domingo, 10 de maio de 2015

Levantamento de Informações com Twitter e Instagram

Eu acredito que todo bom projeto de Pentest começa com uma boa fase de levantamento de informações. É importante passar um bom tempo obtendo informações sobre a topologia de um determinado alvo (Ex: Faixas de endereços, Servidores e Aplicações) e sobre os seus funcionários. Nesta postagem eu queria focar um pouco sobre algumas técnicas bem simples para realizar o levantamento de informações de funcionários de um determinado alvo.

As redes sociais são grandes fontes de informações para a descoberta dos funcionários de um determinando ambiente. É comum ver pessoas publicando informações sensíveis nas redes sociais (na maioria das vezes de forma inconsciente). Exemplos de informações que eu ja encontrei "garimpando" redes sociais durante a etapa de levantamento de informações em alguns projetos:

  • Nome completo e função de funcionário
  • Telefone/ramal de funcionário
  • Crachás de todos os tipos (Ex: Funcionário / Visitante)
  • Fotos do ambiente interno
  • Mensagens de e-mail
  • Informações sobre a rede interna
  • Usuários de sistemas internos
  • Planta do prédio (Não é brincadeira hehe)
  • Entre outros...

Nesta postagem eu vou falar um pouco sobre como podemos utilizar o Twitter e o Instagram para realizar buscas "avançadas" durante o levantamento de informações.

Geolocalização e redes sociais


Acredito que a utilização de geolocalização (Ex: latitude e longitude) nas buscas torna o processo de levantamento de informações bem mais eficiente. O que eu gosto de fazer é primeiro descobrir a localização do prédio de um determinado alvo e obter as suas coordenadas. Eu gosto de utilizar o site abaixo para obter as coordenadas de um local.

http://www.latlong.net/

Podemos "filtrar" as buscas com geolocalização para aumentar a probabilidade de encontrar publicações de funcionários (A ideia é "pegar" os funcionários publicando nas redes sociais de dentro do ambiente corporativo).


Twitter


Geolocalização no Twitter é bem simples e pode ser executado da seguinte forma:

https://twitter.com/search?q=geocode:latitude,longitude,raio

O raio de busca deve ser definido em quilômetros. Por exemplo:

https://twitter.com/search?q=geocode:48.858370,2.294481,1km


Instagram


Eu tenho visto MUITA gente utilizando o Instagram durante o levantamento de informações em alguns projetos e vejo que atualmente ele tem sido uma das principais fontes de "pérolas". Para realizar as buscas de geolocalização do Instagram precisamos chamar funções específicas de sua API. A função abaixo pode ser chamada com as coordenadas desejadas.

https://api.instagram.com/v1/media/search?lat=<latitude>&lng=<longitude>&access_token=ACCESS-TOKEN

O Instagram retorna o resultado da busca em JSON (por isso tem que fazer um trabalho de parsing dos resultados). Para utilizar a API do Instagram você precisa criar uma conta de desenvolvedor (simples de fazer) e depois obter um token de acesso para utilizar as funções de busca. Você pode encontrar a documentação completa da função no link abaixo:

https://instagram.com/developer/endpoints/media/

Conclusão 


Nesta postagem eu falei um pouco sobre levantamento de informações com redes sociais (Twitter e Instagram). A geolocalização é um ótimo parâmetro para otimização de buscas com o objetivo de identificar os funcionários de uma determinada empresa. Por favor escrevam suas sugestões e comentários!

Obrigado :)

Keep Hacking!

Nenhum comentário:

Postar um comentário