Vídeo Tutoriales de MetaShield Protector (Español e Inglés)

Uno de los productos que hemos evolucionado en Eleven Paths ha sido la familia MetaShield Protector. Inicialmente era una solución sólo para limpiar metadatos en documentos publicados en servidores web de Microsoft Internet Information Services (IIS), pero ahora es una familia con 5 productos distintos: MetaShield for IIS, MetaShield for SharePoint, MetaShield for File Servers, MetaShield Forensics - la antigua Forensic Foca evolucionada - y MetaShield for Client.

Para que podáis conocer en un espacio corto de tiempo cómo funcionan los diferentes productos, hemos creado estos vídeo-tutoriales de solo unos minutos de duración. Están narrados en Español y subtitulados en Inglés.

MetaShield for IIS

Este fue el primer producto de la familia, consiguió ya el premio de Red Seguridad al producto de seguridad más innovador en el año 2009, y sirve para, entre otras muchas cosas, aplicar el Esquema Nacional de Seguridad. Su función es evitar las fugas de datos a través de documentos ofimáticos publicados en la web, que hemos visto que afectan incluso a las empresas centradas en productos DLP (Data Loss Prevention) y las del IBEX 35.


Figura 1: MetaShield Protector for IIS

MetaShield for SharePoint

Al igual que el producto anterior, este funciona sobre servicios SharePoint (Windows SharePoint Services, Microsoft SharePoint 2010 y Microsoft SharePoint 2013. Este vídeo explica su funcionamiento.

  Figura 2: MetaShield Protector for SharePoint
MetaShield for FileServers

Esta es una versión nueva, centrada en monitorizar carpetas en servidores de ficheros. Cada vez que un archivo es creado en una de las carpetas monitorizadas, MetaShield for File Servers eliminará todos los metadatos que tenga el archivo y establecerá unos valores personalizados por una plantilla.


Figura 3: MetaShield Protector for FileServers
MetaShield for Clients

Esta es la versión para los equipos Microsoft Windows de escritorio. Basta con hacer clic con el botón derecho sobre el archivo y se accederá a las opciones de borrar metadatos de todos los documentos. Si tienes una estrategia de seguridad en el endpoint con antimalware, además de seguir la recomendación de evitar que se usen las herramientas de esteganografía, es perfecto añadir el despliegue de esta solución en los puestos de trabajo.


Figura 4: MetaShield Protector for Client
MetaShield Forensic

Esta es la antigua Forensic Foca evolucionada. En aquellos casos en los que es fundamental hacer un estudio forense de lo que ha pasado en un equipo, el análisis de los metadatos es clave. En el artículo de Análisis Forense de Metadatos: Ejemplos ejemplares, hay una lista de casos en los que han generado mucha información.


Figura 5: MetaShield Forensics
Si quieres más información de alguno de estos productos, puedes ponerte en contacto con Eleven Paths, y ya sabes que FOCA hace un análisis completo de los metadatos de un sitio web para hacer un buen pentesting y que aún está disponible la versión online de FOCA donde puedes analizar los documentos de un solo archivo.

Saludos Malignos!

MetaShield Protector, el ENS, el IBEX 35 y los líderes DLP

En el año 2008 publicamos la primera versión de FOCA. En aquel momento era una herramienta centrada en buscar fugas de información de empresas a través de los metadatos, la información oculta y los datos perdidos que contenían los archivos públicos de una organización.

Durante varios años evolucionamos la herramienta y las capacidades de la misma, además de impartir cientos de charlas sobre lo importante que era tener cuidado con estas fugas de información. Entre ellas, conferencias en BlackHat Europe 2009 y Defcon 17 con "Tactical Fingerprinting using metadata, hidden info and lost data" y Defcon 18 con "FOCA 2: The FOCA strikes back", además de estar en el BlackHat USA Arsenal de 2010, donde se contaba la demo de cómo, por ejemplo, se podría hacer un ataque dirigido a la Agencia de Misiles Americana usando metadatos.

Figura 1: Metadatos en la Missile Defense Agency

A lo largo del año 2009 comenzamos a crear MetaShield Protector, un software que evitaba la fuga de información en documentos publicados en servidores web Internet Information Services, y en gestores documentales de la familia SharePoint, y nos concedieron el Premio Red Seguridad al producto más innovador en seguridad de ese año.

También ese mismo año, el gobierno empujaba el Esquema Nacional de Seguridad, que sería aprobado al siguiente con una parte del mismo dedicada a las recomendaciones de seguridad respecto de los metadatos, para evitar riesgos asociados a una mala gestión de los mismos.

Figura 2: Programa CLEAR para detectar fugas por metadatos

Visto todos estos movimientos, parecía bastante evidente que las fugas de información por culpa de los metadatos en los documentos públicos tenían los días contados. Esto se podría esperar aún más cuando incluso el gobierno de los Estados Unidos había decidido crear el programa CLEAR para eliminar las fugas de información de las webs, y tenía en cuenta los metadatos.

Nada más lejos de la realidad.

Desde que comenzamos la andadura de Eleven Paths, decidimos comprobar cuántas empresas estaban teniendo cuidado con los metadatos, así que evaluamos diferentes entornos y se hicieron muchos informes internos con datos sectoriales relativos a las fugas de información.

Uno de los informes está referido al número de empresas españolas que cotizan en bolsa dentro del IBEX 35, para ver cuántas de ellas estaba teniendo una política de limpieza de documentos públicos, tal y como recomienda el Esquema Nacional de Seguridad y las buenas prácticas de seguridad.

La prueba fue bastante sencilla, y consistió en descargar documentos publicados en el sitio web del domino principal de la empresa y comprobar si era posible o no obtener datos de ellas. La conclusión fue que de todas ellas fue posible obtener información a través de los metadatos, es decir, que ninguna estaba teniendo una protección o política de seguridad que contemplara estas fugas de información.

Figura 3: Totales de fugas de información en empresas del IBEX 35

La segunda prueba se nos presentó cuando dimos con uno de los cuadrantes mágicos de Gartner, en concreto con el de los líderes en Data Loss Prevention, lo que nos dio un buen grupo de análisis a tener presente. La prueba era más que evidente, sobre todo después de que hubiera leído hace tiempo un artículo sobre algo similar en el que no sé porqué me dio a mí en la nariz que la prueba parecía haberse hecho con nuestra FOCA.

Figura 4: Cuadrante Mágico de Gartner de empresas líderes en DLP

Uno de nuestros compañeros decidió ir a las webs de las empresas líderes en Data Loss Prevention, descargar los documentos públicos y pasarlos por la FOCA, para ver cuáles estaban teniendo cuidado con la fuga de información por culpa de metadatos. La sorpresa es que ninguno de los líderes tenía cuidado alguno de los metadatos.

Figura 5: Resumen de fugas de datos en metadatos por empresas líderes en DLP

Para evitar que el mensaje se distorsionara, evitamos usar nombres asociados a cantidades concretas, pero lo que nos dejaron claras estas pruebas fue que aún el mercado no ha tomado conciencia de todos los riesgos asociados a los metadatos, y por supuesto decidimos seguir trabajando en mejorar nuestros productos de seguridad de este área.

Figura 6: Gráfica resumen por empresas y tipos de datos extraídos

Mejoramos MetaShield for IIS e hicimos una nueva versión de MetaShield for SharePoint, construimos una herramienta que limpia los metadatos de los documentos almacenados en carpetas de un servidor de ficheros, ya sean locales o de red al que hemos llamado MetaShield for File Servers, a la antigua Forensic FOCA la hemos evolucionado al producto que actualmente llamamos MetaShield Forensics y sacamos al mercado una herramienta que bautizamos como MetaShield for Client que pudiera instalar cualquier persona en su equipo para limpiar los metadatos con un solo clic.

Figura 7: Familia de productos MetaShield Protector

Por supuesto, la herramienta Faast también tiene entre sus objetivos la extracción de los metadatos de los documentos públicos para crear inteligencia en el proceso de pentesting persistente, tal y como lo hace FOCA, porque al final, visto lo visto, sigue siendo una fuente de información sensible que hay que tener en cuenta. Y en el interín han pasado más de cinco años, y parece que todo sigue igual. Aún la gente sigue preguntando ¿qué dices le pasó a Tony Blair con los metadatos de un documento? Meta-sorprendente.

Saludos Malignos!

Metadatos en (los otros) ficheros de Microsoft Excel

Los metadatos son un problema de fuga de información que afecta a muchas empresas, de hecho, haciendo una pequeña prueba con las empresas líderes en protección contra fuga de información según el cuadrante mágico de Gartner, pudimos ver que a ellas también les afectaba de manera especialmente sensible en algunos casos.

Figura 1: Fugas de información en empresas líderes en DLP según Gartner

Por eso decidimos continuar evolucionando nuestras herramientas de protección y dentro de las mejoras continuas que estamos introduciendo a la familia de productos de MetaShield Protector para controlar los metadatos decidimos ir a las fugas por los ficheros ofimáticos menos comunes. Hace unas semanas os hablaba de los metadatos perdidos en los archivos perdidos de Microsoft Office y hoy quiero hablaros de Los Otros.

Figura 2: Ficheros XLSB de Microsoft Excel

Los Otros no son nada más que el resto de formatos de ficheros nativos que soporta una aplicación ofimática, y para ejemplarizarlo he elegido Microsoft Excel, que cuenta con la siguiente lista de formatos nativos:

.xl - Hoja de cálculo de Excel
.xla – Complemento de Excel
.xlb – Barra de herramientas de Excel
.xlc - Grafico de Excel
.xld – Base de datos de Excel
.xlk - Copia de seguridad de Excel
.xll - Complemento de Excel
.xlm – Macro de Excel
.xls – Hoja de cálculo de Excel
.xlsb – Hoja de cálculo binario de Excel
.xlshtml – Hoja de cálculo de Excel para Internet formato HTML
.xlsm – Hoja de cálculo de Excel con Macros habilitadas
.xlt – Plantillas de Excel
.xlv – Modulo de Visual Basic de Excel
.xlw – Espacio de trabajo de Excel
.xlw – Libro de Excel

Cuando se hace un hacking con buscadores persiguiendo todos los archivos ofimáticos, estos deben ser buscados también cuando se hace uso del comando ext:, ya que si no nos quedaríamos sin muchas fugas de información que podrían dar información jugosa.

Figura 3: Metadatos en un fichero .XLL analizado con FOCA Online como XLS 

Yo me he parado a ver cómo son todos esos ficheros y he sacado alguna cosa curiosa sobre cada uno de estos tipos que os resumo en esta lista.

- XLA: No tiene metadatos, es código y se puede ver información sólo en los comentarios de los programas VBA y en los nombres de las variables.

- XLB: Sin metadatos, es un archivo de código binario.

- XLC: Codificación binaria. Mismos metadatos que un XLS. 

- XLD: Formato XML sin metadatos.

- XLK: Formato binario. Mismos metadatos que un XLS.

- XLL: Formato binario. Mismos metadatos que un XLS.

- XLM: Codificación OOXML. Mismos metadatos que un XLSX.

- XLS: El formato nativo.

- XLSB: Formato binario. Mismos metadatos que XLS.

- XLSHTML: Codificación HTML.

- XLSM: Codificación OOXML. Mismos metadatos que XMLX.

- XLT: Codificación binaria. Mismos metadatos que XLS.

- XLV: Codificación binaria. Mismos metadatos que XLS.

- XLW: Codificación binario. Mismos metadatos que XLS.

Como se puede ver, casi todos los formatos ofrecen metadatos que pueden ser extraídos con las herramientas como FOCA Online, o MetaShield Forensics, solo hay que buscarlos de ellos cuando se esté realizando la fase de footprinting y fingerprinting de un pentesting y preocuparse de ellos cuando se esté realizando un proceso de Data Loss Prevention. En la familia MetaShield Protector hemos creado una versión para IIS, otra para SharePoint, otra para File Servers y otra para usar en los clientes Windows. Cuando tenga un poco más de tiempo os paso un resumen similar de "Los Otros" de Microsoft Word y Power Point.

Saludos Malignos!

Limpiar metadatos en Microsoft Office 2011 para Mac

En la versión de Microsoft Office 2013 para Windows existe una opción muy útil para evitar problemas con metadatos, información oculta y datos perdidos. Esa opción, que se llama Inspeccionar Documento y está dentro del menú Preparar, avisa de absolutamente cualquier dato que pueda irse junto con tu documento, además de dar la posibilidad de eliminarlos con un solo clic.

Figura 1: Opción de Inspeccionar Documento en Microsoft Office 2007 para Windows

Por el contrario, en Microsoft Office 2011 para Mac ese menú no está disponible, y lo único que existe es una opción en las Preferencias / Seguridad de cada aplicación - en este caso Word - para que se eliminen los datos personales al guardar el documento.

Figura 2: Opciones de Privacidad en Microsoft Office 2011 para Mac

Al ver esto, rápidamente me acordé de que esta era exactamente la misma opción que había en OpenOffice.org y que tan mal funcionaba, razón por la que acabamos creando el proyecto Open Source de OOMetaExtractor para limpiar correctamente este tipo de documentos ODF.

Figura 3: OOMetaExctrator para limpiar metadatos en documentos ODF

Para probar el funcionamiento de esta opción en Microsoft Office 2011 para Mac decidí utilizar el famoso documento de Tony Blair que tantos quebraderos de cabeza le propinó por culpa de los metadatos. En esta primera imagen se puede ver el documento original Blair.doc analizado por MetaShield Forensics - la antigua Forensic FOCA - con sus respectivos metadatos, información oculta y datos perdidos.

Figura 4: Documento Blair.doc original analizado con MetaShield Forensics

Ahora se hace una copia de este documento, y se guarda con Microsoft Office para Mac 2011 con la opción de eliminar datos personales al guardar.

Figura 5: Guardamos con Microsoft Office 2011 para Mac para limpiar la información oculta

Y de nuevo volvemos a pasarlo por MetaShield Forensics donde se puede observar que no todos los metadatos han sido eliminados. Entre la lista de datos aparece - en este caso - la plantilla que se está utilizando, la versión de software con que se manipuló el documento, y la fecha de impresión original, que como veis es anterior a la fecha de creación del documento dejando una muestra clara de esta manipulación realizada.

Figura 6: Documento Blair.doc limpiado con Microsoft Office 2011 para Mac

Para comprobar como debería funcionar esta opción correctamente, en este tercer caso utilizamos MetaShield Client, una versión para los sistemas operativos Windows que permite eliminar todos los metadatos de cualquier documento ofimático (PDF, Microsoft Office binarios, OOXML, ODF, etcétera) utilizando las opciones del botón derecho.

Figura 7: Limpiando el documento Blair.doc con MetaShield Client

Una vez limpio con MetaShield Client, utilizamos la herramienta MetaShield Forensics para ver qué información aparece, y como podéis ver sale limpio como la patena.

Figura 8: Análisis de Blair.doc con MetaShield Forensics tras ser limpiado con MetaShield Client

Al final, los metadatos pueden revelar mucha información, y en cualquier Análisis Forense Digital pueden resultar cruciales para responder a algunas preguntas. En el caso de Microsoft Office 2011 para Mac no parece tener mucho sentido que estando esta opción de Inspeccionar documento de serie desde Microsoft Office 2007 para Windows, no la hayan incorporado para solucionar el problema de raíz también en sus versiones para Mac OS X.

Saludos Malignos!