Esta App llamada Libres permite obtener información para ayudar a las mujeres a combatir esta lacra de nuestra sociedad y por ello he pensado que sería interesante realizar un análisis rápido para determinar la postura de seguridad y privacidad de la App.
Desconozco si esta App es realmente de ayuda a las mujeres que sufren violencia de género, sinceramente espero que sí, pero desde un punto de vista de seguridad la App tiene varios problemas. Solo he revisado la versión Android, aunque imagino que la versión iOS sufrirá problemas similares.
Este artículo no es ninguna crítica a la App o a sus desarrolladores sino todo lo contrario: es mi granito de arena para mejorar la seguridad y privacidad que se han descuidado un poco en una App que ayuda en un tema tan preocupante y sensible como la violencia de género.
Falsa sensación de seguridad
En la web del Ministerio podemos leer:
“Todo ello de un forma ágil, sencilla, intuitiva, gratuita y sobre todo confidencial ya que la aplicación se ha diseñado para que permanezca oculta en el menú del teléfono de tal manera que nadie más, salvo ella misma, sepa que dispone de una aplicación sobre violencia de género”.
Lo siento mucho, pero utilizar un icono falso similar a “Ajustes” en Android (ver Fig. 1) y que luego al ejecutar la App aparezca un falso menú (ver Fig. 2) que nos lleva a la auténtica aplicación al pulsar “Aplicación” (ver Fig. 3) no lo llamaría confidencial y diseñada para permanecer oculta como afirma el Ministerio.
Otro problema de seguridad es que toda la comunicación entre la App y los servicios ofrecidos por el Ministerio es en texto claro. Aunque la App no contiene información sensible es siempre aconsejable cifrar las comunicaciones.
Un atacante podría estar espiando la red donde está conectado el dispositivo y ver que Libres está instalada. Además la App permite enviar comentarios / sugerencias al Ministerio que son enviadas sin cifrar.
¡Otra área más de mejora!
Recomendaciones de Seguridad
A continuación algunas recomendaciones para mejorar la seguridad y privacidad de esta App:
La App contiene otros fallos de seguridad, como Debug activado por defecto.
Toda comunicación debería estar cifrada mediante SSL.
En el portal de RTVE en la sección de Tecnología se ha publicado una entrevista que me han realizado recientemente y que espero que los lectores del blog disfrutéis :)
En esta entrevista comento el trabajo realizado por VULNEX para el DARPA, siendo la única startup española en colaborar con el DARPA Cyber Fast Track (CFT) desarrollando un proyecto en I+D en ciberseguridad. También tratamos otros temas de interés como el perfil de los atacantes, por qué falla la seguridad en las empresas, la dificultad de emprender en este país y otras cuestiones.
Agradezco a la gente de RTVE su interés y apoyo a VULNEX para que el público vea que algunas empresas en España sí apostamos por el I+D y gracias a ello estamos trabajando en proyectos interesantes a nivel nacional e internacional.
Ayer, 17 de julio, impartí un seminario gratuito sobre el OWASP Top Ten 2013 que se publicó recientemente y que describe las diez vulnerabilidades más comunes en aplicaciones Web. Este seminario es una colaboración entre la Catedral de Innovación del Ayuntamiento de Madrid y VULNEX para concienciar sobre ciberseguridad.
La presentación del seminario la tenéis colgada en la web de VULNEX.
Si desarrollas aplicaciones web, este documento es para ti!
Aquí os dejo una foto del seminario ;)
Muchas gracias a la Cátedra de Innovación y a todos los asistentes.
Hasta el próximo evento!
¿Qué temas te gustaría que tratara en el próximo evento?
Recientemente se ha creado la ANCITE (Asociación Nacional de Ciberseguridad y Pericia Tecnológica) con el espíritu de crear una autentica asociación nacional dedicada a fomentar la ciberseguridad y el peritaje informático de forma seria y rigurosa, sin duda toda una necesidad en este país.
En la asociación podemos encontrar grandes profesionales como son Pedro Sánchez y Lorenzo Martínez, entre otros (como los fundadores pero dejaré que sean ellos que se presenten), por lo que el tema promete :)
Me parece perfecto que se haga un esfuerzo por concienciar en ciberseguridad, el área por donde me muevo principalmente, por lo que espero poder participar en los proyectos y eventos de la asociación.
Esta magnífica obra escrita de forma clara, simple y de fácil lectura por el empresario Kike Sarasola, uno de los fundadores de la cadena hotelera Room Mate, nos revela a lo largo de sus trece capítulos su forma de ver las cosas y actuar.
Más ideas y menos másters (ISBN: 9788499982878) trata sobre un tema como es el emprendimiento, sin duda hot topic del momento, pero escrita por alguien que ha sabido darle un aire de frescura al negocio de la hostelería y crear una cadena de referencia, todo una hazaña en este país, mediante lógica, pasión y esfuerzo.
Si estás emprendiendo, como el servidor de este post, o estás pensando en hacerlo te recomiendo que leas este libro encarecidamente porque te será bastante útil. El autor nos revela cómo fueron sus comienzos (duros como todos los que hemos pisado este terreno), cómo obtener financiación, rodearte de los mejores (socios, inversores y empleados) y cuidarlos a todos. Pero sobre todo menos teoría y más práctica, ya que hasta que no pongamos nuestro negocio en marcha no podremos saber qué funciona y qué falla.
La obra está llena de referencias a emprendedores de éxito (Ray Kroc, Richard Branson y otros muchos) que en su día fueron disruptivos porque hicieron las cosas de forma diferente y también de ejemplos reales de la vida del autor en su faceta de deportista olímpico y de empresario.
Definitivamente una estupenda obra para todo aquel que quiera empezar o ya sea un emprendedor para coger ideas y lanzarse a la piscina.
Y como él dice en el libro: El <> no existe: ¡ATRÉVETE!
Puntuación (1 rosa, muy malo / 5 rosas, muy bueno): 5 Rosas (Lectura Obligatoria)
El panorama de la seguridad cambió en agosto del 2011 en el congreso de Black Hat cuando el legendario hacker del L0pht Peiter “Mudge” Zatko presentó el nuevo programa Cyber Fast Track (CFT) (DARPA-PA-11-52) del DARPA (Agencia de Proyectos de Investigación Avanzados de Defensa de los EE.UU.) para financiar proyectos de I+D para hackers y pequeñas empresas. En la web del DARPA CFT (offline en estos momentos) o DARPA CFT se puede encontrar toda la información sobre el programa
La idea es simple, los tiempos han cambiado y son los hackers y las pequeñas empresas quienes tienen las ideas y agilidad para innovar, pero no los recursos necesarios y esto es precisamente lo que aporta el programa. Muchos países deberían tomar nota de esta novedosa idea que potencia la creatividad y el I+D.
Para facilitar el proceso de solicitud se colgó una serie de documentos y guías. La idea era agilizar y simplificar el proceso para personas no acostumbradas a lidiar con la burocracia gubernamental. Sin duda una estupenda idea y de gran ayuda.
Aparte de ser un hecho insólito que el DARPA subvencione a hackers (creo que ha sido el único programa de estas características en todo el mundo), ¡mas insólito era el hecho de que este programa estaba abierto a cualquier hacker y boutique de seguridad del mundo entero!
A través de la empresa que funde el año pasado, VULNEX, una startup especializada en ciberseguridad ubicada en Madrid, decidimos probar suerte y creamos una propuesta de I+D que enviamos en agosto del 2012 y a los cinco días recibimos una llamada del DARPA comunicándonos que habían aceptado nuestro proyecto, increíble.
El objetivo del proyecto era mejorar la seguridad en el ciclo de desarrollo de software. La duración del proyecto era de cinco meses analizando los diferentes compiladores (Visual Studio, GCC y LLVM) y versiones para determinar qué medidas de seguridad ofrecen, su efectividad y cómo afectan a los binarios producidos.
Con este profundo análisis, la segunda y tercera fase del proyecto consistían en desarrollar dos tecnologías para ayudar a los programadores a producir software seguro.
Una de las tecnologías desarrolladas es BinSecSweeper, una potente herramienta fácil de utilizar para analizar la postura de seguridad de binarios. La herramienta es de código abierto, multiplataforma y capaz de analizar diferentes tipos de binarios y arquitecturas. BinSecSweeper estará disponible en la web de VULNEX próximamente.
Es una pena que el DARPA terminase con el programa CFT el pasado 1 de abril del 2013, del que tengo entendido se han beneficiado unos 500 proyectos de más de 1500 recibidos. De los proyectos seleccionados han salido herramientas muy interesantes y se presentan en congresos de seguridad de primer nivel, basta que hagamos una búsqueda en la web para poder encontrar muchos de ellos.
Sin duda una idea rompedora que para hackers y pymes ha sido de gran ayuda, y para nosotros VULNEX, una startup española, toda una grata experiencia poder colaborar con el DARPA y nuestra tecnología presentada en eventos internos :)
Desde aquí dar las gracias a Mudge, DARPA y a todo el equipo de BITSystems (encargados de la gestión del CFT).
En las últimas semanas no cesan de aparecer noticias relacionadas con PRISM desde que lo filtrara Edward Snowden, que trabajaba para Booz Allen Hamilton, contratista de defensa para la NSA.
Un resultado interesante de estas filtraciones es el acceso por parte de la NSA a vulnerabilidades 0Day por parte de Microsoft y quién sabe si de otras grandes compañías (Google, Apple, Adobe, etc.) bajo los programas de colaboración Microsoft Active Protections Progam (MAPPS) y el Security Cooperation Program (SCP). El primero es para empresas de seguridad y el segundo para organismos gubernamentales -por ejemplo la agencia de inteligencia española (CNI) es miembro de este programa- con el objetivo de ser informados los primeros cuando aparecen vulnerabilidades para poder protegerse antes de que salgan los conocidos parches y actualizar sus productos de seguridad.
Estos programas se crearon con fines defensivos pero plantean una interesante cuestión: el uso de esta información para fines ofensivos.
Encontrar vulnerabilidades en productos de las grandes compañías es cada vez más costoso, por lo que el acceso a información sobre 0Day por parte de las agencias de inteligencia les hace ganar tiempo y ahorrar recursos. Ahora solo tienen que desarrollar exploits para atacar cualquier sistema, ya que recordemos que aún no se ha publicado el parche de seguridad.
Los países que quieran establecer unas capacidades ofensivas y defensivas deberían crear programas nacionales que ofrezcan una recompensa económica (en función de una escala) a los individuos que les informen de 0Day.
Las grandes compañías de software e Internet son principalmente americanas, pero muchas vulnerabilidades son identificadas y reportadas por expertos en seguridad extranjeros. Si existiera un programa nacional sobre vulnerabilidades podrían informar primero a su gobierno y no a las compañías de software.
La cuestión es ¿por qué debemos informar de vulnerabilidades a las compañías de software para que ellos a su vez informen a sus agencias de inteligencia para realizar actos ofensivos a otras naciones?
Recordemos que las vulnerabilidades 0day y exploits tienen valor económico hoy en día, y muchas empresas públicas y privadas pagan un buen dinero por ello.
En el fondo no deberían sorprendernos los actos de la NSA, ya que al fin y al cabo su misión es la seguridad nacional utilizando todos los medios posibles (legales ¿?), igual que hacen las agencias de inteligencia de muchos países.
Lo que está claro es que el caso PRISM puede que tenga más repercusiones para los EE.UU. de lo que parecía en un principio, y seguramente muchos países cambien su política de ciberseguridad defensiva / ofensiva.
Sin duda será interesante observar cómo las políticas de ciberseguridad evolucionan en los países durante los próximos años.
¿Qué cambios crees que son necesarios en las políticas de ciberseguridad?
Mucho se está hablando estos días sobre el posible uso de troyanos por parte de las Fuerzas y Cuerpos de Seguridad del Estado debido al anuncio de un borrador de la comisión Gallardón, que propone el uso de troyanos y colaboración de hackers para acceder a ordenadores, tabletas y móviles en el curso de investigaciones de delitos de especial gravedad.
Disclaimer: soy el fundador de VULNEX, una boutique española altamente especializada en ciberseguridad que ofrece servicios y productos ofensivos y defensivos por lo que quizás no sea objetivo, pero tampoco pretendo serlo.
