Tinfoleak v2.0: Descarga la nueva versión y descubre sus novedades

http://isecauditors.com/sites/default/isecauditors.com/files//files/tinfoleak-2_0_20170110.zip




La semana pasada se publicó la versión 2.0 de Tinfoleak, una herramienta OSINT (Open Source Intelligence) desarrollada en Python, que permite analizar la información publicada en Twitter con el fin de generar inteligencia útil en diversos contextos. Para conocer más detalles sobre Tinfoleak, se puede visitar la sección de herramientas o mi página personal donde se describen sus características y se incluyen capturas y videos con ejemplos de uso.

En esta versión, se han introducido nuevas funcionalidades y se ha incrementado el nivel de información y detalle de las ya existentes.

A continuación, se describen las novedades de Tinfoleak v2.0.

Nuevas funcionalidades
1.  Análisis basado en coordenadas geográficas (parámetro “—search”)
A partir de unas coordenadas (latitud, longitud) y un radio, se analizan los tuits publicados en dicha área y que cumplan los criterios especificados (rango de fechas y franja horaria).

Como resultado, se generan tres secciones. La primera (“Search by coordinates”) muestra información sobre los tuits publicados: fecha y hora de la publicación, coordenadas desde las que se publicó, contenido mutimedia publicado, aplicación utilizada para la publicación, consulta del tuit y usuario que lo publica (incluyendo fotografía de su perfil en Twitter y su nombre de usuario). Los resultados, se muestran ordenados por fecha y hora, mostrando primero los más recientes.

La siguiente captura muestra un ejemplo de resultados mostrados en esta sección:

La segunda sección (“Geolocated users”) muestra información sobre los usuarios que han sido geolocalizados. Para cada uno de ellos, se muestra su fotografía de perfil y nombre de usuario, tanto en Twitter como en Instagram, Foursquare y Facebook.

La siguiente captura muestra un ejemplo de resultados mostrados en esta sección:

La tercera sección (“Tagged users”) permite detectar la presencia de usuarios en el área especificada, a pesar de que no tengan la geolocalización activada. En este caso, la detección e identificación se realiza en base al etiquetado de usuarios en las imágenes que ha publicado un tercero que sí ha podido ser geolocalizado.

De esta forma, se muestran los usuarios que han sido etiquetados, el usuario que lo ha etiquetado (junto con su fotografía de perfil en Twitter, su nombre de usuario, así como la fecha y hora de la publicación), la fotografía donde se ha etiquetado, y se puede consultar el tuit y las coordenadas en las que se publicó.

La siguiente captura muestra un ejemplo de resultados mostrados en esta sección:

Por otro lado, es posible combinar el parámetro “—search” con otros como “—media”, “—hashtags”, “—mentions”, etc. para ampliar la información sobre el área de investigación.

2. Análisis de conversaciones de un usuario (parámetro “—conv”)
A partir de un usuario especificado, se generan las conversaciones que ha mantenido con otros usuarios y que cumplan los criterios especificados (rango de fechas y franja horaria).

Se trata de una forma diferente de analizar el timeline de un usuario y, además, con la posibilidad de conocer las interacciones y nivel de relación con terceros. Los resultados se muestran en forma de chat y agrupados por conversaciones (ya sea que hayan sido iniciadas por el usuario especificado, o que haya participado en las mismas). Asimismo, se muestra el número total de conversaciones y, para cada conversación, el número de mensajes que se han intercambiado, la fotografía de perfil y nombre de los usuarios que participan, los mensajes intercambiados y un identificador de los mismos para facilitar su seguimiento.

La siguiente captura muestra un ejemplo de resultados mostrados en esta sección:

3. Análisis de identidades digitales (parámetro “—social”)
Se identifica la presencia del usuario especificado en distintas redes sociales (Twitter, Instagram, Foursquare, Facebook, LinkedIn, Runkeeper, Flickr, Vine, Periscope, Kindle, Youtube, Google+ y Frontback.). La identificación no se realiza en base a nombres de usuario o fotografías de perfil, sino a través del uso de terceras aplicaciones que publican contenido en Twitter. Este hecho, permite que se consiga identificar la presencia en otras redes, aunque el nombre o la imagen de perfil que utilice sean distintos en cada una de ellas.

Como resultado, se muestra el nombre de usuario, fotografía de perfil, nombre utilizado e información adicional para cada red en la que se detecta su presencia.

La siguiente captura muestra un ejemplo de resultados mostrados en esta sección:

Actualización de funcionalidades ya existentes
1. Cabecera de informe
Se ha actualizado la cabecera del informe, incluyendo el logo de Tinfoleak, nueva información (número de likes, idioma, número de listas y el estado de verificación de la cuenta), y se ha reestructurado la información mostrada. Asimismo, se ha actualizado el menú de operativas disponibles, y se ha incorporado la visualización de los argumentos facilitados en la ejecución y una identificación del sistema operativo.

La siguiente captura muestra un ejemplo de estos resultados:


2. Análisis de aplicaciones cliente
Se ha incorporado la consulta del primer y último tuit publicado con cada una de las aplicaciones cliente identificadas.

La siguiente captura muestra un ejemplo de estos resultados:

3. Análisis de hashtags
Se ha ampliado el nivel de información asociado a cada uno de los tuits. Se ha añadido el nombre y fotografía de perfil del usuario que lo publica, así como su ubicación. Asimismo, se sombrea en color gris los tuits publicados por el usuario especificado en la ejecución de Tinfoleak.

La siguiente captura muestra un ejemplo de estos resultados:
 

4. Análisis de menciones
Se ha ampliado el nivel de información asociado a cada uno de los tuits. Se ha añadido el nombre y fotografía de perfil del usuario que lo publica, así como su ubicación. Asimismo, se sombrea en color gris los tuits publicados por el usuario especificado en la ejecución de Tinfoleak.

La siguiente captura muestra un ejemplo de estos resultados:

5. Análisis del texto publicado
Se ha ampliado la capacidad y flexibilidad de filtrado en la operativa de búsqueda por contenido. Ahora es posible especificar una lista de palabras clave indicando para cada una si debe aparecer o no en cada tuit analizado, así como indicar si el tuit a mostrar debe incluir o no contenido multimedia, o ser un tuit o retuit. Asimismo, se sombrea en color gris los tuits publicados por el usuario especificado en la ejecución de Tinfoleak.

La siguiente captura muestra un ejemplo de estos resultados:
 

6. Análisis de imágenes y videos
Se ha ampliado el nivel de información asociado a cada uno de los tuits. Se ha añadido el nombre de la aplicación utilizada, el nombre y fotografía del perfil del usuario que lo ha publicado, la fecha y hora de la publicación, la consulta del tuit y, en caso de ser un retuit o una respuesta, se incluyen los datos asociados al usuario que se retuitea o al que se responde. Asimismo, se sombrea en color gris los tuits publicados por el usuario especificado en la ejecución de Tinfoleak.

La siguiente captura muestra un ejemplo de estos resultados:
 
7. Análisis de tuits geolocalizados
En la sección “Tweets with geolocation enabled” se ha incluido el contenido multimedia (fotografía o video) asociado a cada tuit, así como la aplicación desde la que se ha publicado. Asimismo, se sombrea en color gris los tuits publicados por el usuario especificado en la ejecución de Tinfoleak.

La siguiente captura muestra un ejemplo de estos resultados:

Finalmente, recordar que el código se ha publicado con la licencia Creative Commons Attribution-ShareAlike 4.0 (CC BY-SA 4.0)

Espero que los cambios incorporados en esta versión sean de utilidad en vuestras investigaciones. ¡Cualquier feedback será bien recibido!


 Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader
Director Departamento de Auditoría.

Guía rápida para entender el marco de trabajo de ciberseguridad del NIST

Cuando un Oficial de Seguridad de la Información planifica la estrategia para la gestión de los riesgos vinculados con los activos de información de su organización, se enfrenta con un interrogante decisivo que definirá el curso de las acciones de protección en un futuro: ¿Cuál marco de referencia debe emplear para garantizar la gestión coordinada de los controles de seguridad de forma óptima, escalable e integrable? Las potenciales respuestas recaerían en los ya reconocidos ISO/IEC 27001:2013, COBIT, las directrices de COSO o NIST SP 800-53, por solo nombrar algunos.

Sin embargo, si se quisiese aprovechar lo mejor de cada uno de estos marcos de trabajo, las mejores prácticas y metodologías de la industria y la experiencia de cientos de voluntarios con el fin de establecer una línea de trabajo consistente y práctica para abordar los riesgos de ciberseguridad actuales, muy seguramente la elección sería el Marco de Trabajo de Ciberseguridad del NIST (NIST Cybersecurity Framework – de aquí en adelante CSF).

