OSINT

Doctor, si se me revuelven las tripas… (I): “Toma un poco de #OSINT con #Tinfoleak”

 Hola secuaces:

En primer lugar quiero pediros disculpas porque me voy a saltar el orden de entradas que tenía pensado. En lugar de seguir con la fase de adquisición de evidencias, voy a introduciros, introducirme, en el mundo del OSINT, (Open Source Intelligence o Inteligencia de Fuentes Abiertas). Muy desconocido para mí, aunque me gusta ‘trastear’ con ello.

Básicamente, OSINT es una técnica aplicada para la recolección y análisis de una información que es pública y accesible, a través de Internet. Esta técnica es muy usada por las FFCCSE y por los analistas de los Servicios de Inteligencia. Podéis ver la definición en la Wikipedia.

Todos tenemos días buenos, días malos y días peores. Si a eso le añadimos una lectura como esta…: “Baños compara a la Guardia Civil con terroristas del estado islámico.”

Sin comentarios, ¿no? A mí, me duele esta noticia por varios motivos. Y sólo voy a hacer un comentario: El terrorismo islámico es un asunto muy delicado.

Tengo por norma no entablar algunos temas de conversación que siempre terminan en disputas. Uno de ellos, como no podía ser de otra forma, es la política. Por esta razón, vamos al lío.

Antonio Baños… Antonio Baños… quién es este ‘señor’. Acudo a Google y pongo, “Antonio Baños”.

¡Zas! Primer resultado. Wikipedia. Le hecho ganas y pierdo unos minutos en leer su contenido. Tras leerlo, me fijo en el margen derecho de la página. ¡Qué ven mis ojos! Si tiene perfil de Twitter. No necesito saber más.

OSINT + Twitter = Tinfoleak, (Lo tengo claro). Y además tenemos un “voluntario”.

Tinfoleak, es una magnífica herramienta, escrita en Python por Vicente Aguilera Díaz, (@VAguileraDiaz), entre otras muchas cosas, cofundador de Internet Security Auditors. Se trata de una herramienta usada para extraer información, de una forma automática, de un perfil de Twitter. Analizando los datos que se recojan se pueden llegar a interesantes conclusiones, como el nivel cultural y de educación del usuario, su estado de ánimo, su comportamiento, sus cambios de actitud, sus intenciones… Pero es un trabajo muy laborioso y que requiere muchas horas y/o días.

Voy a intentar explicaros cómo se instala y cómo funciona.

Tras descargar la herramienta desde su sitio oficial, a través de

wget http://www.isecauditors.com/sites/default/files/files/tinfoleak-1.5.tar.gz

Procedemos a su descompresión y acceso a su directorio, con

tar xzvf tinfoleak-1.5.tar.gz
cd tinfoleak-1.5

Listamos el directorio, con

ls -l

Lo primero que debemos hacer, es modificar el fichero ‘tinfoleak.py’. Para ello, ejecutamos un

nano tinfoleak.py

Y ahora tenemos que cambiar unos parámetros en la línea 69. Donde dice ‘self.api = tweepy.API(auth, secure=True)’, debe decir ‘self.api = tweepy.API(auth)’.

Tras esta modificación, instalamos las dependencias, a través de

sudo pip install tweepy
sudo pip install exifread
sudo apt-get install python-pyexiv2

Con esto ya tenemos instaladas las dependencias y la herramienta casi lista para operar. Pero ahora debemos ir al sitio de desarrolladores de Twitter y crear una aplicación.

Cumplimentamos los datos que nos piden, aceptamos las condiciones y le damos a ‘Create your Twitter application’. Nos debe decir que se ha creado correctamente.

Ahora debemos irnos a ‘Keys and Access Tokens’. Copiamos nuestros códigos y los guardamos a muy buen recaudo.

Si ahora nos dirigimos a la configuración de nuestra cuenta de Twitter, al apartado de aplicaciones,

Debemos ver que la aplicación que hemos creado tiene permisos.

Ahora, para terminar de configurar la aplicación, tan solo nos queda editar el fichero ‘tinfoleak.conf’, a través de

nano tinfoleak.conf

Y copiamos las cuatro claves, cada una en su campo.

Ahora sí, ya estamos listos para trabajar.

Empezamos llamando a la ayuda de la herramienta, con

python tinfoleak.py -h

Y podemos ver todas las opciones que nos da.

Pues, sin más dilación, comenzamos con

python tinfoleak.py antoniobanos_ -is -t 500 --hashtags --mentions --meta --media d --top 10 -o AntonioBanos

Y dejamos que trabaje tranquilamente.

Al terminar el proceso, tendremos generado un reporte, en formato ‘.html’, que podemos comprobar con

ls -l ReportTemplate/AntonioBanos
file ReportTemplate/AntonioBanos

Y descargados todos los ficheros que han sido compartidos por este usuario, que podemos listar con

ls antoniobanos_

Nos dirigimos a la ruta donde se ha generado el reporte y lo abrimos con cualquier navegador.

Y aquí está. Bien bonito y bien completo. Nombre del perfil, alias, el ID de Twitter, la fecha de la creación de la cuenta, número de seguidores y seguidos, la localización, la zona horaria, (que no la tiene establecida), número de tweets y la geolocalización, (que la tiene deshabilitada).

Podemos ver los clientes que ha usado para compartir los tweets, con la fecha de primer uso, la de último uso, el número de usos y el porcentaje.

Y aquí todo lo que puede recopilar esta maravillosa herramienta. Los clientes, (que los acabamos de mencionar), los hashtags, las menciones a usuarios, los tweets, los metadatos, los ficheros de imagen y video y la geolocalización.

Como tan solo quería mostraros cómo instalar, configurar y trabajar con esta herramienta, voy a ver simplemente su primer tweet.

Hecho el día 30 de julio de 2015, a las 12.41.01 horas, con 1472 RTs y 718 Fav y con el hasgtag #27S2015. Presionamos sobre ‘view’ y…

Aquí está. Su primer tweet: “Venir a ganar la independencia, venir a desobedecer al Estado y venir a construir un país @cupnacional #27S2015

¡¡Dónde estaría yo si hiciera este comentario!!

Como dije al principio, no voy a comentar nada. Si lo deseáis, podéis bucear un poco en algunas fechas destacadas de este TL, a través de algunas hemerotecas.

No quiero despedirme, para variar, sin recomendar antes que sigáis a Vicente y que leáis algunos análisis que ha hecho. Son muy interesantes. A modo de ejemplo, este: Analizando el 13/11 con Tinfoleak

Ahora sí…

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos @_N4rr34n6_

4 comentarios en “Doctor, si se me revuelven las tripas… (I): “Toma un poco de #OSINT con #Tinfoleak”

    1. Hola, Eddy. Me alegra que te guste la herramienta. En cuanto a tus preguntas… La dirección IP es dato de carácter sensible, por lo que sólo el propietario de la cuenta puede verlo, (de hecho, se le pide siempre que introduzca la clave para la verificación de la propiedad). En cuanto a una herramienta similar para Facebook, ahora mismo, de cabeza, desconozco si existe alguna. Pero tienes alternativas. Te recomiendo que pases por http://osintframework.com/ Es un recopilatorio de herramientas OSINT.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Los datos introducidos se guardarán en nuestra base de datos como parte del comentario publicado, como se indica en la política de privacidad.