网络安全-信息采集

背景

其实渗透本身并不可怕,可怕的是数据的泄露、业务的宕机,这两者都是网络化时代的一大问题。此前记录的都是对目标主机的信息采集、渗透,危害的终究是一台机器,直到最近才意识到对人的信息采集(社工)的恐怖之处,所以本文记录最近的感悟。本文不对读者的任何非法行为造成的后果负责,内容仅限于介绍社工的危害,提高公民的隐私保护意识,毕竟我也是受害后才意识到个人隐私的脆弱性。

由于每个人接触到的互联网设备之繁杂,设备上染指的信息也是五花八门、丰富多彩的,所以我也只有在接触到新的信息后,才更新一点,受限于个人的知识水平,错误之处应该会有很多,如有不当之处,就当个笑话看。

照片信息:GPS

背景

当下几乎所有的智能设备都使用Exif文件格式来存储图像,虽然表面上分jpgjpeg等,但是这些文件中都保存了当初构造了这些文件时所记录的基本信息,如:创建时间格式用户信息等。有些内容人畜无害,而有些内容则涵盖了个人隐私信息,如:GPS设备名称等信息,其中GPS尤为隐私。

提取

查询照片的Exif信息有很多种方式,此处推荐的是Linux下工具:exiftool,它可以对视频、图片的指纹信息进行采集。

1
2
3
4
5
6
# 由于该工具并不预装,所以需要手动安装
# 可以直接在termux中安装
sudo apt-get install exiftool

# 直接使用
sudo exiftool [图片名称]

该工具同时支持WindowsMac版,官网地址:https://exiftool.org/windows下载的是绿色版,解压后直接通过命令行运行,运行后得到的信息如下:

img

有很多信息是我们不需要的,一般来讲我们只需要设备用户位置信息,所以可以进行过滤:

1
exiftool [照片名称] | egrep -i "Make|GPS|Camera Model Name|Create Date"

img

之后我们通过获取的GPS定位信息去换算成度数值,网站:http://www.minigps.net/fc.html

image-20210206010310521

然后拿着换算的度数去GPS定位网站上确定定位的位置,网站:https://www.qvdv.com/tools/qvdv-coordinate.html

image-20210206003742476

防护

防护其实也很简单,就是在互联网上发送图片的时候,不要使用原图发送,如果是图片中的一些易于辨识的背景信息也尽量抹除掉。

如果一定需要通过发送原图的方式,则一定要擦除掉图片的Exif信息后再发送,此处介绍Windows下自带的擦除方式:

image-20210206005731060

以下是对非原图的Exif信息查看:

img

可见其中的很多隐私信息就被抹除干净了。

拓展

除了Exiftool工具外,还有很多在线的网站和插件也可以直接提取图片的Exif信息,推荐的网站有以下:

推荐的Exif查询插件:

  • EXIF Viewer:可以直接在Firefox、Chrome插件市场获得,不过需要用浏览器打开图片后才可以使用该插件

同样在Windows下还可以直接通过属性来查看部分Exif信息:

img

此外还推荐一个在线的小工具汇总网站,涵盖的应急小工具居多无比:

QQ号:隐私

背景

QQ信息本身并没有什么不安全的点,毕竟早年的QQ号都不用个人身份认证,只是随着QQ的壮大、业务的拓展,现在越来越多的第三方设备开始接入了QQ的认证,同时伴随着实名制时代的到来,个人隐私信息大量流入了互联网中,而早年的安全防护措施不足,导致一些网络公司脱裤事件的发生,如早年QQ、163/126邮箱的脱裤,从而导致很多个人隐私信息暴露。

关于QQ的信息提取其实涉及了诸多信息,如手机号、邮箱等,而手机号、邮箱则又可以进一步提取更多的信息,所以QQ信息提取只是社工环节上的一部分。

提取

QQ提取别无它法,只有走第三方查询暗网查询之路,其中第三方查询的信息最为详尽,个人信息的贩卖也是黑产中的一部分。当然此处我并没有去付费尝试,也没有去查询他人信息,只是拿着自己的信息做了测试,乍看之下也是十分惊愕。此处记录我测试时的信息采集点:

