Hack x Crack - Comunidad de Seguridad informática

Seguridad Informatica => Seguridad => Mensaje iniciado por: Sp3cialK en Marzo 27, 2018, 02:16:09 pm

Título: Guía Anti-Doxing by Sp3cialK
Publicado por: Sp3cialK en Marzo 27, 2018, 02:16:09 pm
               GUIA DEFINITIVA ANTI-DOXING
                      BY SP3CIALK


                    Aviso
                    --------

Antes de empezar esta guía, quiero remarcar que no me hago responsable del uso que se le dé.
Esta guía esta hecha con fines educativos y los ataques mostrados son enseñados para defenderse de ellos.
Un dox puede ser denunciado por acoso, aun que toda la información recopilada sea pública. Estáis avisados.


                         Indice
                         ---------

1. Introducción al ataque. Definición de Dox. ¿Que se necesita a la hora de realizar un dox? ¿Que utilidades tiene? ¿Se considera hacking?
2. Plantillas a la hora de hacer un Dox. Que información es útil y cual no lo es.
3. Obteniendo la información básica. Google Dorks y redes sociales.
4. Páginas blancas (Nombres, números de telefono y domicilio).
5. Maneras de obtener una dirección IP y su geolocalización.
6. Uso de la ingenieria social para la obtención de datos.
7. Geolocalización de emails
8. Geolocalización de documentos Word.
9. Metadatos. Un peligro enorme.
10. Introducción a la defensa. Confundiendo a los motores de busqueda.
11. Creación de Honeypots. Obtener la ubicación de un atacante.
12. Desenmascarado de proxies transparentes y reconocimiento del uso de proxies.
13. Creación de falsos dox y de cuentas cebo.
14. Mail spoofing.
15. Falsificación de metadatos.



PARTE 1 - DEL CAPITULO 1 AL 5
PARTE 2 - DEL CAPITULO 6 AL 10
PARTE 3 - DEL CAPITULO 11 AL 15


                    === PARTE 1 ===



Introducción al ataque. Definición de Dox. ¿Que se necesita a la hora de realizar un dox? ¿Que utilidades tiene? ¿Se considera hacking?
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

¿Que es un Dox? Bueno, Dox viene de la parabra Docs, que significa Documents. Cuando se habla de un Dox, se habla de un archivo con la
información personal de una persona. Desde nicks, hasta numeros de teléfono, domicilio, etc...

Un Dox puede llegar a ser devastador dependiendo del contexto. Se le puede dar muchos usos. Los usos que mas se le da al Doxxing son:

- Chantaje. (Me parece asquerosísima la gente que hace esto. Por culpa del chantaje hay gente que se suicida, asi que no hagáis tonterias, ¿Vale?)
- Reconocimiento de administradores de un servicio informático, para su posterior hackeo con ayuda de ingeniería social. (Hacedlo solo si os lo autorizan los admins en un pentesting)
- Captura de asesinos, terroristas, violadores, y en general, cualquier tipo de criminal. (Esta actividad la apoyo)


A la hora de realizar un Dox normalmente vas a necesitar solamente conocer el nickname de una persona. A veces necesitarás conocer mas cosas
antes de hacer el Dox, o en vez de necesitar un nick, necesitarás un email, o un nombre real. Pero por norma general, un nick suele bastar.

Cuando vas a hacer un Dox casi siempre te fijas solo en el nick del objetivo, pues la gente suele usar el mismo nick para todo. Para su foro,
para sus redes sociales, para su email, etc... Si esto no se cumple es cuando necesitas datos extra.


El Doxxing no es considerado como hacking, pues no necesitas habilidades relacionadas con la informática para llevarlo a cabo. A no ser que
estés, por poner un ejemplo, robando algún tipo de base de datos con información de muchas personas. En ese caso si estas usando el Hacking.
Pero sigue sin ser Hacking, por que tan solo complementas el Doxxing con el Hacking




Plantillas a la hora de hacer un Dox. Que información es útil y cual no lo es
---------------------------------------------------------------------------------------------------------------

A la hora de hacer un Dox necesitamos preparar previamente una plantilla. Una plantilla es los datos que vamos a ir anotando a medida que vayamos
obteniendo la información. A continuación, voy a poner un ejemplo de plantilla.


- Fecha en la que la plantilla ha sido modificada por ultima vez: (Campo obligatorio. Debeis anotar esto siempre.)

- Nicks:
- Nombre:
- Apellidos:
- Sexo:
- Edad:
- Fecha de nacimiento:
- Familiares:
- Pareja:
- Amantes:
- Amigos:
- Conocidos:
- IP:
- Latitud y Longitud (Coordenadas):
- Pais:
- Domicilio Actual (Ciudad, Calle y Codigo Postal):
- Domicilios Anteriores:
- Numeros de teléfono:
- Gustos:
- Sexualidad:
- Información extra:


Esta plantilla es una bastante funcional, pero repito, a veces os interesará apuntar mas datos, y otras veces menos.
Por ejemplo, digamos que tenéis que conoceis a una persona y quereis saber quien es su mejor amigo.
Pues haríais dos plantillas. Una bastante simple sobre la persona que vais a doxear, y una extensa sobre su amigo.

No tiene mas misterio.




Obteniendo la información básica. Google Dorks y redes sociales
------------------------------------------------------------------------------------------------

Las redes sociales serán nuestra perdición si usamos el mismo nick en una de ellas que en un foro de hacking (Por poner un ejemplo...).
Con un nick que repitas en varios sitios, un atacante puede empezar a tirar del hilo y parar hasta quedar satisfecho.

Para comprender la lógica de este argumento tenéis el Google Dork "intext:"

Digamos que estás en un foro con el nombre de "ejemplo123" y en tu Twitter te llamas igual. Un atacante puede ir a Google y poner:
intext:ejemplo123
Y le saldrán todas las páginas en las que tu nick es usado, en este caso el foro en el que estás y Twitter.

A partir de aquí, el atacante empezará a mirar tu Twitter de cabo a rabo, y a partir de ahí probablemente descubra tu Instagram o tu Facebook.
Poco a poco descubrirá mucho sobre tí. Tu nombre y apellidos, tu Edad, etc...
Y si consigue alguna foto de tu cumpleaños, juntando tu edad y tu fecha de cumpleaños sacará tu fecha de nacimiento. Gracias a esa dichosa foto
descubrirá también quienes son tus amigos, tus familiares, tu pareja, etc...

De hecho, a partir de tu Dox, también será capáz de Doxear a tus amigos y familiares. Así que tened muchísimo cuidado con las redes sociales.




Páginas blancas (Nombres, números de telefono y domicilio)
------------------------------------------------------------------------------------------

Aquí empieza lo realmente peligroso. Una vez se dispone del nombre y apellidos de una victima, podemos ir a las páginas blancas y rellenar un formulario con su nombre y apellidos (A veces necesitaréis su región). Aquí tenéis varias páginas blancas:

http://www.abctelefonos.com            ------>   Latinoamerica (Principalmente Argentina) y España
http://blancas.paginasamarillas.es/jsp/home.jsp      ------> España
https://www.whitepages.com/            ------> Estados Unidos


Si tenemos suerte, estas páginas nos revelan el número de teléfono de esa persona y su domicilio (Ciudad, Calle y Código Postal).
A veces nos darán resultados erróneos, asi que nunca aseguréis que el resultado que estas páginas proporcionan es el correcto.

Para obtener una ubicación correcta lo mejor es obtenerla con su IP (Y tampoco suele ser del todo correcta).
Pero repito, si tenemos suerte, estas páginas nos harán todo el trabajo sucio.




Maneras de obtener una dirección IP y su geolocalización
--------------------------------------------------------------------------------------

Voy a explicar como obtener la IP de 3 maneras diferentes, con un IP Logger, recibiendo un email y enviando un Word.
En este punto solo explicaré la primera forma. Las otras dos quedan para mas adelante.

Un IP Logger es una página que registra tu IP. Hay muchas maneras de hacer un IP Logger, pero yo voy a explicar la mas útil, que es creando un redireccionador
web. A parte de que el redireccionador no sale en el historial, con un poco de ingenieria social cae cualquiera que no conozca el método.

Voy a enseñar dos IP Loggers. El IP Logger básico y el IP Logger con Evil URL.


- IP Logger básico: Simplemente redirecciona y registra la IP que pasa por el redireccionador.

- IP Logger con Evil URL: Explicado de manera simple, es igual que un IP Logger básico, pero imita la URL de una página. Luego entenderéis a lo que me refiero.




Para el IP Logger básico creais un archivo llamado IPs.txt y un index.php

El código PHP del index.php es el siguiente:

<?php
   $logs = "IPs.txt";
   $fh = fopen($logs, 'a');
   $stringData = "IP: " . $_SERVER["HTTP_X_FORWARDED_FOR"] . "\nUser Agent: " . $_SERVER["HTTP_USER_AGENT"] . "\nFecha: " . date("D dS M,Y h:i a") . "\n\n\n";
   fwrite($fh, $stringData);
   fclose($fh);

   if (isset($_GET['q'])){
      $page = $_GET['q'];
      header('Location: ' . $page);
   } else {
       $page='https://www.google.com';
       header('Location: ' . $page);
   }
?>



Y con eso ya estaría listo el IP Logger básico. Para usarlo tendremos que hacer lo siguiente:
Cogemos la url de nuestra página =   https://www.miiplogger.com/index.php
Y le añadimos un ?q= tal que asi =   https://www.miiplogger.com/index.php?q=
Y a partir del q= le añadimos la página a la que hará la redirección. Por ejemplo, digamos que quiero redireccionar a mi victima a hackxcrack. Pues creare la siguiente URL:
https://www.miiplogger.com/index.php?q=https://hackxcrack.net

Hasta aquí bien. Pero hay un problema. Nuestra URL es un canteo. Se nota que no tiene muy buena pinta, como que estamos intentando colarles algo. Pues es este el momento en el que toca echarle mano a los acortadores de URL de Google. Aqui está la página =   https://goo.gl/

Metemos nuestro IP Logger y sacamos la URL acortada. Lo único malo de esto es que se nos va a registrar tambien la IP del URL Shortener, pero no es un gran problema.

Si os fijais, he programado el IP logger para que también capture la hora en la que se captura una IP y para que capture el User-Agent. Estos dos elementos nos pueden servir también
a la hora de hacer un Dox.





Para el IP Logger con Evil URL

En la siguiente parte lo explicaré mejor. Pero si os quedais con las ganas, mirad por el programa hecho en python llamado evilURL.py
Practicamente se usa para imitar un URL. Una vez conseguís imitar una URL deseada, comprais el dominio de esa URL de imitacion y la usais en vuestra página.
Pero repito, en la siguiente parte os enseñare a usarlo.




Saludos!
Título: Re:Guía Anti-Doxing by Sp3cialK
Publicado por: ravenheart en Marzo 27, 2018, 05:40:43 pm
Obteniendo la información básica. Google Dorks y redes sociales
------------------------------------------------------------------------------------------------

Las redes sociales serán nuestra perdición si usamos el mismo nick en una de ellas que en un foro de hacking (Por poner un ejemplo...).
Con un nick que repitas en varios sitios, un atacante puede empezar a tirar del hilo y parar hasta quedar satisfecho.

Para comprender la lógica de este argumento tenéis el Google Dork "intext:"

Te dejas lo más básico. Ocultarse entre la multitud. Hasta en el Assassin's Creed te enseñan a hacerlo.
Título: Re:Guía Anti-Doxing by Sp3cialK
Publicado por: Sp3cialK en Marzo 27, 2018, 09:38:25 pm
                    === PARTE 2 ===

Para el IP Logger con Evil URL

Cogeis una página famosa como Twitter. Creais su Evil URL con evilurl.py (No voy a explicar como funciona porque teneis el codigo abierto para verlo vosotros mismos).
Cogeis una de las 3 URLs que suelta y la poneis en vuestro navegador. Si os sale que no existe, es que teneis esa url libre. La comprais y la usais en vuestra página.
Y ahora os haceis un IP Logger decente de esa página. Yo me he hecho uno con Twitter. Me he fijado en la url de busqueda y es asi:
https://twitter.com/search?q="busqueda"

Así que he creado un search.php, un IPs.txt y he añadido una cosilla al .htaccess

Código del search.php:

<?php
   $logs = "IPs.txt";
   $fh = fopen($logs, 'a');
   $stringData = "IP: " . $_SERVER["HTTP_X_FORWARDED_FOR"] . "\nUser Agent: " . $_SERVER["HTTP_USER_AGENT"] . "\nFecha: " . date("D dS M,Y h:i a") . "\n\n\n";
   fwrite($fh, $stringData);
   fclose($fh);

   if (isset($_GET['q'])){
      $page='https://www.twitter.com/search?q=' . $_GET['q'];
      header('Location: ' . $page);
   } else {
       $page='https://www.twitter.com';
       header('Location: ' . $page);
   }
?>

Este código nos loggea la IP y nos redirecciona al query que le indicamos en la url


Código que se le añade al .htaccess

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^\.]+)$ $1.php [NC,L]

Con este código no sale el .php en nuestra URL


Así nuestra página será algo como https://twitter.as/search?q="El query al que queremos que le lleve"

Por cierto, evidentemente no cojais un .as xD, coged algo mas creible



Una vez tenéis una IP podeis geolocalizarla con páginas como https://www.iplocation.net




Uso de la ingenieria social para la obtención de datos.
-------------------------------------------------------------------------------

Sinceramente no me voy a entretener mucho con este punto.

La gente que doxea probablemente suplantará la identidad de alguien para hacerse pasar por una persona en una red social e intentará
hablar con vosotros por privado para sacaros cosas. Lo único que os puedo decir es que no hableis con desconocidos y que pongais en privado
vuestras redes sociales.




Geolocalización de documentos Word
-------------------------------------------------------

Aqui teneis un post de Chema Alonso que lo explica. Yo no tengo mucha experiencia con esta técnica, asi que os paso un link donde lo explica bastante bien:
http://www.elladodelmal.com/2014/10/doxing-y-las-zonas-de-seguridad-de.html
Cuando recibáis un Word de alguien ya sabéis, tened cuidado.




Geolocalización de emails
--------------------------------------

Desconozco si ahora se sigue pudiendo hacer esto. De todas formas, hace años se podia ver la IP que te habia mandado un mail viendo las propiedades
del mensaje.
No tiene mas chicha esto. Si vais a mandar un mail tened cuidado, puede que haya algún servicio de correo eléctronico que no oculte vuestra IP (Aunque a día
de hoy es raro que no lo hagan).




Metadatos. Un peligro enorme
--------------------------------------------

En los metadatos de un archivo se guardan un monton de cosas. Por ejemplo, en una foto se guarda la posición en el mapa donde una foto fue tomada, con que camara,
a que hora, etc...
Generalmente no tenéis que preocuparos de esto, ya que cuando subís una foto a las redes sociales, los metadatos los borra automáticamente para evitar que os Doxxeen.
Pero cuando compartís un archivo en un medio que no borra los metadatos puede ser un peligro. Asi que si vais a hacer eso, acordáos de borrarlos.

Una herramienta muy buena para la visualización de metadatos en Linux es exif. Os recomiendo echarle un ojo.




Introducción a la defensa. Confundiendo a los motores de busqueda.
-----------------------------------------------------------------------------------------------------

Aquí empieza lo guay de este post. Una vez ya sabemos que maneras de atacar tiene un atacante, podemos empezar a dificultar la busqueda de nuestra información.

Y esto se hace "confundiendo" a los motores de busqueda. Aun que tecnicamente no los estás confundiendo, pero lo llamo así para que se entienda.


Cuando un atacante os busca, pone en google esto = intext:vuestroNick ,  y le van a salir todas las páginas en las que sale vuestro nick. Si os poneis un nick como: soy.un.chapas,
a la hora de usar ese dork para buscaros por internet, lo va a tener muy jodido. Se le van a mezclar vuestros rastros con cosas que no tienen nada que ver

O si os ponéis un nick que usa mucha gente, entonces le van a salir rastros de muchas personas diferentes a la vez.



A no ser que seais famosos en una red social, esta tontería os debería funcionar la mayoría de las veces.

Hay mas maneras de confundir al atacante. Solo depende de vuestra imaginación.






Saludos!


Cita de: ravenheart
Te dejas lo más básico. Ocultarse entre la multitud. Hasta en el Assassin's Creed te enseñan a hacerlo.
Yo en lo personal, soy mas fan de Solid Snake y su caja de cartón ;)
Título: Re:Guía Anti-Doxing by Sp3cialK
Publicado por: Sp3cialK en Marzo 27, 2018, 10:27:14 pm
                    === PARTE 3 ===


Creación de Honeypots. Obtener la ubicación de un atacante
-----------------------------------------------------------------------------------------

Esto en lo personal me gusta hacerlo con los email, pero podéis hacerlo con lo que os dé la gana. Yo voy a explicarlo poniendo un email de ejemplo.

Vamos a crear un Honeypot que usa un IP Logger para registrar la IP de un atacante.

Creamos el IP Logger básico en una carpeta con el nombre de nuestro correo electrónico. De esta manera, cuando el atacante ponga en google inurl:tuemail le saldrá
nuestra página. Cuando se meta ahí su IP quedará registrada. También podéis añadir en el php, un código html con vuestro email, para que este salga como texto de la página.
Así también cubrís el intext y el Honeypot sale en mas busquedas.

