Los metadatos de Bin Laden (los de sus discos duros) #BinLaden #metadata @elevenpaths

Ya os he recogido muchas historias en el pasado sobre el Análisis Forense de Metadatos que llevaron a escándalos o revelación de información muy sensible. Las historias detrás de los metadatos suelen ser, cuanto menos, entretenidas y curiosas, y en algunas ocasiones reveladoras. En el libro de CRIME INVESTIGATION: Historias de investigación forense en las que los peritos resolvieron el caso,  recogimos algunas de ellas, centrándonos en descifrar los detalles de cómo pasó lo que pasó. Y hoy toca hablar de otro caso similar, el caso de los discos duros de Bin Laden [Parte I y Parte II].

Figura 1: Los metadatos de Bin Laden (los de sus discos duros)

Como sabéis, en Informática 64 le prestamos mucha atención a los metadados desde el principio. Así nació la FOCA, y la Nueva FOCA - de la que tenéis un seminario online especial este próximo 28 de Diciembre - continúa con la misma filosofía.  De la FOCA empezamos a derivar la familia de herramientas de seguridad de MetaShield Protector, orientados a proteger las fugas de datos de compañías por medio de los metadatos.

Figura 2: Pentesting con la "nueva" FOCA. 28 Diciembre. Online

Pero de toda la familia de tecnologías creadas alrededor de MetaShield Protector, hay dos que las usamos en todas las investigaciones: MetaShield Clean-Up Onlline (que permite analizar los metadatos de un documento vía web), y MetaShield Forensics, que permite analizar los metadatos de todos los documentos de un disco duro.

Figura 3: Vídeo Tutorial de MetaShield Forensics

Con estas herramientas y mucha paciencia, nuestros compañeros del Laboratorio de ElevenPaths suelen echarle un ojo en detenimiento a todos los incidentes en los que hay documentos, como ya se hizo con WannaCry y los documentos que apuntaban a Messi y ahora acaban de hacer con los archivos de los discos duros de Bin Laden.

Figura 4: Análisis de un fichero del equipo de Bin Laden con MetaShield Clean-Up Online

En los dos artículos que han publicado hasta el momento, se han analizado cosas curiosas. Se han mirado las muestras de los ficheros marcados como malware por los investigadores de la CIA y se han mirado uno por uno a ver si eran falsos positivos, falsos negativos o es lo que los investigadores tenían más datos que los conocidos.

Figura 5: Time-line de metadatos en todos los ficheros creado con MetaShield Forensics

Además, se han revisado los ficheros de volcados de memoria por errores o por entrada en hibernación del sistema. Estos archivos, desde hace mucho tiempo, son fundamentales en las investigaciones y siempre se hace un Análisis Forense de la Memoria RAM de los equipos  que se estudian.

Figura 6: Análisis con Mimikatz del fichero hiberfil.sys

De ellos se extraen URLs de servidores proxy en uso, direcciones visitadas, y muchas cadenas de texto que pueden contener de todo, hasta las contraseñas de acceso a servicios - como ya vimos en el caso de los procesos de los navegadores con Firefox.

Figura 7: Credenciales almacenadas en Firefox

En el caso de los discos duros de Bin Laden, no hay gestores de contraseñas, pero sí passwords almacenadas en los gestores de Firefox, algún fichero de texto, e incluso alguna contraseña en texto utilizada para el cifrado de comunicaciones entre terroristas.

Figura: Manuales de hacking entre los documentos

De hecho, siguen manuales similares al que salió a la luz pública hace tiempo sobre hacking y terrorismo del que os hablé en el artículo "Las recomendaciones de seguridad en Internet de ISIS no son para paranoicos de la privacidad". Entre los archivos se puede encontrar algún manual de hacking que explica los mecanismos utilizados.

Figura: Índice con metadatos de todos los archivos de Bin Laden

Para que sea más fácil ver todos los documentos, hemos publicado una pequeña herramienta web que permite navegar por todos los ficheros y buscar por sus metadatos, así que podéis usarlo como índice para vuestras propias investigaciones.

Saludos Malignos!

MetaShield 3.0: Control de fugas de información DLP en documentos ofimáticos en entornos empresariales

Ayer fue el día elegido para presentar al público MetaShield 3.0, una familia de productos que hemos creado en Eleven Paths para dotar a las empresas de una solución que permita gestionar el control la información que va los metadatos de los documentos ofimáticos de toda una organización gestionando todos los puntos de fuga de datos. No es una revisión más de nuestro sistema de eliminación de metadatos, información oculta y datos perdidos en documentos, es una solución de gestión para grandes empresas.

Figura 1: Familia de productos de MetaShield 3.0

Dentro de la nueva familia de productos en MetaShield 3.0 hay tres elementos fundamentales para entender cómo se ha diseñado todo el sistema, que son la consola centralizada de administración, los motores de limpieza de metadatos, información oculta y datos perdidos, y las soluciones de interceptación de documentos para aplicar la política de control de fugas de información dentro de la estrategia DLP (Data Loss Prevention) que se haya establecido. Vamos a verlos caso a caso.

MetaShield 3.0 Console

La pieza fundamental de esta solución empresarial es MetaShield 3.0 Console. Desde aquí se definen toda la política DLP que se va a aplicar al control de metadatos, información oculta y datos perdidos de la empresa.

Figura 2: Dahsboard de MetaShield 3.0 Console

Es una solución de administración web desde la que se pueden gestionar los siguientes elementos:

- Plantillas (Templates): Una template es una configuración de qué es lo que se quiere hacer con cada uno de los metadatos que aparezcan. Por ejemplo, una Template podría definir que se borrasen todos los metadatos, información oculta y datos perdidos a excepción de los campos Autor y Compañía que queremos re-escribir. Además, podemos añadir campos extras para, por ejemplo, poner información legal de la compañía.

Figura 3: Configuración de una Template

- Perfiles (Profiles): Un perfil es la configuración completa de una política aplicada a todos los tipos de documentos que se quiera. La idea es que por cada tipo de documento se puede configurar una Plantilla distinta, y el Profile es la configuración de todas y cada una de las Templates asociadas a todos y cada uno de los tipos de documentos.

Figura 4: Configuración de Profiles

- Motores de limpieza (Engines): La solución permite que una compañía decida si los motores de limpieza los quiere tener en el mismo equipo o distribuidos por la red para controlar la carga y la distribución de software. Desde aquí se controlan todos los motores de limpieza de la red y su configuración. 

- Equipos e Instancias: Por cada equipo se pueden tener instalados diferentes herramientas de MetaShield 3.0 para aplicar la configuración de la política DLP en las herramientas que monitorizan los clientes de Outlook, de Internet Information Services, SharePoint, Windows o File Servers. A cada una de esas instancias - o a todas a la vez - se les va a asignar un Perfil (Profile) completo desde la consola centralizada.

Figura 5: Configuración de políticas de equipos e instancias de MetaShield

Con esta herramienta el administrador de la política DLP de la compañía puede gestionar la configuración de toda una red de equipos clientes y servidores desde un único punto central y forzarla a toda la empresa.

MetaShield 3.0 Engine

El motor de limpieza de metadatos, información oculta y datos perdidos de MetaShield 3.0 es un servicio independiente que funciona con un API REST al que se le puede pedir localmente o de forma remota que limpie, cambie o añada metadatos a todos los documentos que soporta.

Figura 6: Configuración de MetaShield 3.0 Engine

Su configuración se gestiona desde la consola de administración a la que esté subyugado. Esta disociación del motor y la herramienta de interceptación de documentos permite una mayor flexibilidad a todos niveles, e integrar nuestras soluciones de limpieza de documentos en otras arquitecturas como Linux, Apache, Mac OS X o WAFs que pueden interceptar el documento y pedir al engine que le de servicio remotamente.

MetaShield 3.0 for IIS

Este es el primer producto que creamos, y en esta evolución ha mejorado su arquitectura. Como se puede ver en la imagen, el Engine sigue siendo de lo más rápido y garantizar que un documento sale de tu empresa con la política DLP que tú hayas definido es cuestión de unos milisegundos nada más, tal y como se puede ver en la siguiente imagen.

Figura 7: MetaShield 3.0 for IIS

En el cálculo de los tiempos se tiene en cuenta todo el proceso que toma la limpieza de los archivos, desde que se accede a él hasta que se retorna limpio al cliente.

MetaShield 3.0 for File Servers

Esta es una solución que permite monitorizar las carpetas de un servidor para garantizar que todos los documentos quedan con la política DLP de la empresa. Para ello, se utilizan "watchers" en el sistema de ficheros y cada vez que un documento es creado o modificado, éste es enviado al Engine para que le aplique la Template que le corresponde según el Profile que le hayan configurado a MetaShield 3.0 for FileServer.

Figura 8: MetaShield 3.0 for File Servers

Además, esta herramienta gestiona la configuración de carpetas de Backup para guardar las configuraciones originales de los documentos - si se desean conservar - en otra ubicación.

MetaShield 3.0 for Outlook

Este es quizá uno de los más cómodos y deseados, basta con activarlo y a partir de ese momento cada correo electrónico que lleve adjuntos, cuando se de a enviar, enviará los ficheros al Engine, los limpiará y saldrán por el correo electrónico con la política DLP que se haya establecido.

Figura 9: MetaShield 3.0 for Outlook

En esta captura se puede ver el proceso de limpieza de los archivos, pero no es necesario ni que se muestre esa pantalla, por lo que el proceso sería totalmente transparente al usuario.

MetaShield 3.0 Client

Esta es la solución de EndPoint que permite a los usuarios algo tan sencillo como seleccionar un documento y con el botón derecho del ratón acceder a la opción de Clean del documento ... y ya está.

Figura 10: MetaShield 3.0 for Clients

Una vez que el documento esté limpio ya se puede copiar en pendrives, enviar por un webmail, firmar digitalmente - por eso de no firmar digitalmente las fugas de información de tu empresa - o lo que se desee hacer con él, pero con la política DLP establecida.

MetaShield 3.0 for SharePoint, MetaShield Forensics, MetaShield Analyzer y PoCs

Además de estas soluciones, están la versión de MetaShield 3.0 for SharePoint y las versiones Stand Alone de todos los productos - sin la consola de administración - , la solución para los equipos de seguridad de las empresas MetaShield 3.0 Forensics y la versión web que tienes disponible online y que te permite ver si un documento tiene metadatos MetaShield Analyzer. Si quieres más información, tienes todos los productos en la nueva Web de MetaShield 3.0 y si quieres probar estos productos, ponte en contacto con nosotros y vemos como armar un piloto.

Saludos Malignos!

Revisiones e información oculta en ficheros Excel OOXML

Como sabéis, estamos trabajando bastante en la nueva gama de productos MetaShield Protector, y la verdad es que están apareciendo muchos pequeños detalles nuevos que antes no teníamos contemplados, como los archivos perdidos de Microsoft Office, las pitas del los documentos Apple iWork, la no existencia de limpiar documentos en Microsoft Office 2011 para Mac o esta pequeña historia que os voy a contar sobre las revisiones de documentos y la información oculta en los ficheros de Excel OOXML.

OOXML

El formato de fichero OOXML es que Microsoft introdujo en la versión de Microsoft Office 2007, que se estandarizó como estándar ISO en la versión Microsoft Office 2010 y que es el formato nativo también en la versión Microsoft Office 2008 para Mac, Microsoft Office 2011 para Mac y Microsoft Office 2013.

Este formato de archivo está compuesto por un conjunto de carpetas y documentos escritos en XML, junto con ficheros de recursos tales como imágenes o material multimedia comprimidos. Basta con descomprimir el fichero con cualquier herramienta de descompresión y se podrá acceder a todo su contenido.

Se reconocen - principalmente, aunque ya os contaré alguna cosa más en el futuro - por tener las extensiones acabadas en x. Es decir, en las aplicaciones principales serían extensión xlsx para Microsoft Excel, docx para Microsoft Word y pptx para Microsoft Power Point.

Las Revisiones en Microsoft Excel

La Revisión de documentos en Microsoft Office permite que el propio documento almacene los cambios que se van haciendo en un determinado documento a lo largo de su edición. Esto hará que el archivo vaya guardando un histórico de cambios con la información de cuándo, qué y quién de todos y cada uno de las modificacioes que se han realizado. Para ello, hay que activar el uso compartido del documento, tal y como se puede ver en esta captura de Microsoft Excel 2011 para Mac.

Figura 1: Activar uso compartido de este documento

El número de cambios que se irán almacenando en una carpeta llamada xl/revisions dentro del archivo comprimido en formato xlsx está definido por las siguientes opciones que se pueden ver. Esto, es del todo similar en las versiones de Microsoft Office para Mac y Microsoft Office para Windows.

Figura 2: Opciones de guardado de cambios en el documento OOXML

Una vez que están aplicados, el usuario puede activar que se vean las partes que han sido modificadas, síntoma principal de la existencia de las revisiones dentro del documento, y por tanto de la información que había antes de que se hicieran los últimos retoques.

Figura 3: Resaltar los cambios en el documento Excel OOXML

Así, por ejemplo, si un usuario ha añadido un valor a una celda, borrado un dato o modificado el valor de cualquier elemento, se pueden ver unas pequeñas marcas en todas ellas. 