社工群查询:

  • Telegram平台:@skg123bot(很多,并且十分详尽)

image-20210206013449853

接口查询:

  • 此接口只能查询QQ绑定的手机号,并且信息可能陈旧

    1
    2
    # 在最后加上要查询的QQ号
    http://api.qb-api.com/qb-api.php?mod=cha&qq=

    image-20210206013649269

暗网查询:

  • 查询的信息较少,可能陈旧。必须使用Tor Browser加代理才允许访问,否则会暴露自己的信息,带来不必要的麻烦

    http://kgaalsjzcz3o2ydu4tvdwcwxyabx26sx2tbdbtmqmc6tamyptpdhk5id.onion/

防护

基本已经暴露出去的数据是没有办法再给抹除掉了,这些都是当年年经犯下的过错,现如今也只能让时间抹平一切了,如果我们已经查到自己的信息被暴露了,那么需要做的有如下:

  1. 修改重要账户的个人信息
  2. 注销一些非重要的账户信息

在以后的日子里,要注意的事项:

  1. 对手机App的权限进行管理。对于读取短信定位获取手机通话记录读取存储卡信息获取手机IMEI信息照相机权限话筒权限相册权限,一定要慎重考虑后再给,因为这些里面都涵盖了大量的个人信息。
  2. 手机厂商自带的的云短信云通话记录云图库等备份方式,请再三考虑后再使用,因为这些都相当于将隐私信息托管给第三方了,本质上就增加了一个信息泄露的途径。
  3. App的数据采集服务考虑后再开启。这些会将用户使用App的记录信息上传给厂商,虽然不知道记录了啥,但本质上也是一种信息泄露的方式。
  4. 密码复杂化。并且尽量避免密码的重复。
  5. 真实信息不公开。应该自备好一套虚假的身份信息,用于在互联网上使用,如:手机号、邮箱、地址信息等。
  6. 个人身份、网络身份分开管理。如果无法避免真实信息的泄露,则请将在互联网上使用的手机号、邮箱等信息单独拎出来,而对于非常重要的账户信息,则使用更加隐私的个人信息。
  7. 挂代理访问。通过信息的查询也会发现有的服务厂商会采集我们的IP地址信息,因此对于一些可能存在安全隐患的网站,我们切记挂代理去访问。

邮箱:IP

背景

有的平台的邮件在发送的时候,其邮件原文中会携带有来源IP的信息,这个IP标识的是用户当时发送邮件时的IP信息,结合这个IP信息我们就可以尝试去定位对方的真实地址信息,如果是公网的IP,则我们可以非常准确的进行定位,而如果是运营商下的子网IP的话,定位的质量就要大打折扣了。本文以QQ邮件为例

提取

提取IP的关键是查看邮件的原始内容,方式如下:

img

然后在源码中寻找标签:X-Originating-IP,它标识的就是用户发送邮件时的真实IP

image-20210208184059058

然后就可以拿着这个IP去定位网站上去查,此处推荐的网站:https://www.ipuu.net/#/home

image-20210208184525606

每个邮件发送平台携带源IP的方式不同,比如Facebook发来的邮件,源文件的from 69.171.232.142 (unknown [69.171.232.142])中的69.171.232.142就是对方好友的IP地址;但是它也不一定就是当事人真是的IP地址信息,它可能是邮件发送平台的IP信息,这个我们可以通过查询的方式验证。

img

拓展

推荐几个IP查地址的网站:

访问网站:IP、设备

背景

网站会记录用户的访问信息已经是见怪不怪的事情了,我们可以借助这样的方式获取到用户的IP地址、使用的设备信息,而且这个是无法避免的,跟钓鱼不同,这个完全就是正常的信息采集。如果网站挂马,那么用户访问,可能会被获得更多的信息。