Como era de esperar, se están diciendo auténticas barbaridades en muchos medios de prensa, imagino que por la falta de conocimiento en la materia, por lo que expresaré mi opinión al respecto e intentaré arrojar un poco de luz sobre el asunto.
Personalmente no estoy en contra de la utilización de troyanos por parte de las Fuerzas y Cuerpos de Seguridad SIEMPRE Y CUANDO sea para capturar criminales (pederastas, terroristas, mafias, etc.) y NUNCA para otros fines (políticos, espionaje, etc.). Aunque estando en España y con la clase política que tenemos esta cuestión es realmente preocupante.
Vayamos por partes:
Los criminales se han modernizado y utilizan sofisticadas medidas de seguridad informática (equipos de última generación, cifrado seguro, servidores por diferentes países sin tratados de extradición, etc.), por lo que es absolutamente necesario que las Fuerzas y Cuerpos de Seguridad se modernicen y utilicen las últimas tecnologías ofensivas y defensivas para la seguridad nacional.
Pensemos que esto es el equivalente a las escuchas telefónicas (por las que nadie protesta) en el mundo digital.
El uso de troyanos por parte de los gobiernos no es nada nuevo, solo que se mantiene en secreto o se intenta al menos (por ejemplo, Alemania o el FBI en los EE.UU.).
Lo que se propone en el borrador no es pecata minuta, ya que escribir un troyano no es nada trivial. Para esta tarea vamos a requerir un equipo muy preparado con diferentes perfiles (jefes de proyecto, programadores para las diferentes tecnologías, expertos en vulnerabilidades, equipo de testeo, etc.). Vamos, unas capacidades ofensivas que actualmente no existen en este país y sobre todo que no son baratas. (Ejemplo estimación del equipo desarrollo de Stuxnet)
Aparte del troyano con soporte para diferentes plataformas hay que contar con una infraestructura de comunicaciones, soporte y almacenamiento de datos. ¿Cómo y dónde se almacena la información recolectada? ¿Podrían los criminales atacar la infraestructura o subvertir el troyano?
Si este troyano existiera, ¿cómo se haría llegar e instalaría en los equipos de los sospechosos? La seguridad en los entornos desktops (Windows, Linux, MacOS) no tiene el mismo nivel de seguridad que en móviles (Android, iPhone/iOS, BlackBerry, Windows Phone, Firefox OS, etc.). Hoy en día existen varias compañías que ofrecen troyanos profesionales y que aún no han resuelto este problema.
Respecto a la colaboración de hackers, tendremos que ver en que consiste exactamente la colaboración. La cuestión es si será por la fuerza y gratis o remunerada. ¿Qué tipo de hackers: buenos/éticos o detenidos anteriormente? ¿Tendrían acceso al troyano? ¿A qué tipo de información tendrían acceso? ¿Podrían sabotear la operación?, etc.
Los antivirus no serían un impedimento como se dice en algún medio, ya que esta tecnología presenta diversos problemas (por mucho que lo nieguen y les pese a las casas antivirus). Si son tan fiables que se lo digan a Google, RSA, Lockheed-Martin entre otros muchos que han sido atacados y comprometidos y que por supuesto contaban con antivirus, así como otros mecanismos de seguridad (ojo, estoy a favor del uso de los antivirus, pero como una medida más dentro de una estrategia de Defensa en Profundidad).
El desarrollo y uso de tecnologías ofensivas y defensivas por parte de agentes del gobierno deberían estar enmarcados dentro de un plan nacional (Estrategia de CiberSeguridad), que tanto reclama el sector privado. Tema que la EU está trabajando.
Nos quejamos del uso de troyanos por parte de los gobiernos, que lo que buscan es capturar criminales, argumentando que se vulneran nuestros derechos cuando nosotros mismos no paramos de subir información y fotos tanto propias como de nuestro entorno totalmente gratis a todo tipo redes sociales, que son empresas privadas que ganan mucho dinero ofreciendo esta información a terceros y que saben demasiado.
En España hemos sufrido y seguimos sufriendo el azote del terrorismo y demás lacras, todo lo que sea acabar con ello me parece fantástico siempre que se respete la libertad y el derecho de los ciudadanos.
¿Y cuál es tu opinión al respecto sobre esta cuestión: a favor o en contra?
Por diferentes motivos muchas apps necesitan detectar si el teléfono ha sido “rooteado”, por lo que en este artículo veremos diferentes técnicas para averiguarlo. He pensado que un post sobre el tema sería de interés para muchos lectores, ya que es frecuente ver este tipo de preguntas en foros de desarrollo.
En este post de StackOverflow podemos encontrar técnicas comúnmente utilizadas en apps para detectar Rooted. El siguiente código hace uso de 3 métodos para detectar Rooted: el primero busca la cadena “test-keys”, que es una llave genérica para firmar paquetes; el segundo método comprueba si existe el Superuser.apk en el disco, esta app gestiona el acceso al comando su (privilegios administrador) para las demás apps; y por último el tercer método llama directamente a su y ejecuta un comando con privilegios de root.
/**
* @author Kevin Kowalewski
*
*/
public class Root {
private static String LOG_TAG = Root.class.getName();
public boolean isDeviceRooted() {
if (checkRootMethod1()){return true;}
if (checkRootMethod2()){return true;}
if (checkRootMethod3()){return true;}
return false;
}
public boolean checkRootMethod1(){
String buildTags = android.os.Build.TAGS;
if (buildTags != null && buildTags.contains("test-keys")) {
return true;
}
return false;
}
public boolean checkRootMethod2(){
try {
File file = new File("/system/app/Superuser.apk");
if (file.exists()) {
return true;
}
} catch (Exception e) { }
return false;
}
public boolean checkRootMethod3() {
if (new ExecShell().executeCommand(SHELL_CMD.check_su_binary) != null){
return true;
}else{
return false;
}
}
}
/**
* @author Kevin Kowalewski
*
*/
public class ExecShell {
private static String LOG_TAG = ExecShell.class.getName();
public static enum SHELL_CMD {
check_su_binary(new String[] {"/system/xbin/which","su"}),
;
String[] command;
SHELL_CMD(String[] command){
this.command = command;
}
}
public ArrayList
<string> executeCommand(SHELL_CMD shellCmd){
String line = null;
ArrayList
<string> fullResponse = new ArrayList<string>();
Process localProcess = null;
try {
localProcess = Runtime.getRuntime().exec(shellCmd.command);
} catch (Exception e) {
return null;
//e.printStackTrace();
}
BufferedWriter out = new BufferedWriter(new OutputStreamWriter(localProcess.getOutputStream()));
BufferedReader in = new BufferedReader(new InputStreamReader(localProcess.getInputStream()));
try {
while ((line = in.readLine()) != null) {
Log.d(LOG_TAG, "--> Line received: " + line);
fullResponse.add(line);
}
} catch (Exception e) {
e.printStackTrace();
}
Log.d(LOG_TAG, "--> Full response was: " + fullResponse);
return fullResponse;
}
}
</string></string></string>
Las apps en un teléfono que no este rooteado no podrían ejecutar cualquiera de estos métodos, ya que todas las apps en Android están dentro de una sandbox (un sistema de aislamiento de procesos) y con privilegios limitados.
Los tres métodos descritos posiblemente sean los más comunes y si hacemos ingeniería inversa de forma frecuente los podemos encontrar en conocidas apps.
Otras técnicas incluyen el uso de la fantástica librería RootTools que facilita el desarrollo de apps que necesitan root ofreciendo diversas herramientas. Muchas apps utilizan esta librería.
Las funcionalidades de esta librería incluyen comprobar si existe o instalar BusyBox (programa que combina muchas utilidades estándares de Unix en un solo ejecutable pequeño), comprobar si existe o instalar SuperUser, comprobar que se tiene acceso root, herramientas nativas o suficiente espacio en la SD Card.
Como ejercicio para comprobar las técnicas de detección de Rooted he escrito el VULNEX ROOT TESTER que combina diferentes técnicas, desde las básicas aquí presentadas a algunas más sofisticadas de las que hablaremos en otro post. A continuación algunas capturas de la herramienta.
Sin duda la capacidad de detectar Rooted puede ser necesaria para determinadas apps que requieren un elevado nivel de seguridad, pero igualmente para muchas apps legítimas, como diversas apps de seguridad, requieren de root para funcionar correctamente o aprovechar al máximo la plataforma Android.
Tenemos que tener en cuenta que a la hora de escribir una app segura no es suficiente con detectar Rooted, sino que también debemos pensar en realizar un modelo de amenazas de los posibles riesgos para nuestra app, desarrollar de forma segura (por ejemplo OWASP Mobile) y aplicar técnicas de ofuscación de código (entre otras muchas medidas) para mitigar vulnerabilidades y dificultar la ingeniería inversa. Mi recomendación es que si no estamos familiarizados con estos conceptos hablemos con algún profesional en desarrollo seguro.
¿Y vuestra app que técnicas utiliza para detectar Rooted?
El pasado 10 y 11 de mayo se celebró el curso de Perito Informático Forense en Reus (España) por la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI), de la que soy miembro y profesor en los cursos, donde tuve el placer de dar una charla sobre dos de mis pasiones como son Python y OSINT (Open Source Intelligence).
Python es un estupendo lenguaje para desarrollar rápidamente todo tipo de aplicaciones potentes y con multitud de librerías para realizar exploits, ingeniería inversa, herramientas web y más. Sin duda un conocimiento útil para cualquier experto en seguridad.
Internet es inmenso y abarca toda información inimaginable, por ello las técnicas OSINT son de vital importancia para recolectar, analizar y presentar esta información.
Para este curso decidí que sería interesante para los asistentes aprender a desarrollar simples herramientas (scripts) que les permitan realizar OSINT mediante Python con una serie de ejercicios prácticos con un objetivo concreto cada uno.
La presentación y el código están disponibles en la web de VULNEX.
Nota: he quitado la query de Google Hacking de los scripts para que el lector pueda meter su propia query.
Herramienta #1
Objetivo: buscar miembros ANTPJI en LinkedIn mediante Google Custom Search API
Estos scripts son muy sencillos y hacen lo mismo pero de forma diferente. El primero utiliza el Google API Client, mientras que el segundo utiliza la fantástica librería Requests.
En este script estamos utilizando un poco de Google Hacking para buscar miembros de la asociación en LinkedIn.
# File: ex1_a.py
# Date: 05/14/13
# Author: Simon Roses Femerling
# Desc: Basic Google Hacking
#
# VULNEX (C) 2013
# www.vulnex.com
import const
from apiclient.discovery import build
import pprint
# your google hacking query
query=''
query_params=''
doquery=query+query_params
service = build("customsearch","v1",developerKey=const.cse_token)
res = service.cse().list(
q=doquery,
cx=const.cse_id,
num=10).execute()
pprint.pprint(res)
# VULNEX EOF
Al ejecutar cualquiera de estos scripts obtenemos el siguiente resultado:
No demasiado interesante por el momento :)
Herramienta #2
Objetivo: obtener las fotos de los miembros ANTPJI en LinkedIn mediante Google Custom Search API.
El siguiente script obtiene las fotos de los miembros de la asociación en LinkedIn y de paso sacamos los metadatos ;) El script genera una página HTML con todas las fotos.
# File: ex2.py
# Date: 05/14/13
# Author: Simon Roses Femerling
# Desc: Download picture and extract metadata
#
# VULNEX (C) 2013
# www.vulnex.com
import const
from apiclient.discovery import build
import pprint
import os
from PIL import Image
from StringIO import StringIO
from PIL.ExifTags import TAGS
import requests
import markup
def do_query(istart=0):
if istart == 0:
res = service.cse().list(
q=doquery,
cx=const.cse_id,
num=10).execute()
else:
res = service.cse().list(
q=doquery,
cx=const.cse_id,
num=10,
start=istart).execute()
return res
pic_id=1
do_stop=10
cnt=1
page=markup.page()
# Set page title
page.init(title="ANTPJI OSINT")
page.h1("ANTPJI OSINT")
# Set output directory
out_dir = "pics_gepl"
# Your Google Hacking query
query=''
query_params=''
doquery=query+query_params
service = build("customsearch","v1",developerKey=const.cse_token)
if not os.path.exists(out_dir):
os.makedirs(out_dir)
res=[]
while True:
if cnt==1:
res = do_query()
else:
if not res['queries'].has_key("nextPage"): break
res = do_query(res['queries']['nextPage'][0]['startIndex'])
cnt+=1
if cnt > do_stop: break
if res.has_key("items"):
for item in res['items']:
name=""
if not item.has_key('pagemap'): continue
if not item['pagemap'].has_key('hcard'): continue
hcard = item['pagemap']['hcard']
for card in hcard:
pic_url=""
if 'title' in card:
if 'fn' in card: name = card['fn']
if 'photo' in card: pic_url = card['photo']
if pic_url != "":
image = requests.get(pic_url)
pic_n = os.path.join(out_dir,"%s.jpg") % pic_id
file = open(pic_n,"w")
pic_id+=1
try:
i = Image.open(StringIO(image.content))
if hasattr(i,"_getexif"):
ret = {}
info = i._getexif()
if info:
for k,v in info.items():
decode = TAGS.get(k,v)
ret[decode] = v
print ret
i.save(file,"JPEG")
page.p(name.encode('ascii','ignore'))
page.img(src=pic_n)
page.br()
page.br()
except IOError, e:
print "error: %s" % e
file.close()
# Set your output filename
with open('index_gepl.html','w') as fp:
fp.write(str(page))
# VULNEX EOF
Y este es el resultado:
Con unas pocas líneas de código hemos conseguido una herramienta bastante interesante.
Herramienta #3
Objetivo: ¿cuál es la relación de los miembros de ANTPJI en LinkedIn?
Con este script buscamos la relación entre los miembros de la asociación en LinkedIn y creamos un gráfico que relaciona las palabras.
# File: ex3.py
# Date: 05/14/13
# Author: Simon Roses Femerling
# Desc: Build graph from profiles
#
# VULNEX (C) 2013
# www.vulnex.com
import const
from apiclient.discovery import build
import networkx as nx
import matplotlib.pyplot as plt
def do_query(istart=0):
if istart == 0:
res = service.cse().list(
q=doquery,
cx=const.cse_id,
num=10).execute()
else:
res = service.cse().list(
q=doquery,
cx=const.cse_id,
num=10,
start=istart).execute()
return res
do_stop=10
cnt=1
# Your Google Hacking query here
query=''
query_params=''
doquery=query+query_params
service = build("customsearch","v1",developerKey=const.cse_token)
G=nx.DiGraph()
res=[]
while True:
if cnt==1:
res = do_query()
else:
if not res['queries'].has_key("nextPage"): break
res = do_query(res['queries']['nextPage'][0]['startIndex'])
cnt+=1
if cnt > do_stop: break
if res.has_key("items"):
for item in res['items']:
name=""
if not item.has_key('pagemap'): continue
if not item['pagemap'].has_key('hcard'): continue
hcard = item['pagemap']['hcard']
for card in hcard:
if 'title' in card:
if 'fn' in card: name = card['fn']
G.add_edge(name,card["fn"])
plt.figure(figsize=(30,30))
nx.draw(G)
# Set your output filename
plt.savefig('antpji_rela_map.png')
# VULNEX EOF
Y este es el gráfico que se genera:
Herramienta #4
Objetivo: ¿de qué se habla en el Twitter de la asociación?
Este script baja los últimos tweets de la cuenta de la asociación y genera una nube de palabras. Útil para ver rápidamente de qué se habla.
# File: ex4.py
# Date: 05/14/13
# Author: Simon Roses Femerling
# Desc: Create word cloud
#
# VULNEX (C) 2013
# www.vulnex.com
import requests
import json
import urllib
import const
from pytagcloud import create_tag_image, make_tags
from pytagcloud.lang.counter import get_tag_counts
site="http://search.twitter.com/search.json?q="
# Your query here
query=""
url=site+urllib.quote(query)
response = requests.get(url)
tag = []
for res in response.json["results"]:
tag.append(res["text"].encode('ascii','ignore'))
text = "%s" % "".join(tag)
tags = make_tags(get_tag_counts(text),maxsize=100)
# Set your output filename
create_tag_image(tags,"antpji_word_cloud.png", size=(600,500), fontname="Lobster")
# VULNEX EOF
Y esta es la nube de palabras:
Herramienta #5
Objetivo: ¿dónde tienen cuenta los alias que participan en el Twitter de ANTPJI?
El siguiente script extrae los alias que han publicado o mencionado en el Twitter de la asociación y se comprueba si existe ese alias en 160 redes sociales.
# File: ex5.py
# Date: 05/14/13
# Author: Simon Roses Femerling
# Desc: Check usernames on 160 social network sites
#
# VULNEX (C) 2013
# www.vulnex.com
import requests
import json
import urllib
import const
import pprint
site="http://search.twitter.com/search.json?q="
# Your query here
query=""
url=site+urllib.quote(query)
print "Recolectando alias en Twitter: %s\n" % query
response = requests.get(url)
users = []
for res in response.json["results"]:
if res.has_key('to_user'):
if not res['to_user'] in users: users.append(str(res["to_user"]))
if res.has_key('from_user'):
if not res['from_user'] in users: users.append(str(res["from_user"]))
print "ALIAS-> %s" % users
print "\nComprobrando alias en 160 websites\n"
for username in users:
for service in const.services:
try:
res1 = requests.get('http://checkusernames.com/usercheckv2.php?target=' + service + '&username=' + username, headers={'X-Requested-With': 'XMLHttpRequest'}).text
if 'notavailable' in res1:
print ""
print username + " -> " + service
print ""
except Exception as e:
print e
# VULNEX EOF
Y el resultado es el siguiente:
Herramienta #6
Objetivo: ¿se pueden obtener los metadatos en las fotos de ANTPJI?
Este script baja las fotos relacionadas con la asociación en Google y extrae los metadatos.
# File: ex6.py
# Date: 05/14/13
# Author: Simon Roses Femerling
# Desc: Download pictures from Google and extract metadata
#
# VULNEX (C) 2013
# www.vulnex.com
import const
from apiclient.discovery import build
import pprint
import os
from PIL import Image
from StringIO import StringIO
from PIL.ExifTags import TAGS
import requests
import markup
def do_query(istart=0):
if istart == 0:
res = service.cse().list(
q=doquery,
cx=const.cse_id,
num=10).execute()
else:
res = service.cse().list(
q=doquery,
cx=const.cse_id,
num=10,
start=istart).execute()
return res
pic_id=1
do_stop=10
cnt=1
page=markup.page()
# Set your page title
page.init(title="ANTPJI OSINT")
page.h1("ANTPJI OSINT")
# Set output directory
out_dir = "pics_gepl"
# Define your Google hacking query here
query=''
query_params=''
doquery=query+query_params
service = build("customsearch","v1",developerKey=const.cse_token)
if not os.path.exists(out_dir):
os.makedirs(out_dir)
res=[]
while True:
if cnt==1:
res = do_query()
else:
if not res['queries'].has_key("nextPage"): break
res = do_query(res['queries']['nextPage'][0]['startIndex'])
cnt+=1
if cnt > do_stop: break
if res.has_key("items"):
for item in res['items']:
name=""
if not item.has_key('pagemap'): continue
if not item['pagemap'].has_key('hcard'): continue
hcard = item['pagemap']['hcard']
for card in hcard:
pic_url=""
if 'title' in card:
if 'fn' in card: name = card['fn']
if 'photo' in card: pic_url = card['photo']
if pic_url != "":
image = requests.get(pic_url)
pic_n = os.path.join(out_dir,"%s.jpg") % pic_id
file = open(pic_n,"w")
pic_id+=1
try:
i = Image.open(StringIO(image.content))
if hasattr(i,"_getexif"):
ret = {}
info = i._getexif()
if info:
for k,v in info.items():
decode = TAGS.get(k,v)
ret[decode] = v
print ret
i.save(file,"JPEG")
page.p(name.encode('ascii','ignore'))
page.img(src=pic_n)
page.br()
page.br()
except IOError, e:
print "error: %s" % e
file.close()
# Set your output filename
with open('index_gepl.html','w') as fp:
fp.write(str(page))
# VULNEX EOF
Una imagen vale más que mil palabras!
Como hemos visto a lo largo de este artículo podemos escribir sofisticadas herramientas de OSINT de forma sencilla con un poco de Python que nos
permiten recabar mucha información sobre individuos o colectivos.
Si te gustaría que profundizara sobre algún tema en Python y OSINT por favor házmelo saber :)
