Mostrando entradas con la etiqueta MetaShield Protector. Mostrar todas las entradas
Mostrando entradas con la etiqueta MetaShield Protector. Mostrar todas las entradas

viernes, junio 08, 2018

Metashield Bots: Análisis y limpieza de metadatos para todos desde Telegram, Skype o Slack

Hace no mucho, el laboratorio de ElevenPaths me sorprendió con un proyecto de los suyos que iba a llevar uno de mis productos favoritos, MetaShield, a todos los usuarios de Skype, Telegram o Slack. La idea es bastante sencilla, y a la vez bastante útil y cómoda. Se trata de integrar el motor de limpieza y análisis de metadatos que utiliza MetaShield como un bot de las plataformas Skype, Telegram o Slack.

Figura 1: Metashield Bots: Análisis y limpieza de metadatos para todos desde Telegram, Skype o Slack

El bot se puede invocar y hablar con él para extraer y analizar los metadatos de cualquier documento ofimático, y las únicas limitaciones que tiene son temporales. Es decir, el número de limpiezas que se puede hacer desde una determinada ubicación es de 2 por hora, aunque la integración que hemos hecho con la plataforma de bots permitiría hacer una limpieza de hasta 500 documentos a la hora, pero eso sería para implantaciones empresariales que lo requieran.


Figura 2: MetaShield Bot Skype

El funcionamiento es bastante sencillo, así que hemos grabado estos tres vídeos que explican el proceso de localización del bot en cada una de las plataformas - son bots públicos con los que cualquiera de vosotros puede interactuar -, como hacer el análisis de metadatos de un determinado documento y cómo limpiarlo.


Figura 3: MetaShield Bot Slack

Esto lo presentamos en el pasado Security Day de ElevenPaths, donde también hablamos de Dario - un proyecto que aparece en los vídeos de los bots de MetaShield - que sirve para analizar malware en macros de documentos ofimáticos, pero subiendo solo las partes del documento que son necesarias para ese análisis, lo que ayuda a dotar de más privacidad al documento. Pero eso es otra cosa que os contaremos más adelante.


Figura 4: MetaShield Bot Telegram

El el blog de ElevenPaths tenéis más información de estos tres bots de MetaShield en Skype, Telegram y Slack, y en la web de ElevenPaths tenéis información de todos los productos de la familia MetaShield Protector, incluida la versión de MetaShield Clean-up Online que permite analizar y limpiar metadatos en documentos con un sitio web.

Saludos Malignos!

jueves, diciembre 07, 2017

Los metadatos de Bin Laden (los de sus discos duros) #BinLaden #metadata @elevenpaths

Ya os he recogido muchas historias en el pasado sobre el Análisis Forense de Metadatos que llevaron a escándalos o revelación de información muy sensible. Las historias detrás de los metadatos suelen ser, cuanto menos, entretenidas y curiosas, y en algunas ocasiones reveladoras. En el libro de CRIME INVESTIGATION: Historias de investigación forense en las que los peritos resolvieron el caso,  recogimos algunas de ellas, centrándonos en descifrar los detalles de cómo pasó lo que pasó. Y hoy toca hablar de otro caso similar, el caso de los discos duros de Bin Laden [Parte I y Parte II].

Figura 1: Los metadatos de Bin Laden (los de sus discos duros)

Como sabéis, en Informática 64 le prestamos mucha atención a los metadados desde el principio. Así nació la FOCA, y la Nueva FOCA - de la que tenéis un seminario online especial este próximo 28 de Diciembre - continúa con la misma filosofía.  De la FOCA empezamos a derivar la familia de herramientas de seguridad de MetaShield Protector, orientados a proteger las fugas de datos de compañías por medio de los metadatos.

Figura 2: Pentesting con la "nueva" FOCA. 28 Diciembre. Online

Pero de toda la familia de tecnologías creadas alrededor de MetaShield Protector, hay dos que las usamos en todas las investigaciones: MetaShield Clean-Up Onlline (que permite analizar los metadatos de un documento vía web), y MetaShield Forensics, que permite analizar los metadatos de todos los documentos de un disco duro.


Figura 3: Vídeo Tutorial de MetaShield Forensics

Con estas herramientas y mucha paciencia, nuestros compañeros del Laboratorio de ElevenPaths suelen echarle un ojo en detenimiento a todos los incidentes en los que hay documentos, como ya se hizo con WannaCry y los documentos que apuntaban a Messi y ahora acaban de hacer con los archivos de los discos duros de Bin Laden.

Figura 4: Análisis de un fichero del equipo de Bin Laden con MetaShield Clean-Up Online

En los dos artículos que han publicado hasta el momento, se han analizado cosas curiosas. Se han mirado las muestras de los ficheros marcados como malware por los investigadores de la CIA y se han mirado uno por uno a ver si eran falsos positivos, falsos negativos o es lo que los investigadores tenían más datos que los conocidos.

Figura 5: Time-line de metadatos en todos los ficheros creado con MetaShield Forensics

Además, se han revisado los ficheros de volcados de memoria por errores o por entrada en hibernación del sistema. Estos archivos, desde hace mucho tiempo, son fundamentales en las investigaciones y siempre se hace un Análisis Forense de la Memoria RAM de los equipos  que se estudian.

Figura 6: Análisis con Mimikatz del fichero hiberfil.sys

De ellos se extraen URLs de servidores proxy en uso, direcciones visitadas, y muchas cadenas de texto que pueden contener de todo, hasta las contraseñas de acceso a servicios - como ya vimos en el caso de los procesos de los navegadores con Firefox.

Figura 7: Credenciales almacenadas en Firefox

En el caso de los discos duros de Bin Laden, no hay gestores de contraseñas, pero sí passwords almacenadas en los gestores de Firefox, algún fichero de texto, e incluso alguna contraseña en texto utilizada para el cifrado de comunicaciones entre terroristas.

Figura: Manuales de hacking entre los documentos

De hecho, siguen manuales similares al que salió a la luz pública hace tiempo sobre hacking y terrorismo del que os hablé en el artículo "Las recomendaciones de seguridad en Internet de ISIS no son para paranoicos de la privacidad". Entre los archivos se puede encontrar algún manual de hacking que explica los mecanismos utilizados.

Figura: Índice con metadatos de todos los archivos de Bin Laden


Para que sea más fácil ver todos los documentos, hemos publicado una pequeña herramienta web que permite navegar por todos los ficheros y buscar por sus metadatos, así que podéis usarlo como índice para vuestras propias investigaciones.

Saludos Malignos!

lunes, octubre 10, 2016

Shadow: Cómo localizar al que filtra la información en tu empresa

Durante el pasado Security Innovation Day 2016 hubo muchas noticias que merece la pena que os vaya desgranando. De todas ellas, hoy quiero destacar lo que muchos habéis podido leer ya en los medios de comunicación: La adquisición de la tecnología Shadow del Centro de Tecnológico de Galicia, Gradiant y que pasa a formar parte de la familia de soluciones que tenemos para la protección de la información que circula en documentos.

Figura 1: Shadow. Cómo localizar al que filtra la información en tu empresa

La estrategia que hemos seguido durante estos años para construir nuestro portfolio de soluciones se ha basado en la construcción de soluciones a problemas mediante la generación de alianzas estratégicas con empresas de referencia, más el enriquecimiento de nuestra oferta desarrollando nuestros productos, adquiriendo tecnologías o invirtiendo en empresas, como representa esta imagen que utilicé en la presentación del evento y que recoge un poco la línea temporal de adquisiciones, inversiones y desarrollo de productos.

Figura 2: Descripción de inversiones, adquisiciones y creación interna de productos en ElevenPaths.

En concreto, dentro de la solución de Data Protection, durante los últimos años hemos estado avanzando en la gestión documental segura en las empresas para proteger la información que circula en archivos. Con MetaShield Protector comenzamos un camino para evitar la fuga de información por medio de metadatos, información oculta y datos perdidos, que hemos ido extendiendo para tener una familia tan grande como la que tenemos hoy en día.

Figura 3: Familia de MetaShield Protector para gestión documental

Con al adquisición de las tecnologías SealSign ampliamos el ámbito de protección con la posibilidad de gestionar la firma digital por medio de sistemas centralizados de certificados digitales más la potencia de usar firma manuscrita biométrica con SealSign BioSignature, como os conté ayer mismo.