提取

通过这种方式获取信息的关键点在于要使对方点击我们的链接,然后这样的链接可以通过任何的平台发送,同样也可以将自己网站的图片放到别的页面发送给对方,然后等待对方访问这个页面后,我们再查看网站的访问日志,就可以获取用户的设备、IP信息了,如下:

img

防护

无法确定是否安全的网站,可以通过挂代理进行访问。

手机号、邮箱:注册平台

背景

有些平台专门收集手机号、邮箱注册了哪些平台,这个对于黑客的信息获取提供了很大的帮助

提取

该方式是通过一个网站进行查询的,网站:https://www.reg007.com/

img

QQ、微信、微博动态:个人性格、境况

背景

信息采集的目的并不是为了曝光对方,而是为了获取我们需要的信息,没有什么比跟对方直接沟通更加好的方式了,但是在沟通前,我们最需要的是取得对方的信任、获得共同的话题。因此,可以通过QQ、微信动态分析对方最近的情况、爱好、习惯、性格。

提取

  • QQ签名

    相比较动态,QQ签名所表达的含义要更加的精炼,所以可以查看QQ签名、QQ个性标签获取到对方一直以来的性格

  • QQ、微信动态、日志、相册

    这个一般可以提取出用户的爱好、生活最近的遭遇等

  • 留言板

    留言板大都是至交好友会去留言的内容,一来这些好友的留言会建立起他周围对他的直观印象,同时我们也因此获取到和他关系很好的朋友信息,可以以此作为线索去搜索他的好友。

防护

我觉得记录一下平常生活的心境之类的无伤大雅,但是如果涉及到事件十分详细的经过时,就不要做过多的描述,过于详细的内容只会给冒充者足够的素材去分析和伪装。

Windows:常见隐私泄露

背景

Windows电脑作为一台完整的设备,其全部部件都具备隐私泄露的能力,大型的泄露口属于漏洞,此外还有一些为了提高客户体验而不得不记录的隐私信息,此处做简要记录

提取

  • 浏览器:Chrome、Firefox等

    浏览器为了便于用户浏览网站的方便,会在本地缓存Cookie信息,文件中记录了登录某些网站的权限、浏览记录等,其存放文件夹为(内部文件都是):C:\Users\[用户名]\AppData\Local\Google\Chrome\User Data\Default\Cache,其中有个单独的文件:index.dat,记录了访问网站的时间、网站链接。

  • 历史记录:各类软件提供的历史纪录功能

    不管是Office、Xmind等,都提供历史记录的功能,一般在主设置里,以Office为例,如下:

    image-20210208231533871

  • 缩略图:Windows下图片预览功能使用的缓存文件

    在Windows下,如果利用列表的方式查看图片的内容,则系统会自动地创建一个缩略图在系统盘下,用于提高系统加载图片缩略图的速度,但是这样的缩略图在用户删除图片本身时并不会一起消失,所以这样的图片依然存在这被查看到的风险。

    缩略图存放的路径:%userprofile%\AppData\Local\Microsoft\Windows\Explorer,内部的文件都是。

  • 剪贴板:Windows下有个剪贴板,常常也是容易忽视的信息泄露点

    在检查一台电脑之前,应该先将剪贴板的内容先复制出来。

  • 系统临时文件夹:软件运行时缓存的一些文件

    软件运行期间不可能将所有的数据缓存到内存中,所以他们一般会将文件写到系统的缓存目录中去,虽然这些文件的格式不尽相同,但是只要稍作修改就能够让其复原到缓存时的状态,系统软件的缓存路径为:C:\Users\john\AppData\Roaming,如果需要找到具体的缓存文件,则需要自己转转,不过一般软件设置中会有提示,如Office:

    img

    打开上面的路径,就会得到如下文件信息:

    image-20210209003444178

  • 系统垃圾桶:删除文件的临时存放处

    Windows下有个删除机制,当被删除文件体积不大的时候,则并不会删除,而是将其隐藏起来,此时可以通过桌面端的垃圾桶查询到。

总结

总结就没啥好总结的了,提供一个个人信息采集表吧,毕竟回头生成密码字典的时候要用到,内容如下:

1