Figura 4: Las celdas con cambios aparecen marcadas con un triángulo

La aplicación de las revisiones y la información oculta

Una vez que el documento está en versión final, basta con irse al menú correspondiente y seleccionar Aceptar o Rechazar Cambios para tomar una decisión sobre qué debe prevalecer en la versión final de la hoja de cálculo que se está editando.

Figura 5: Aceptar o Rechazar cambios en Microsoft Excel 2011 para Mac

Se elige el tipo de cambios que desean ser revisados en este momento, pudiendo dejarse cambios sin revisar para más tarde.

Figura 6: Selección de cambios a validar o no

Una vez se comienza este proceso, se podrán aprobar o rechazar uno a uno o todos a la vez, todos lo cambios del documento.

Figura 7: Aprobación o Rechazo de un cambio. Se puede hacer para todos.

Cuando esto ha terminado, es cuando puede quedar pendiente la información oculta. Si se selecciona otra vez la opción de resaltar cambios, se obtendrá un mensaje de error que alerta de que no hay cambios que aplicar o rechazar, dejándose de ver esa marca en las celdas que han sido manipuladas.

Figura 8: No hay cambios pendientes. No se muestra ninguna alerta visual.

Si un usuario inexperto guarda el documento en Microsoft Excel 2011 para Mac, con la opción de Eliminar datos personales al guardar, puede caer en la falsa sensación de que no hay ninguna información que pueda extraerse del archivo, y por lo tanto enviarlo a su destinatario.

Sin embargo, si hubiera tenido la opción de Inspeccionar Documento que está disponible en Microsoft Excel 2007, 2010 y 2013 para Windows, podría haberse dado cuenta de que hay coas que no están bien, y que además no se borran de forma tan sencilla, pues como puede verse, la opción de limpiar esos datos no se encuentra en el panel.

Figura 9: Inspector de documentos en Microsoft Office 2013 para Windows

Si analizamos el fichero manualmente con un descompresor, podremos ver que aún estando las revisiones aplicadas, el fichero contiene todos los cambios que se han hecho en ese archivo desde el momento en que se activaron las Revisiones.

Figura 10: Revisiones en un fichero XLSX aún compartido

¿Cómo solucionarlo?

Pues la opción es simple, a pesar de no ser demasiado intuitiva, ya que cuando se aplican las revisiones debería preguntar automáticamente si se quiere dejar de hacer un uso compartido del documento, pero no lo hace. Para ello hay que ir manualmente al mismo menú en el que se activaron las revisiones, donde ahora aparecerá la información de las veces que se ha editado, y quitar su uso compartido.

Figura 11: Hay que dejar de compartir el documento para borrar las revisiones

Eso disparará una alerta anunciando que las revisiones van a ser eliminadas y que el historial de cambios va a ser eliminado, que es justo lo que queremos cuando vamos a enviar un documento a un cliente, proveedor o persona ajena a la organización.

Figura 12: La opción eliminará la información de cambios definitivamente

Si ahora se analiza el archivo manualmente, se podrá ver que las revisiones han dejado de estar dentro del archivo xlsx, y ya no se puede extraer de ellas ninguna información útil o comprometedora del dueño del documento.

Figura 13: La carpeta de revisiones ha desaparecido

¿Qué se debería hacer?

En Microsoft Office para Mac es fundamental que se introduzca la opción de Inspeccionar Documento, para eliminar la posibilidad de dejar rutas a plantillas o versiones de software - por poner algún ejemplo - dentro de ellos. Además, se tendría una alerta de que hay información de revisiones cuando se terminan de aplicar pero no se descomparte el fichero, o al menos borrar los cambios aplicados, ya que no tiene sentido almacenarlos.

En segundo lugar, el proceso de aplicar cambios y descompartir debería estar más enlazado. Si no se desea que un proceso de aplicar revisiones implique el descompartir, se tendría que dar al menos esa opción como alerta.

Por último, cuando salen las alertas en Microsoft Office para Windows en el cuadro de resultados de Inspeccionar Documentos, debería estar también la opción de descompartir el documento, porque no es fácil para los usuarios.

Como esto no se hace habitualmente, te invito a que busques Revisiones en ficheros de Excel entre los documentos que te han enviado o simplemente que están publicados en Internet, para que te des cuenta de que esta opción no está ayudando a proteger a los usuarios correctamente.

Saludos Malignos!