martes, noviembre 05, 2013

MetaShield Protector, el ENS, el IBEX 35 y los líderes DLP

En el año 2008 publicamos la primera versión de FOCA. En aquel momento era una herramienta centrada en buscar fugas de información de empresas a través de los metadatos, la información oculta y los datos perdidos que contenían los archivos públicos de una organización.

Durante varios años evolucionamos la herramienta y las capacidades de la misma, además de impartir cientos de charlas sobre lo importante que era tener cuidado con estas fugas de información. Entre ellas, conferencias en BlackHat Europe 2009 Defcon 17 con "Tactical Fingerprinting using metadata, hidden info and lost data" y Defcon 18 con "FOCA 2: The FOCA strikes back", además de estar en el BlackHat USA Arsenal de 2010, donde se contaba la demo de cómo, por ejemplo, se podría hacer un ataque dirigido a la Agencia de Misiles Americana usando metadatos.

Figura 1: Metadatos en la Missile Defense Agency

A lo largo del año 2009 comenzamos a crear MetaShield Protector, un software que evitaba la fuga de información en documentos publicados en servidores web Internet Information Services, y en gestores documentales de la familia SharePoint, y nos concedieron el Premio Red Seguridad al producto más innovador en seguridad de ese año.

También ese mismo año, el gobierno empujaba el Esquema Nacional de Seguridad, que sería aprobado al siguiente con una parte del mismo dedicada a las recomendaciones de seguridad respecto de los metadatos, para evitar riesgos asociados a una mala gestión de los mismos.

Figura 2: Programa CLEAR para detectar fugas por metadatos

Visto todos estos movimientos, parecía bastante evidente que las fugas de información por culpa de los metadatos en los documentos públicos tenían los días contados. Esto se podría esperar aún más cuando incluso el gobierno de los Estados Unidos había decidido crear el programa CLEAR para eliminar las fugas de información de las webs, y tenía en cuenta los metadatos.

Nada más lejos de la realidad.

Desde que comenzamos la andadura de Eleven Paths, decidimos comprobar cuántas empresas estaban teniendo cuidado con los metadatos, así que evaluamos diferentes entornos y se hicieron muchos informes internos con datos sectoriales relativos a las fugas de información.

Uno de los informes está referido al número de empresas españolas que cotizan en bolsa dentro del IBEX 35, para ver cuántas de ellas estaba teniendo una política de limpieza de documentos públicos, tal y como recomienda el Esquema Nacional de Seguridad y las buenas prácticas de seguridad.

La prueba fue bastante sencilla, y consistió en descargar documentos publicados en el sitio web del domino principal de la empresa y comprobar si era posible o no obtener datos de ellas. La conclusión fue que de todas ellas fue posible obtener información a través de los metadatos, es decir, que ninguna estaba teniendo una protección o política de seguridad que contemplara estas fugas de información.

Figura 3: Totales de fugas de información en empresas del IBEX 35

La segunda prueba se nos presentó cuando dimos con uno de los cuadrantes mágicos de Gartner, en concreto con el de los líderes en Data Loss Prevention, lo que nos dio un buen grupo de análisis a tener presente. La prueba era más que evidente, sobre todo después de que hubiera leído hace tiempo un artículo sobre algo similar en el que no sé porqué me dio a mí en la nariz que la prueba parecía haberse hecho con nuestra FOCA.

Figura 4: Cuadrante Mágico de Gartner de empresas líderes en DLP

Uno de nuestros compañeros decidió ir a las webs de las empresas líderes en Data Loss Prevention, descargar los documentos públicos y pasarlos por la FOCA, para ver cuáles estaban teniendo cuidado con la fuga de información por culpa de metadatos. La sorpresa es que ninguno de los líderes tenía cuidado alguno de los metadatos.

Figura 5: Resumen de fugas de datos en metadatos por empresas líderes en DLP

Para evitar que el mensaje se distorsionara, evitamos usar nombres asociados a cantidades concretas, pero lo que nos dejaron claras estas pruebas fue que aún el mercado no ha tomado conciencia de todos los riesgos asociados a los metadatos, y por supuesto decidimos seguir trabajando en mejorar nuestros productos de seguridad de este área.

Figura 6: Gráfica resumen por empresas y tipos de datos extraídos

Mejoramos MetaShield for IIS e hicimos una nueva versión de MetaShield for SharePoint, construimos una herramienta que limpia los metadatos de los documentos almacenados en carpetas de un servidor de ficheros, ya sean locales o de red al que hemos llamado MetaShield for File Servers, a la antigua Forensic FOCA la hemos evolucionado al producto que actualmente llamamos MetaShield Forensics y sacamos al mercado una herramienta que bautizamos como MetaShield for Client que pudiera instalar cualquier persona en su equipo para limpiar los metadatos con un solo clic.

Figura 7: Familia de productos MetaShield Protector

Por supuesto, la herramienta Faast también tiene entre sus objetivos la extracción de los metadatos de los documentos públicos para crear inteligencia en el proceso de pentesting persistente, tal y como lo hace FOCA, porque al final, visto lo visto, sigue siendo una fuente de información sensible que hay que tener en cuenta. Y en el interín han pasado más de cinco años, y parece que todo sigue igual. Aún la gente sigue preguntando ¿qué dices le pasó a Tony Blair con los metadatos de un documento? Meta-sorprendente.

Saludos Malignos!

2 comentarios:

Anónimo dijo...

Un caso reciente de fuga, el del CESICAT, la "TIA Catalana", donde los metadatos han dejado en evidencia a dos conocidos expertos en seguridad.

Anónimo dijo...

Si todas las empresas del IBEX ...., entonces en casa del herrero cuchillo de palo. Hasta aquí puedo leer.

Supongo que estaréis concienciando bien al "personal" en la parte que os pueda tocar para que tengan en cuenta todo lo relacionado con la seguridad desde el mismo momento en que las ideas se empiezan a fraguar.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares