todo esto para evitar una vulnerabilidad o cualquier motivo. 00:18:02
Pero bueno, al final las técnicas dos sin es eso. La gente ha cometido entre comillas el error o ha sido consciente de que lo ha publicado y ahí ya se están exponiendo. En este caso se ha intentado omitir todo para evitar o minimizar el riesgo. 00:18:22
Perfecto. En cuanto a las técnicas específicas, has utilizado varias herramientas y técnicas. 00:18:39
¿Puedes descubrir alguna situación específica donde has aplicado alguna técnica que consideres que es crucial para el éxito de este proyecto? 00:18:45
Sobre todo, al final, los doors de Google es algo muy simple, pero que, como se puede ver, se ha obtenido muchísima información. 00:18:57
En este caso es una información bastante limitada, pero he hecho búsquedas de otro tipo, de otras organizaciones por curiosidad y es que incluso se llega a encontrar domicilios de las personas, por ejemplo, hay un DOR que es file type, que es con el tipo de archivo, se puede poner un PDF o se puede poner tal. 00:19:06
Y incluso se pueden encontrar contraseñas, se pueden encontrar PDFs en los que se haya publicado el DNI. Entonces, los Google DLs es algo muy sencillo, pero que si lo sabes utilizar muy bien, la verdad es que es sorprendente la cantidad de información que se encuentra. 00:19:29
Y en cuanto a las vías futuras, ¿qué mejoras específicas considerarías implementar en futuras versiones de este proyecto? 00:19:44
¿Hay tecnologías o herramientas que crees que se pueden integrar para mejorar los resultados? 00:20:00
Sí, a ver, es que hay muchísimos campos en los que se puede utilizar y que a día de hoy yo pienso que no se están utilizando. 00:20:09
En tema de marketing o cosas así, por ejemplo, no se busca información de esta manera. 00:20:18
Y al final es muchísima información que se queda y se pierde. Muchas veces tendemos a comprar programas, compramos información a otras empresas y cuando hay mucha información publicada, ¿qué nos está utilizando? 00:20:24
hay programas ahora mismo muy potentes 00:20:40
las versiones de malteo de pago 00:20:43
son muy potentes y otros programas 00:20:44
por ejemplo para búsqueda inversa de imágenes 00:20:46
hay uno que se llama Pimais 00:20:48
me parece 00:20:51
que tiene una efectividad 00:20:51
muy alta, son programas que es verdad 00:20:55
que cuestan dinero pero bueno 00:20:56
hay que tenerlo en cuenta también a la hora de hacer 00:20:59
una auditoría de ciberseguridad 00:21:01
porque un atacante saca 00:21:02
muchísimo dinero de este tipo de ataques 00:21:04
y lógicamente ellos van a utilizar 00:21:06
este tipo de herramientas, por lo que no se puede 00:21:08
dejar de lado. Bien, pues con esto 00:21:10
termino en los cinco minutos. 00:21:14
Vale. 00:21:22
Autor/es:
JORGE PASTOR
Subido por:
Pedro Jose M.
Licencia:
Todos los derechos reservados
Visualizaciones:
4
Fecha:
8 de mayo de 2024 - 14:12
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
21′ 24″
Relación de aspecto:
2.48:1
Resolución:
1280x516 píxeles
Tamaño:
42.20 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid