Hace no mucho, el laboratorio de ElevenPaths me sorprendió con un proyecto de los suyos que iba a llevar uno de mis productos favoritos, MetaShield, a todos los usuarios de Skype, Telegram o Slack. La idea es bastante sencilla, y a la vez bastante útil y cómoda. Se trata de integrar el motor de limpieza y análisis de metadatos que utiliza MetaShield como un bot de las plataformas Skype, Telegram o Slack.
Figura 1: Metashield Bots: Análisis y limpieza de metadatos para todos desde Telegram, Skype o Slack
El bot se puede invocar y hablar con él para extraer y analizar los metadatos de cualquier documento ofimático, y las únicas limitaciones que tiene son temporales. Es decir, el número de limpiezas que se puede hacer desde una determinada ubicación es de 2 por hora, aunque la integración que hemos hecho con la plataforma de bots permitiría hacer una limpieza de hasta 500 documentos a la hora, pero eso sería para implantaciones empresariales que lo requieran.
Figura 2: MetaShield Bot Skype
El funcionamiento es bastante sencillo, así que hemos grabado estos tres vídeos que explican el proceso de localización del bot en cada una de las plataformas - son bots públicos con los que cualquiera de vosotros puede interactuar -, como hacer el análisis de metadatos de un determinado documento y cómo limpiarlo.
Figura 3: MetaShield Bot Slack
Esto lo presentamos en el pasado Security Day de ElevenPaths, donde también hablamos de Dario - un proyecto que aparece en los vídeos de los bots de MetaShield - que sirve para analizar malware en macros de documentos ofimáticos, pero subiendo solo las partes del documento que son necesarias para ese análisis, lo que ayuda a dotar de más privacidad al documento. Pero eso es otra cosa que os contaremos más adelante.
Figura 1: Los metadatos de Bin Laden (los de sus discos duros)
Como sabéis, en Informática 64 le prestamos mucha atención a los metadados desde el principio. Así nació la FOCA, y la Nueva FOCA - de la que tenéis un seminario online especial este próximo 28 de Diciembre - continúa con la misma filosofía. De la FOCA empezamos a derivar la familia de herramientas de seguridad de MetaShield Protector, orientados a proteger las fugas de datos de compañías por medio de los metadatos.
Pero de toda la familia de tecnologías creadas alrededor de MetaShield Protector, hay dos que las usamos en todas las investigaciones: MetaShield Clean-Up Onlline (que permite analizar los metadatos de un documento vía web), y MetaShield Forensics, que permite analizar los metadatos de todos los documentos de un disco duro.
En los dos artículos que han publicado hasta el momento, se han analizado cosas curiosas. Se han mirado las muestras de los ficheros marcados como malware por los investigadores de la CIA y se han mirado uno por uno a ver si eran falsos positivos, falsos negativos o es lo que los investigadores tenían más datos que los conocidos.
Figura 5: Time-line de metadatos en todos los ficheros creado con MetaShield Forensics
Además, se han revisado los ficheros de volcados de memoria por errores o por entrada en hibernación del sistema. Estos archivos, desde hace mucho tiempo, son fundamentales en las investigaciones y siempre se hace un Análisis Forense de la Memoria RAM de los equipos que se estudian.
Figura 6: Análisis con Mimikatz del fichero hiberfil.sys
En el caso de los discos duros de Bin Laden, no hay gestores de contraseñas, pero sí passwords almacenadas en los gestores de Firefox, algún fichero de texto, e incluso alguna contraseña en texto utilizada para el cifrado de comunicaciones entre terroristas.
Para que sea más fácil ver todos los documentos, hemos publicado una pequeña herramienta web que permite navegar por todos los ficheros y buscar por sus metadatos, así que podéis usarlo como índice para vuestras propias investigaciones.
Durante el pasado Security Innovation Day 2016 hubo muchas noticias que merece la pena que os vaya desgranando. De todas ellas, hoy quiero destacar lo que muchos habéis podido leer ya en los medios de comunicación: La adquisición de la tecnología Shadow del Centro de Tecnológico de Galicia, Gradiant y que pasa a formar parte de la familia de soluciones que tenemos para la protección de la información que circula en documentos.
Figura 1: Shadow. Cómo localizar al que filtra la información en tu empresa
La estrategia que hemos seguido durante estos años para construir nuestro portfolio de soluciones se ha basado en la construcción de soluciones a problemas mediante la generación de alianzas estratégicas con empresas de referencia, más el enriquecimiento de nuestra oferta desarrollando nuestros productos, adquiriendo tecnologías o invirtiendo en empresas, como representa esta imagen que utilicé en la presentación del evento y que recoge un poco la línea temporal de adquisiciones, inversiones y desarrollo de productos.
Figura 2: Descripción de inversiones, adquisiciones y creación interna de productos en ElevenPaths.
En concreto, dentro de la solución de Data Protection, durante los últimos años hemos estado avanzando en la gestión documental segura en las empresas para proteger la información que circula en archivos. Con MetaShield Protector comenzamos un camino para evitar la fuga de información por medio de metadatos, información oculta y datos perdidos, que hemos ido extendiendo para tener una familia tan grande como la que tenemos hoy en día.
Figura 3: Familia de MetaShield Protector para gestión documental
Con al adquisición de las tecnologías SealSign ampliamos el ámbito de protección con la posibilidad de gestionar la firma digital por medio de sistemas centralizados de certificados digitales más la potencia de usar firma manuscrita biométrica con SealSign BioSignature, como os conté ayer mismo.
Shadow: Marcado de documentos con trazas de seguimiento
Ahora con Shadow añadimos a la familia la opción de implantar en documentos impresos o compartidos en formato postscript marcas de seguimiento que permiten realizar una traza hacia el origen del documento en caso de que se produzca una fuga del mismo con solo hacerle una fotografía. Cada documento lleva incrustada marcas de traza que se añade en el momento de imprimir los archivos, que no son visibles a simple vista, pero que utilizando el algoritmo de Shadow a partir de una una simple imagen del documento, es posible saber la información de la marca que hay guardada en él.
Figura 4: The Shadow Files "The Truth is IN there"
Para presentar su funcionamiento hicimos una demo en dos pasos. Primero, contamos esta historia que podéis ver en este vídeo en la que se explica cómo un documento se imprime seis veces con seis marcas de Shadow y uno de ellos se filtra fuera de la organización mediante una fotografía hecha al documento original (previamente cortado), manchado de café y enviado vía WhatsApp. Queda irreconocible a simple vista, pero aún así, sigue manteniendo las características de la marca Shadow que hay en él.
Figura 5: Descripción de la tecnología de impresión con trazas Shadow
La segunda parte, que hicimos en el evento, consistía en averiguar quién de los seis miembros de la reunión había filtrado la documentación. El resultado, por supuesto es que el documento aún mantiene la traza y puede ser recuperado para sacar de él el nombre de la persona a la que se le ha entregado ese documento, y que se inyectó durante el proceso de impresión mediante técnicas de esteganografía documental.
Servicios de Document Loss Detection (DLD)
En este caso podría ser él mismo el filtrante, o que alguien se lo hubiera quitado a él, pero deja a los analistas una línea de investigación clara para lograr descubrir quién y de qué forma se ha producido la fuga de información.
Figura 6: Descripción del servicio de Document Loss Detection dentro
de los procesos de Vigilancia Digital en nuestra oferta de CyberThreats
Este servicio, por supuesto, nos ayuda a completar el servicio de Document Loss Detection que ya incluimos en nuestro servicios de CyberThreats, por el que los analistas de seguridad investigan las fugas de información de los documentos de nuestros clientes. Para este servicio, como ya sabéis porque lo contamos en el evento de Mayo, habíamos invertido en la empresa 4IQ.
Figura 7: Anuncio de la inversión de Telefónica en 4IQ
Pero no solo eso, un sistema como Shadow también ayuda a localizar los documentos que se imprimen internamente dentro de una organización para localizar a los empleados que no estén siguiendo las políticas de "Paperless Office" dentro de empresa o que estén dejando documentos olvidados dentro de la propia empresa. Un simple proceso de recogida de documentos olvidados en el que el personal de limpieza se lleve aquellos que estén dejados al azar, para que el equipo de seguridad interna pueda incidir en las buenas prácticas de seguridad de la empresa en las personas que no están teniendo cuidado de ellos. Pero también incluido con un plugin que modifique los adjuntos en el correo electrónico en el MTA para marcar la salida de ficheros o como un agente que monitorice los ficheros cuando se graban en el disco o... en cualquier punto del ciclo de vida del documento en tu empresa.
Drupal es un sistema de gestión de contenidos (CMS) de código abierto muy popular y ampliamente utilizado en Internet, debido a características tales como su facilidad de uso, flexibilidad gracias a la cantidad de módulos de los que dispone creados por una amplia comunidad de desarrolladores y a la escalabilidad que proporciona para sitios webs personales o empresariales. Hoy vamos a ver en este artículo cómo se puede sacar información de la plataforma para hacer un pentesting a un sistema Drupal configurado en el sitio web de una empresa.
Figura 1: Descubrir usuarios de Drupal con FOCA y ZAP Proxy
Cuando se realiza un ethical hacking, es importante conocer quiénes son los usuarios válidos que tienen acceso al sistema. De esta forma, en un ataque de fuerza bruta, el espacio de búsqueda se reduce a la mitad si el proceso de autenticación únicamente solicita usuario y contraseña y no hay un segundo factor de autenticación, como por ejemplo Latch para Drupal.
Figura 2: Cómo proteger Drupal con Latch
En esta PoC (Prueba de Concepto) se muestra cómo obtener usuarios válidos en sistemas de gestión de contenidos (CMS) basados en Drupal a través de los metadatos presentes en los documentos ofimáticos alojados en él. Latch, metadatos, MetaShield Protector, FOCA, hacking web... ¿cómo no le iba a gustar este artículo a Chema Alonso?
Drupal y el fichero robots.txt
Por defecto, Drupal incorpora un fichero robots.txt para tratar de evitar el rastreo e indexación en buscadores de ciertas partes del sitio web. Su contenido varía versión a versión y en la web de Drupal se puede acceder a la información del fichero robots.txt en cada una de las ramas. Así, si te encuentras un fichero robots.txt en su servidor podrás saber qué versión tienes en frente en función de su contenido. Un contenido tipo de robots.txt para un Drupal 6.x es como el que sigue.
Figura 3: Contenido de un fichero robots.txt para Durpal 6.x
Si tras la instalación del sitio basado en Drupal y su puesta en producción no ha sido modificado el fichero robots.txt, por ejemplo, podría realizarse un poco de fingerprinting para ver cuál es la versión actual del CMS y el número de veces que ha sido actualizado: tantas como líneas con el patrón “Drupal X.X.X, año-mes-día” aparezcan en el fichero CHANGELOG.txt cuya ruta proporciona el fichero robots.txt.
Figura 4: Changelog.txt de la propia web de Drupal
Esta información puede ser importante porque es posible conocer si el sitio web está actualizado a la última versión o no, o si existe algún exploit o vulnerabilidad conocida para la versión actual del CMS que corre en el servidor web.
Figura 5: Algunos exploits y vulnerabilidades para diferentes versiones de Drupal
El fichero robots.txt también proporciona una ruta importante para intentar realizar el descubrimiento de usuarios: /?q=user/password/ ¿Para que utilizar Drupal esta URL en su sistema?
Solicitar una nueva contraseña por correo electrónico
Drupal permite, por defecto, solicitar una nueva contraseña por correo electrónico. Para ello, únicamente hay que realizar una petición como la siguiente:
http: //www.sitioweb.com?q=user/password
De esta forma, el sistema solicitará el nombre de usuario o la cuenta de correo electrónico del usuario que desea solicitar una nueva contraseña.
Figura 6: Solicitud de una nueva clave por correo electrónico en una web con Drupal
En caso de introducir un nombre de usuario o dirección de correo electrónico de un usuario presente en el sistema, la respuesta por defecto será: “Se le han enviado más instrucciones a su dirección de correo-e.”
Figura 7: Respuesta frente a un usuario o cuenta de e-mail presente en el sistema
Si el nombre de usuario o la cuenta de correo electrónico no pertenece a ningún usuario presente en el sistema, el sistema por defecto responderá: “Lo siento, XXX no se reconoce como nombre de usuario o dirección de correo electrónico”.
Figura 8: Respuesta frente a un usuario o cuenta de e-mail incorrecta
Es decir, por defecto, Drupal“proporciona” un mecanismo que permite descubrir qué nombres de usuario están en el sistema y cuáles no, debido a las dos respuesta anteriores.
Obtención de nombres de usuarios de documentos ofimáticos
Figura 9: Dorking para la búsqueda de sitios web de ayuntamientos hechos con Drupal
La idea es extraer el nombre de todos los usuarios presentes en los documentos ofimáticos y ver con cuáles de ellos pueden solicitar a Drupal una nueva contraseña por correo electrónico. Esos serán usuarios válidos presentes en el sistema.
Figura 10: Usuarios extraídos con FOCA de los documentos de un ayuntamiento
Almacenamos en un fichero de texto los usuarios encontrados por FOCA en los documentos ofimáticos, ya que será el payload que utilizaremos en el proceso de automatización para el descubrimiento de usuarios válidos.
Fuerza bruta basada en diccionario de usuarios de metadatos
Una vez que tenemos el fichero con los usuarios presentes en los documentos ofimáticos, lo único que tenemos que hacer es automatizar el proceso “de probar uno por uno” para ver, con cuál de ellos, el sistema es capaz de generar una nueva contraseña y enviarla por correo electrónico. Serán los nombres de usuarios válidos en el proceso de autenticación.
Para ello, mediante un Proxy HTTP/S como ZAP, tal y como explico en el capítulo de nuestro libro de Hacking Web Technologies, capturamos la petición HTTP de solicitud de cambio de contraseña con un usuario cualquiera:
Figura 11: Captura de petición HTTP para el cambio de contraseña
Tras capturar la petición HTTP, la reenviamos modificando el valor del parámetro name. Utilizamos para ello el Fuzzer que proporciona ZAP. Como payload usaremos el fichero con los usuarios descubiertos por la FOCA para que ZAP realice fuerza bruta basada en diccionario con todos ellos. Drupal por defecto no restringe este tipo de ataque.
Figura 12: Fuzzer preparado con el payload de usuarios
Tras esta primera prueba, ZAP Proxy arroja un resultado positivo con dos usuarios: Administrador y ADMIN.
Figura 13: Usuarios descubiertos en esta instalación de Drupal con el diccionario
Además, si analizamos las respuestas devueltas por el servidor web, puede observarse que el tiempo de respuesta con esos dos usuarios es menos al del resto de respuestas, el código HTTP también varía: 302 frente a 200 para el resto de usuarios. El tamaño de la cabecera HTTP también es diferente para estos dos usuarios: pasa de 391 bytes a 472 bytes y 473 bytes. El fuzzer de ZAP indica también, a través del TASK ID, el orden de los usuarios encontrados en el fichero generado con FOCA: el 2 y 23.
Figura 14: Orden de los dos usuarios descubiertos por ZAP y FOCA
Probando con uno de ellos vemos como efectivamente se trata del user de uno de los usuarios almacenados en Drupal.
Figura 15: Usuario ADMIN presente en el sistema
Conclusiones sobre esta PoC
A parte de eliminar los metadatos de los documentos ofimáticos antes de que estos sean colgados en Internet para que ningún usuario pueda quedar expuesto, tal y como indica el Esquema Nacional de Seguridad utilizando herramientas como las de MetaShield Protector, también es recomendable eliminar toda la información del fichero robots.txt que pudiera facilitar el descubrimiento de rutas y recursos de autenticación o de cambio de contraseñas, como de todas las actualizaciones y de la versión actual de Drupal que corre en el servidor web.
Parece también una buena idea restringir la autenticación y la solicitud de nuevas contraseñas únicamente a ciertas direcciones IP utilizando el módulo de seguridad.
Para ello, Drupal ofrece el módulo login security que, aparte de permitir o denegar (de manera temporal o permanente) el acceso por dirección IP a ciertas partes de Drupal, también permite limitar el número de intentos fallidos de autenticación antes de bloquear una cuenta de usuario, o avisar al administrador por correo electrónico o vía Nagios cuando se hayan adivinado cuentas o realizado realizado ataques de fuerza bruta. Por supuesto, no olvides poner un segundo factor de autenticación a todas las cuentas de tu Drupal por si alguien es capaz de conseguir la password de uno de esos usuarios.
Hoy domingo os voy a traer un post con sólo una curiosidad - que hoy ya habrá mucho denso que leer con eso de ser día de elecciones generales - sobre el mundo de los metadatos que descubrimos revisando en Eleven Paths los resultados de un escaneo hecho con Faast, nuestro sistema de Pentesting Persistente. Se trata en este caso de un metadato que aparece en la imagen que se utiliza por defecto en los servidores Microsoft Internet Information Services 8.5 y que apuntan a que ha sido creada con el software Paint.NET, tal y como se dio cuenta nuestro compañero Ioseba Palop que siempre anda con el ojo abierto.
Figura 1: Paint.NET en metadatos de IIS 8.5
Como podéis ver, la imagen es un fichero en formato PNG que, a pesar de lo que muchos puedan pensar, también tiene sus propios metadatos. De hecho, en MetaShield Protector es una de las cosas que miramos en todas las imágenes para poder evitar que se filtre información como los programas que se están utilizando.
Figura 2: Imagen de Microsoft para los servicios IIS 8.5
El que se conozca el software en uso puede abrir un problema de seguridad, al poderse descubrir alguna vez algún fallo relativo a él. No hay que irse muy lejos en el tiempo para ver cómo un software de tratamiento de imágenes se convirtió en la peor pesadilla para la seguridad de las empresas con el 0day de ImageMagick que afectó a tantos servidores GNU/Linux.
En otras ocasiones, el problema de que se conozca el software que está en uso es más reputacional que otra cosa, ya que puede dejar mal a la compañía por su posicionamiento público o peor, que se descubra que se está utilizando una copia pirata del software para la que la compañía no tiene licencia.
El caso de la imagen de IIS 8.5
Si analizamos esta imagen con un editor hexadecimal podemos ver que en la cabecera del fichero ya aparece el nombre del software Paint.Net dentro del mismo.
Figura 3: Head del fichero PNG
Si queremos hacer un análisis más detallado, podemos usar cualquier software de análisis de ficheros PNG, en este caso Inspect PNG de Simon Strandgaard para OS X y está disponible dentro de Mac App Store.
Como se puede ver, dentro de los metadatos es posible acceder al nombre del software que ya habíamos visto. El software en concreto es Paint.Net, una popular herramienta gratuita que es freeware y vive de donaciones.
Así que esperamos que los ingenieros de Microsoft que la hayan utilizado, hayan puesto algo de los fondos que normalmente estas compañías destinan para donar a los creadores de software independientes, dentro de las arcas de los creadores de Paint.Net. O mejor, ¿y si se cambiara Paint por Paint.Net en futuras versiones de Windows?
Para hacer corto el resumen de este caso, baste decir que hay un juez que está investigando un posible delito de fraude fiscal realizado por el Partido Popular. Para ello solicita a la Agencia Tributaria perteneciente al Ministerio de Hacienda y Administraciones Públicas (MINHAP) (antes conocido como Ministerio de Economía y Hacienda - en adelante MEH -) un informe sobre los hechos para poder tipificar o no el delito. El MEH - dirigido por el Ministro Montoro del Partido Popular - entrega un argumentario al juez en el que viene a decir que no hay delito por diversos motivos, todos ellos muy debatidos por tertulianos y expertos de toda índole. Ese documento se hace público tal y como supuestamente fue remitido al juez, ya que alguien lo filtra a los medios de comunicación - supuestamente por interés - incluidos en el documento todos los metadatos.
Figura 1: Los metadatos en el informe de Hacienda, el Ministro Montoro y las conspiraciones
Figura 2: Limpieza de Metadatos en adjuntos con MetaShield Protector for Outlook
En este caso, el documento viene con pocos metadatos, pero subido a MetaShield Analyzer deja ver quién es el que ha hecho el documento, que no es otro que D. Rogelio Menéndez Menéndez, hermano del actual Director de la Agencia Tributaria y asesor personal del Ministro de Hacienda y Administraciones Públicas Montoro.
El debate viene a colación de que es una filtración interesada, para que los medios pudieran defender o publicar los argumentos que servirían para defender al Partido Popular. Esto, siendo un documento pedido por un juez para la causa que está llevando y siendo una petición entre organismos de la administración pública española, no está bien. El que alguien pudiera filtrar a los medios de comunicación documentación de carácter privado creada y poseída debido a su posición en puesto en la administración pública para utilizarlo con un interés personales o partidistas en generar un ola en los medios de comunicación, es lo que no ha sentado bien a nadie.
Figura 3: Metadatos en el argumentario en el que aparece que ha sido creado por el MEH
Por otro lado, hay que tener presente que mientras que un documento no esté firmado digitalmente, los metadatos de este documento podrían haber sido manipulados y filtrados a los medios de comunicación de manera interesada. Recordad que unos metadatos son indicios y no pruebas hasta que no se pueda garantizar su procedencia. Así que esta información que conecta directamente al Ministro Montoro con una filtración interesada a los medios de comunicación podría ser una trama mediática en tiempo de Elecciones - como estamos ahora -. Si no se conoce la manera en la que se adquirió el documento, es imposible garantizar que ha sido ni el MINHAP (MEH) el que lo ha filtrado, ni esa persona en concreto la que lo ha realizado.
En cualquier caso, por precaución, está claro que hay que limpiar los metadatos, que nunca sabes dónde van a terminar. Un caso más para la larga lista de Ejemplos Ejemplares.
Como ya sabéis todos, hace poco que se publicó El Portal de la Transparencia del Gobierno de España. Un sitio web en el que se vuelca información sobre compras, concursos e incluso organigramas internos de muchos de los organismos oficiales de nuestro gobierno de España. En él se puede encontrar información de todo tipo, e incluso alguna que puede ayudar a un posible intruso cibernético a planificar su ataque, buscando información del software de seguridad informática que se está utilizando.
Figura 1: Información de software de antivirus comprado por la administración
Figura 2: Metadatos y el Esquema Nacional de Seguridad en El Portal de la Transparencia
La verdad es que muchos de los documentos son directamente enlaces al portal de contrataciones, donde los archivos se generan bajo demanda, y vienen totalmente limpios de cualquier metadato. Otros muchos documentos provenientes de algunos ministerios concretos vienen limpios como la patena, lo que me ha alegrado profundamente, pero no es difícil localizar documentos que no lo están.
Figura 3: Metadatos en un documento publicado en El Portal de la Transparencia
Jugando con MetaShield Analyzer se puede ver como muchos de los documentos - aún - accesibles vía El Portal de la Transparencia, aún conservan sus metadatos - incluso alguno como este que debía estar "limpio".
El Esquema Nacional de Seguridad es de obligado cumplimiento por todas las administraciones públicas, y los metadatos deberían estar eliminados de los documentos ya que pueden dar a un posible atacante información de usuarios, servidores internos, software, historial del documento, datos de relaciones entre personas y empresas y hasta cambios en los archivos que no fueran deseables revelar, como ya hemos visto en muchos otros ejemplos de incidentes con metadatos.
Hace ya mucho tiempo que pusimos online un servicio para analizar online los metadatos de los documentos ofimáticos y fotografías, la famosa FOCA Online. Ha estado funcionando durante años y han sido cantidades enormes de documentos los que han pasado por allí para ser analizados y ver qué metadatos ofrecían. Ahora desde Eleven Paths llegó el momento de evolucionarlo con un nuevo motor, un nuevo interfaz y un nuevo nombre dentro de la familia MetaShield Protector de productos para evitar fugas de información con metadatos: El nombre que le hemos dado es MetaShield Analyzer.
Figura 1: MetaShield Analyzer
El funcionamiento es muy sencillo, basta con ir a la web de MetaShield Analyzer, seleccionar de tu equipo el documento que quieres analizar, y ver los resultados que se obtienen. Los tipos de documentos que se pueden analizar son.
- Microsoft Word Binario: DOC - Microsoft Excel Binario: XLS - Microsoft Power Point Binario: PPT y PPS - Portable Document Formart: PDF - Microsoft Word OOXML: DOCX - Microsoft Excel OOXML: XLSX - Microsoft Power Point OOXML: PPTX y PPSX - Open Document Text: ODT - Open Document Spreadsheet: ODS - Open Document Presentation: ODP - Open Document Graphic: ODG - Open Office Binario: SXW - Fotografías: JPG
Recordad que estas extensiones hacen referencia al tipo de documento, y puede que haya otras extensiones que funcionen con el mismo motor. Por ejemplo, los archivos perdidos de Microsoft Office tienen extensiones como TMP, XAR, WBK y ASD - por citar algunas - que también pueden ser analizadas, por lo que bastaría con que eligieras la extensión adecuada manualmente.
- TMP: Documento de Microsoft Power Point temporal en formato PPT. - XAR: Documento de Microsoft Excel temporal en formato XLS. - ASD: Documento de Microsoft Word temporal en formato DOC. - WBK: Documento de Microsoft Word temporal en formato DOC.
- XLA: Sin metadatos, es código VBA. - XLB: Sin metadatos, es un archivo de código binario. - XLC: Codificación binaria. Mismos metadatos que un XLS. - XLD: Formato XML sin metadatos. - XLK: Formato binario. Mismos metadatos que un XLS. - XLL: Formato binario. Mismos metadatos que un XLS. - XLM: Codificación OOXML. Mismos metadatos que un XLSX. - XLSB: Formato binario. Mismos metadatos que XLS. - XLSHTML: Codificación HTML. - XLSM: Codificación OOXML. Mismos metadatos que XMLX. - XLT: Codificación binaria. Mismos metadatos que XLS. - XLV: Codificación binaria. Mismos metadatos que XLS. - XLW: Codificación binario. Mismos metadatos que XLS.
La FOCA Online ha muerto, pero ha nacido MetaShield Analyzer que además va a tener un ciclo de actualizaciones y nuevas características más continuo, así que como homenaje, qué mejor que analizar el famoso documento de Tony Blair.
Figura 2: Análisis de Blair.doc con MetaShield Analyzer
Las fugas de datos en metadatos han dado mucho juego, y seguro que seguirán dándolo. En el artículo de Análisis Forense de Metadatos he recogido ya más de 30 casos distintos en los que fueron importantes. Si tienes sugerencias, ideas, errores o cualquier comentario que creas que puede aportar a mejorar MetaShield Analyzer, no dudes en ponerte en contacto con nosotros y enviarnos tu sugerencia.
El día 20 de Abril se cumplirá un año del nacimiento oficial de Eleven Paths como compañía, lo que hace que la empresa cumpla hoy 11 meses de vida. Solo eso. Solo 11 meses de vida, pero para nosotros han sido el doble o el triple de intenso, debido a la cantidad de cosas que hemos hecho y el esfuerzo dedicado en la consecución de nuestros objetivos a tan corto plazo. Hoy os quiero contar algunas de las cosas que han sucedido durante estos 11 meses de nuestra corta vida, a modo de resumen de como yo he vivido estos Eleven Months.
Make a Team
Durante este tiempo una de nuestras principales ocupaciones era construir un equipo de profesionales que pudiera abordar los retos profesionales a los que nos íbamos a enfrentar. Para ello, comenzando con los cimientos de Informática 64 [Pablo González, Ioseba Palop, Rubén, Rodol, Germán, Fran, Jandro, etcétera] y personal de Telefónica que nos diera un poco de luz hemos ido añadiendo gente al proyecto poco a poco.
Mi idea inicial era mezclar gente con mucha experiencia con jóvenes de mucho potencial, para lo que tiré de grandes profesionales que tenía en mi particular "libreta azul" desde hace tiempo. David Barroso, Palako, Dani Kachakil, Sergio de los Santos, Olvido Nicolás, Alfonso Muñoz, Claudio Caracciolo o Manu "The Sur" se añadieron poco a poco al proyecto. Por otro lado he ido seleccionando a jóvenes Talentum para que se vayan curtiendo y añadiendo al equipo, que no solo le dan alegría y ganas, sino meten un extra de ilusión en todo lo que hacen.
Figura 1: Javier Espinosa, un Talentum que vino con su cubo de Rubik a meter energía en 11Paths
A día de hoy somos ya 45 personas trabajando en Eleven Paths, ya que también se ha incorporado un equipo de dos diseñadores - que hacen que las cosas luzcan de maravilla -, más algún otro CSA como Leonardo "Samurai Blanco" en Colombia, y algún compañero de Telefónica que he ido metiendo al equipo de esos que he "robado" de otras areas de la compañía.
No penséis que he fichado a todos los que he querido o que me he podido traer a todo el mundo, que muchos se me han quedado fuera por diversos motivos. Tampoco están todos los que me gustaría que estuvieran, así que espero que estos equipos crezcan a medida que vayamos sacando más cosas.
Los Paths
En el ADN de la compañía esta probar cosas y ver si tienen sentido o no. A cada proyecto interno le ponemos un número. El Path 1, el Path 2, El Path 3, etcétera. Los que hayáis visto la charla de Antonio en la Universidad UPM ya sabréis que por ejemplo Latch era el Path 2. Algunos de los proyectos no verán la luz a corto plazo, como es el caso del Path 1 o del Path 3, pero nos ha dado tiempo a aprender mucho de ellos en el proceso.
Figura 2: Dr. Antonio Guzmán hablando de Latch en la UPM
Ahora estamos internamente manejando el Path 4, y algunas ideas que podrán ser el Path 5... o no, ya que de momento son ideas que estamos evaluando. Esta forma de trabajar nos permite tener un sistema que nos deja detectar que un Path es fallido en poco tiempo, para poder comenzar con otro nuevo proyecto.
Las Patentes
Una de las cosas que yo tenía claro es que quería que todo lo que hicieramos estuviera respaldado por el mundo académico y protegido lo suficiente como para poder ser comercializado a nivel mundial. Para ello diseñamos un sistema de trabajo que antes de llegar a ser un producto hace que las tecnologías pasen por un proceso de patentes. En el año 2013, es decir, en solo 8 meses, depositamos 4 peticiones de patentes relativas al Path 2 y el Path 4 a través de la oficina que para ello tiene Telefónica.
Figura 3: El Patent Wall of Fame de Telefónica en 2013
Es bonito entrar por la mañana en el edificio y a verte junto con los compañeros de Eleven Paths en el Patent Wall of Famede Telefónicaen2013. Esperemos que este 2014 siga siendo igual de productivo.
Los Productos
Evidentemente Eleven Paths es una empresa que tiene en su ADN el hacer productos y servicios que tienen que ver con la seguridad informática, por ello trabajamos para lo que estábamos haciendo se convirtiera en algo práctico y útil para nuestros clientes.
Como muchos ya sabéis, MetaShield Protector es una evolución y conversión en familia de la versión inicial que habíamos construido en Informática 64. En este periodo, con la idea inicial de tener un sistema que automáticamente limpiase los metadatos para evitar que recayera en el usuario este trabajo y que permitiera evitar las fugas de información a través de documentos públicos, hicimos una actualización del motor y creamos una familia de soluciones.
A día de hoy seguimos evolucionando y ampliando la lista de versiones que estarán disponibles, así que antes de que acabe este año seguro que os contamos novedades sobre MetaShield Protector.
Faast y CiberSeguridad
El servicio de pentesting persistente en cloud que llamamos Faast se construye bajo la idea de automatizar de forma masiva todas las tareas posibles que hace un pentester. Para ello reutilizamos todo nuestro conocimiento anterior de FOCA - de la que nos dio tiempo a sacar una nueva versión para el evento de lanzamiento - y creamos una especie de FOCA en Clouddigi-evolucionada. La idea no es crear una herramienta de búsqueda de vulnerabilidades en web al estilo de los escáners tradicionales sino hacer un proceso de pentesting automático y persistente en el tiempo apoyado en técnicas OSINT.
Figura 4: Faast
Se construyó de cero desde que llegamos a Eleven Paths y a día de hoy ya es un monstruo que funciona de maravilla. A día de hoy, el servicio se está comercializando individualmente y de forma integrada con los servicios de CiberSeguridad que está ofreciendo Telefónica a todos sus clientes, de tal manera que se extiende el conjunto de información que se está aportando a los equipos de seguridad de las empresas.
Latch
De Latch ya os he contado mucho. Ya sabéis, estamos Latcheando el mundo con nuestro sistema para poner pestillos digitales a todo. Es otro producto que nació de cero en Eleven Paths, y que salió de las colisiones que se producen cuando juntas a varios hackers simpáticos en una misma habitación para que jueguen con la tecnología.
Figura 5: Presentación de Latch en el MWC de este año con el jefe
Los PoCs y el laboratorio
Para que los productos salgan adelante hay una pieza fundamental en la empresa que nos da mucha vida, y es el Laboratorio de Ideas Locas en Málaga. De ahí salen esas pequeñas herramientas que de vez en cuando vamos publicando, pero también las investigaciones que se publican en el blog de Eleven Paths, se prueban las ideas para la construcción de prototipos de siguientes Paths, etc...
Actualmente el equipo de personas que está allí, bajo la supervision de Sergio de los Santos, está a pleno rendimiento, y se ha convertido en el germen de lo que probablemente serán los nuevos Paths y los nuevos proyectos de Eleven Paths.
Los sprints para ir a buen ritmo
Para conseguir sacar todo esto adelante en solo estos "Eleven Months" hemos ido auto-marcándonos nuestro propio ritmo basado en sprints. Nos marcamos uno en Diciembre para el evento en el que dijimos "Hola" a todo el mundo, nos marcamos otro sprint para el pasado Mobile World Congress y ahora tendremos otro para contaros lo que hayamos hecho este mitad de año antes de las vacaciones de verano. Cada uno de estos puntos de control nos ayuda a tener milestones en lo que estamos haciendo internamente.
Ha sido un periodo intenso y apasionante que a pesar de ser corto en tiempo parece que ha sido una vida entera. Personalmente ha tenido una intensidad que difícilmente hubiera podido imaginar al principio, y que espero poder seguir viviendo. Espero algún día poder escribir un post titulado Eleven Years in Eleven Paths.