En esta guía rápida se presentarán una serie de conceptos clave de este marco de trabajo, con el fin de permitirle al lector entender de primera mano la teoría detrás de esta iniciativa y las ventajas de su implementación.

Historia y antecedentes
Como resultado de la creciente cantidad de ataques informáticos a sistemas de infraestructuras críticas y al impacto que dichos ataques pudieran tener en el contexto de la seguridad nacional de Estados Unidos, el 12 de febrero de 2013 el Presidente Barack Obama redactó la Orden Ejecutiva (EO) de Mejora de Ciberseguridad de Infraestructuras Críticas (Executive Order 13636 -- Improving Critical Infrastructure Cybersecurity)  en donde se delegaba en el NIST (National Institute of Standards and Technology) el desarrollo de un marco de trabajo para la reducción de riesgos asociados con este tipo de entornos, con el soporte del Gobierno, la industria y los usuarios.

El resultado de este trabajo - posterior a la publicación de múltiples versiones preliminares y recepción de contribuciones de voluntarios a través del modelo de Request for Information (RFI)  – fue la primera versión del documento “Framework for Improving Critical Infrastructure Cybersecurity”, conocido como “NIST Cybersecurity Framework” , que se publicó el 12 de febrero de 2014.

Es de anotar que esta iniciativa no es pionera en su campo. Desde mucho tiempo antes, la OTAN (a través del Centro de Excelencia de Ciberdefensa Cooperativa – CCDCOE) ya había desarrollado una serie de manuales orientados hacia la protección de infraestructuras críticas para la defensa nacional, como es el caso del “Manual del Marco de Trabajo de Ciberseguridad Nacional” (National Cyber Security Framework Manual) publicado en 2012 . Igualmente, ISO/IEC con su estándar ISO/IEC 27032:2012 “Information technology -- Security techniques -- Guidelines for cybersecurity” había sentado un precedente en la definición de guías para la mejora de ciberseguridad. Esto no quiere decir que el marco de trabajo de ciberseguridad del NIST excluya estos documentos, al contrario, los complementa y mejora.

¿Cuáles son los objetivos del marco de trabajo de ciberseguridad del NIST?

Las bases del CSF fueron establecidas directamente en la Orden Ejecutiva 13636:
  • Identificar estándares de seguridad y guías aplicables de forma trasversal a todos los sectores de infraestructuras críticas
  • Establecer un lenguaje común para gestionar riesgos de ciberseguridad
  • Proveer un enfoque priorizado, flexible, repetible, neutral, basado en desempeño y efectivo en términos de coste-beneficio basado en las necesidades del negocio
  • Ayudar a los responsables y operadores de infraestructuras críticas a identificar, inventariar y gestionar riesgos informáticos
  • Establecer criterios para la definición de métricas para el control del desempeño en la implementación
  • Establecer controles para proteger la propiedad intelectual, la privacidad de los individuos y las libertades civiles cuando se ejecuten actividades de ciberseguridad
  • Identificar áreas de mejora que permitan ser gestionadas a través de colaboraciones futuras con sectores particulares y organizaciones orientadas al desarrollo de estándares
  • No introducir nuevos estándares cuando existan iniciativas ya desarrolladas que cubran los objetivos de la orden ejecutiva. 
De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en estándares, directrices y prácticas existentes para que las organizaciones de infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. Además, se diseñó para fomentar las comunicaciones de gestión del riesgo y la seguridad cibernética entre los interesados internos y externos de la organización".

De acuerdo con lo anterior, los objetivos del marco de trabajo en su implementación en una organización se podrían catalogar en los siguientes puntos:
  1. Describir la postura actual de ciberseguridad
  2. Describir el estado objetivo de ciberseguridad
  3. Identificar y priorizar oportunidades de mejora en el contexto de un proceso continuo y repetible
  4. Evaluar el progreso hacia el estado objetivo
  5. Comunicación entre las partes interesadas internas y externas sobre el riesgo de ciberseguridad
Todo esto enmarcado en un enfoque orientado a la gestión del riesgo.

¿Es obligatoria su implementación?
En principio, no. Se trata de una guía de implementación discrecional con base en las mejores prácticas y estándares de la industria. No obstante, es posible que socios de negocio, clientes o incluso organizaciones gubernamentales requieran el cumplimiento del marco de trabajo dentro de sus consideraciones contractuales.