No os recomiendo que con este IP Logger guardéis el log en un archivo. Es mejor que os envieis el log a vuestro mail. Así, os avisará siempre que ocurra algo, y no tendréis
que estar echandole un ojo al honeypot cada dos por tres.

Este honeypot, y el resto de IP Loggers, se pueden complementar con el punto que voy a explicar ahora.




Desenmascarado de proxies transparentes y reconocimiento del uso de proxies
-------------------------------------------------------------------------------------------------------------------

Os voy a dejar unos links donde queda explicado de puta madre.

Este link, del 2005 (Viejo de narices :O) explica como pillar la IP de alguien que use ciertas proxies no muy seguras.
http://www.eslomas.com/2005/04/obtencion-ip-real-php/

En este link algo mas actualizado (Del 2010, sigue siendo viejo :/) también hay info interesante, además que se comenta el código expuesto en la página anterior.
http://www.forosdelweb.com/f18/obtener-ip-real-del-visitante-esta-mejor-forma-847335/


Esto lo podéis usar en todos vuestros IP Loggers, aun que yo solo lo veo totalmente necesario en los Honeypot.




Creación de falsos dox y de cuentas cebo
-------------------------------------------------------------

Una vez que sabemos que nos están intentando Doxxear, si la gravedad del asunto es considerable, podemos crear un Dox sobre nosotros con información totalmente falsa.
Esto puede confundir a los atacantes. De hecho, es una cosa que se suele hacer bastante cuando sabes que una comunidad te intenta Doxxear. Si por encima te atribuyes
sus nombres como responsable de ese falso Dox, puedes bajarles la reputación.

Con un falso Dox puedes hacer virguerías. Solo depende de tu imaginación.

Los Dox se suelen publicar en pastebin, ghostbin, hastebin, etc... Tan solo encontrad el lugar donde los suelen publicar y publicadlo ahí. Y una vez hecho esto, dadle bombo.


En cuanto a lo de las cuentas cebo, las podéis usar simplemente para el uso de los Honeypots en los Doxxeos falsos. Si publicais un email que no existe como vuestro, y haceis un
Honeypot de este, cuando alguien los busque y se encuentre el Honeypot, quedará logeado. De esta manera os podéis hacer una idea de a quienes les interesa vuestro Dox y a quienes no.




Mail spoofing
-------------------

Para darle fuerza a las cuentas cebo, podéis usar el email spoofing. O podéis usar el Email Spoofing para haceros pasar por un atacante y confundir a sus compañeros. O muchas cosas mas.
Esto, como en la mayoría de los demás métodos, depende de vuestra imaginación. El mail spoofing os puede salvar el culo si lo usais bien. Solamente tenéis que usarlo con astucia.




Falsificación de metadatos
---------------------------------------

Podéis pasar fotos con metadatos falseados para confundir a los atacantes, o filtrar a propósito fotos con los metadatos falseados y quitarle fuerza a vuestros Dox.
No tiene mas misterio.








Otras medidas a tomar en cuenta
-------------------------------------------------

- Usa VPN o Tor siempre que lo creas necesario
- No publiques demasiada info personal en tus redes sociales.
- Cuidado con dar tu nombre real y fecha de nacimiento.
- Usa solo tu identidad real para cosas verdaderamente importantes, como tus cuentas bancarias y cosas del estilo. Para el resto de cosas, como redes sociales, usa info falsa.



Quizás en un futuro os traiga mas métodos defensivos, pero de momento lo veo mas que suficiente. Espero que os haya sido de ayuda

Saludos!





EDITS: Tras releer la guía, he hecho ciertas ediciones, por que por culpa de las prisas he escrito algunas incoherencias :S
Título: Re:Guía Anti-Doxing by Sp3cialK
Publicado por: ravenheart en Marzo 27, 2018, 11:20:02 pm
Cita de: ravenheart
Te dejas lo más básico. Ocultarse entre la multitud. Hasta en el Assassin's Creed te enseñan a hacerlo.

Cuando un atacante busca pone en google intext:vuestroNick van a salir todas las páginas en las que sale vuestro nick. Si os poneis un nick como: soy.un.chapas,
a la hora de usar ese dork para buscaros por internet, lo va a tener muy jodido. Se le van a mezclar vuestros rastros con cosas que no tienen nada que ver

O si os ponéis un nick que usa mucha gente, entonces le van a salir rastros de muchas personas diferentes a la vez.

Me he adelantado ;)