domingo, febrero 17, 2013

Fugas de datos, esteganografía y end-point security

Después de casos de fuga de datos como el de Wikileaks muchas empresas se empezaron a preocupar por la fuga de datos por parte de sus empleados e implementaron medidas de seguridad orientadas a evitar que los empleados saquen ciertos documentos de la organización. Para ello se bloquean pendrives y grabadoras de DVD, se aíslan máquinas a las que solo se puede acceder vía escritorio remoto y donde no se permiten mapear puertos locales para que no salgan los documentos.

Figura 1: Bloqueo de disco duro USB en Windows 

Además de todas esas medidas físicas es necesario añadir algunas protecciones orientadas a detectar la fuga de datos vía Internet, pues es difícil tener entornos de trabajo con documentos sensibles en los que no haya conexión alguna a Internet - solo en entornos de alta seguridad se acaba haciendo esto -.

Para poder controlar estos entornos, normalmente se implantan sistemas soluciones de seguridad SIEM como Alien Vault, con módulos de correlación de eventos que añaden inteligencia a varios eventos que demuestran por ejemplo que alguien ha accedido a un fichero y éste ha salido adjunto en un mensaje de correo electrónico, o cientos de otras posibilidades.

Figura 2: Dashboard de Alien Vault

Pero como en todo, hoy en día los lusers - emulando al gran Wardog - acaban por dedicarse a buscar la forma de saltarse las protecciones buscando "hackers" o usando las maneras más insospechadas. Por supuesto, en entornos de robos de ficheros muchos acaban en las herramientas de esteganografía para resolver este "problema del prisionero" y llevarse los documentos ocultos en, por ejemplo, la fotografía de la firma de su correo electrónico.

Pensando en estas cosas, supuse que las herramientas de esteganografía estarían más o menos tratadas como una herramienta de hacking y por tanto los antimalware o sistemas de end-point security que detectan éstas - muchos antimalware tratan las herramientas hacking como malware - generarían una alerta. Así podría ser analizada por el SIEM de turno cuando alguien de una empresa descargue una herramienta de esteganografía, pues significaría que algo malo puede estar tramando.

Figura 3: Herramienta de esteganografía iSteg

Con estas me bajé unas herramientas de esteganografía de uso general, es decir, de las que están al alcance de todo el mundo, como Silent Eye - que está para Windows, Linux y Mac OS X -, iSteg - solo para Mac OS X - y File Injector para Windows. Todas de "andar por casa pero funcionales" para ver sí los antimalware las detectaban, así que las subí a Virus Total, a ver qué salía por allí.

Figura 4: Instalador de Silent Eye para Windows

Figura 5: El binario de Silent Eye para Mac OS X

Figura 6: Fichero comprimido con distribución de iSteg 

Figura 7: Binario de iSteg para Mac OS X

Como habéis podido ver, de todos ellos no ha habido ninguna detección o alarma, algo que en un entorno empresarial no debería ser bueno. Solo en el caso de File Injector se genera alguna alerta por sus módulos de publicidad, por lo que lo detectan como adware.

Figura 8: File Injector para Windows

Por supuesto, existen otras medidas a tener en cuenta, como controlar en el firewall, o en el IDS de la empresa, las URLs y los hashes de las descargas de este tipo de herramientas. Sin embargo, viendo como está el tema de las fugas de datos, parece más que útil ajustar todos los resortes y por ello sería práctico que los responsables de la seguridad end-point pudieran detectar las herramientas de esteganografía en un entorno empresarial directamente con el agente de seguridad instalado en el equipo.

Saludos Malignos!

9 comentarios:

Adama dijo...

Hecha la ley hecha la trampa. Sí que se tendrían que monitorizar este tipo de herramientas. Parece raro que no se haga. Lo que no sé es si la esteganografia con copy /b la detectaría. Y eso sería más jodido porque es una herramienta presente en el sistema.

Muy interesante como siempre ;)

Anónimo dijo...

Wardog grande? Lo que tiene grande es su ego. Aparte de eso, que es obvio, a mi personalmente sus articulos/comentarips me parecen de mal gusto. No me gustaria tener la desgracia de conocerle en persona.

Jose Santucho dijo...

El artículo me parece muy pobre, algo que nisiquiera se debe utilizar...
Saludos santuchojosecarlos@gmail.com

Maligno dijo...

@José Santucho,

es la "crítica constructiva" menos constructiva y clara que he visto en tiempo. ¡Enhorabuena!

Saludos!

Jaime dijo...

Bastante interesante Chema, aunque lo cierto es que sino desconectan los periféricos vía hardware o protegen la bios se puede bootean utilizando otro SO y copiar todo como si nada :P

Saludos!

Maligno dijo...

@Jaime, el bloqueo de arranque se supone en el artículo }:)

Maligno dijo...

@Jaime, el bloqueo de arranque se supone en el artículo }:)

Jaime dijo...

Pues no preste suficiente atención ^^

Miguel Arroyo dijo...

Buena apreciación Chema, no se me había ocurrido lo de la esteganografía. En cuanto al tema del control por end-point lo veo complicado, máxime teniendo en cuenta que se podrá ejecutar algunos de estos programas en versión portable, sin ningún tipo de instalación. Probaré con alguno y el end-point con el que suelo trabajar y te contaré. Saludos ;-)

Entradas populares