¿A qué tipo de organizaciones aplica?
A pesar que el marco de trabajo fue desarrollado teniendo en mente la protección de la infraestructura crítica de Estados Unidos, su implementación es asumible de forma indistinta en cualquier organización independientemente de su tamaño, grado de riesgo o sofisticación de ciberseguridad.
Es importante tener presente que el marco de trabajo no es un documento estático, sino que cada organización puede determinar – con base en sus necesidades – las actividades que considera prioritarias, permitiendo de esa forma un despliegue personalizado y paulatino.

¿Se puede implementar en organizaciones fuera de Estados Unidos?
Debido a que la base del marco de trabajo está fundamentada en la integración de los criterios de diferentes estándares, directrices y mejores prácticas a nivel internacional, su implementación no está limitada únicamente a Estados Unidos. De hecho, su despliegue fuera de las fronteras de ese país agrega una nueva capa de cooperación e integración global en ciberseguridad, tema que no está restringido a un ámbito geográfico en particular.

¿En qué estándares, directrices y mejores prácticas está basado?
El CSF está basado y/o hace referencia a los siguientes estándares, directrices y mejores prácticas:
¿Cómo está esquematizado el CSF?
El marco de trabajo se encuentra compuesto de tres partes principales: El marco básico (Framework Core), los niveles de implementación del marco (Framework Implementation Tiers) y los perfiles del marco (Framework Profiles).

Marco básico (Framework Core)
Es un conjunto de actividades de ciberseguridad, resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras críticas, en términos de estándares de la industria, directrices y prácticas que permiten la comunicación de actividades de ciberseguridad y sus resultados a lo largo de la organización, desde el nivel ejecutivo hasta el nivel de implementación/operación.

Para ello, emplea cinco funciones fundamentales:
  • Identificar (Identify): Permite determinar los sistemas, activos, datos y competencias de la organización, su contexto de negocio, los recursos que soportan las funciones críticas y los riesgos de ciberseguridad que afectan este entorno.
  • Proteger (Protect): Permite desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto de un evento potencial de ciberseguridad.
  • Detectar (Detect): Permite desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización continua. 
  • Responder (Respond):  Permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto.
  • Recuperar (Recover): Permite el despliegue de actividades para la gestión de resiliencia y el retorno a la operación normal después de un incidente. 
A su vez, cada una de estas funciones cuenta con categorías y sub-categorías con sus referencias informativas relacionadas (estándares, directrices y prácticas).


Figura 1. Estructura del marco básico del CFS

Niveles de implementación del marco (Framework Implementation Tiers)
Los niveles de implementación le permiten a la organización catalogarse en un umbral predefinido en función de las prácticas actuales de gestión de riesgo, el entorno de amenazas, los requerimientos legales y regulatorios, los objetivos y misión del negocio y las restricciones de la propia empresa.

Los rangos de los niveles de implementación son los siguientes:
  • Nivel 1 – Parcial (Partial): En este nivel las prácticas de gestión de riesgos de ciberseguridad no están formalizadas (ad-hoc) y actúan por lo general de forma reactiva. La priorización de actividades no se encuentra alineada con los objetivos de riesgo organizacionales, el entorno de amenazas ni con los requerimientos de negocio. Se cuenta con una mínima participación externa en términos de colaboración y compartición de información.
  • Nivel 2 – Riesgos informados (Risk Informed): En este nivel las prácticas de gestión de riesgo están aprobadas por la Dirección, pero pueden no estar establecidas como una política global. Se cuenta con procedimientos y procesos definidos e implementados y con personal cualificado.  La participación externa se realiza de manera informal.
  • Nivel 3 – Repetible (Repeatable): En este nivel las prácticas formales de gestión de riesgo son actualizadas regularmente como parte de la aplicación de análisis en cambios en requerimientos de negocio, amenazas o tecnologías. Se ha establecido un marco de colaboración formal con terceros.
  • Nivel 4 -  Adaptativo (Adaptive): Las prácticas de ciberseguridad están basadas en lecciones aprendidas e indicadores predictivos derivados de actividades previas y actuales de ciberseguridad, a través de un proceso de mejora continua de adaptación a los cambios. Estas tareas hacen parte de la cultura organizacional. Se colabora de forma activa con terceros, compartiendo información de eventos de ciberseguridad.
Figura 2. Niveles de implementación del CFS

Perfiles del marco (Framework Profiles)
Los perfiles se emplean para describir el estado actual (Current profile) y el estado objetivo (Target profile) de determinadas actividades de ciberseguridad. El análisis diferencial entre perfiles permite la identificación de brechas que deberían ser gestionadas para cumplir con los objetivos de gestión de riesgos.

Para ello, se requiere la definición de un plan de acción que incluya una priorización de actividades dependiendo de las necesidades de negocio y procesos de gestión de riesgos de la organización. Este enfoque basado en el riesgo le permite a la organización estimar los recursos necesarios (por ejemplo, personal y financiación) para lograr las metas de ciberseguridad establecidas de una manera rentable y priorizada.

De acuerdo con las descripciones anteriores, la arquitectura global del marco de trabajo de ciberseguridad quedaría de la siguiente manera:

Figura 3. Arquitectura del marco de trabajo de ciberseguridad del NIST (CSF)

¿Cómo se implementa el CSF?
La implementación de un programa de ciberseguridad basado en CSF consta de los siguientes pasos iterativos:
  • Paso 1 – Priorización y definición de alcance: Mediante la identificación de los objetivos y misión del negocio y las prioridades de alto nivel en términos organizacionales, se decide de forma estratégica el entorno de aplicabilidad de los controles. Este entorno puede ser toda la organización, una línea de negocio en particular o un proceso, teniendo presente que cada uno de estos elementos puede tener diferentes niveles de tolerancia al riesgo.
  • Paso 2 – Orientación: Se identifican los sistemas, activos, requerimientos regulatorios, amenazas y vulnerabilidades vinculadas al entorno de aplicabilidad definido.
  • Paso 3 – Crear un perfil actual: A través de las funciones del marco básico y empleando las categorías y subcategorías, se obtienen los resultados de implementación de controles en el entorno.
  • Paso 4 – Ejecutar un análisis de riesgos: Se ejecuta un análisis de riesgos que permita determinar la probabilidad y el impacto de eventos de ciberseguridad en el entorno analizado.
  • Paso 5 – Crear un perfil objetivo: Se establecen los objetivos que en términos de ciberseguridad la organización pretende cubrir.
  • Paso 6 – Determinar, analizar y priorizar las brechas detectadas: Mediante el análisis diferencial entre el perfil actual y el perfil objetivo, se define un plan de acción priorizado en términos de coste/beneficio, que permita la determinación de recursos y acciones de mejora.
  • Paso 7 – Implementar el plan de acción: Se procede con la alineación de controles y despliegue de mejoras de forma paulatina y monitorizada.
Todas estas acciones deben ser implementadas dentro de un entorno de mejora continua, permitiendo que de forma continua la organización optimice sus controles de seguridad y escale a niveles superiores dentro del marco de trabajo.

Figura 4. Pasos para la implementación de un programa de ciberseguridad basado en el CSF

¿Qué herramientas de software existen para soportar la implementación del CSF?
Para facilitar el uso del contenido del CSF, el NIST ha desarrollado una hoja de cálculo  en Microsoft Excel, que contiene las funciones, categorías, subcategorías y referencias informativas organizadas de tal forma que se pueden adaptar para convertirla en una hoja de trabajo.

Adicionalmente, también se ha publicado la herramienta “NIST Cybersecurity Framework (CSF) Reference Tool” , una herramienta interactiva que permite la navegación a través del contenido del documento del CSF y facilitar su exportación a diferentes formatos (CSV, XML, etc.).

Por otro lado, el programa Baldrige  (que permite el diseño de un enfoque integrado de la gestión del desempeño organizacional) ha integrado los criterios del CSF dentro de su marco de excelencia (“Baldrige Excellence Framework”) y el 15 de septiembre de 2016 ha publicado una versión preliminar del documento “Baldrige Cybersecurity Excellence Builder ”. Se trata de un cuestionario de auto-evaluación que le permite a la organización identificar su nivel de madurez en términos de ciberseguridad a través de distintos niveles de madurez.

Finalmente, en la página de recursos de la industria del NIST se pueden encontrar gran cantidad de casos de estudio, guías de implementación, herramientas y recursos educativos para apoyar las actividades de desarrollo de esta iniciativa.

Autor: David Eduardo Acosta - CISSP Instructor, CISM, CISA, CRISC, CHFI Instructor, CEH, PCI QSA, OPST, BS25999 L. A.
Departamento de Consultoría