Shadow: Marcado de documentos con trazas de seguimiento

Ahora con Shadow añadimos a la familia la opción de implantar en documentos impresos o compartidos en formato postscript marcas de seguimiento que permiten realizar una traza hacia el origen del documento en caso de que se produzca una fuga del mismo con solo hacerle una fotografía. Cada documento lleva incrustada marcas de traza que se añade en el momento de imprimir los archivos, que no son visibles a simple vista, pero que utilizando el algoritmo de Shadow a partir de una una simple imagen del documento, es posible saber la información de la marca que hay guardada en él. 


Figura 4: The Shadow Files "The Truth is IN there"

Para presentar su funcionamiento hicimos una demo en dos pasos. Primero, contamos esta historia que podéis ver en este vídeo en la que se explica cómo un documento se imprime seis veces con seis marcas de Shadow y uno de ellos se filtra fuera de la organización mediante una fotografía hecha al documento original (previamente cortado), manchado de café y enviado vía WhatsApp. Queda irreconocible a simple vista, pero aún así, sigue manteniendo las características de la marca Shadow que hay en él.


Figura 5: Descripción de la tecnología de impresión con trazas Shadow

La segunda parte, que hicimos en el evento, consistía en averiguar quién de los seis miembros de la reunión había filtrado la documentación. El resultado, por supuesto es que el documento aún mantiene la traza y puede ser recuperado para sacar de él el nombre de la persona a la que se le ha entregado ese documento, y que se inyectó durante el proceso de impresión mediante técnicas de esteganografía documental.

Servicios de Document Loss Detection (DLD)

En este caso podría ser él mismo el filtrante, o que alguien se lo hubiera quitado a él, pero deja a los analistas una línea de investigación clara para lograr descubrir quién y de qué forma se ha producido la fuga de información.


Figura 6: Descripción del servicio de Document Loss Detection dentro
de los procesos de Vigilancia Digital en nuestra oferta de CyberThreats

Este servicio, por supuesto, nos ayuda a completar el servicio de Document Loss Detection que ya incluimos en nuestro servicios de CyberThreats, por el que los analistas de seguridad investigan las fugas de información de los documentos de nuestros clientes. Para este servicio, como ya sabéis porque lo contamos en el evento de Mayo, habíamos invertido en la empresa 4IQ.

Figura 7: Anuncio de la inversión de Telefónica en 4IQ

Pero no solo eso, un sistema como Shadow también ayuda a localizar los documentos que se imprimen internamente dentro de una organización para localizar a los empleados que no estén siguiendo las políticas de "Paperless Office" dentro de empresa o que estén dejando documentos olvidados dentro de la propia empresa. Un simple proceso de recogida de documentos olvidados en el que el personal de limpieza se lleve aquellos que estén dejados al azar,  para que el equipo de seguridad interna pueda incidir en las buenas prácticas de seguridad de la empresa en las personas que no están teniendo cuidado de ellos. Pero también incluido con un plugin que modifique los adjuntos en el correo electrónico en el MTA para marcar la salida de ficheros o como un agente que monitorice los ficheros cuando se graban en el disco o... en cualquier punto del ciclo de vida del documento en tu empresa.

Saludos Malignos!

martes, julio 26, 2016

Descubrir usuarios de Drupal con FOCA y ZAP Proxy

Drupal es un sistema de gestión de contenidos (CMS) de código abierto muy popular y ampliamente utilizado en Internet, debido a características tales como su facilidad de uso, flexibilidad gracias a la cantidad de módulos de los que dispone creados por una amplia comunidad de desarrolladores y a la escalabilidad que proporciona para sitios webs personales o empresariales. Hoy vamos a ver en este artículo cómo se puede sacar información de la plataforma para hacer un pentesting a un sistema Drupal configurado en el sitio web de una empresa.

Figura 1: Descubrir usuarios de Drupal con FOCA y ZAP Proxy

Cuando se realiza un ethical hacking, es importante conocer quiénes son los usuarios válidos que tienen acceso al sistema. De esta forma, en un ataque de fuerza bruta, el espacio de búsqueda se reduce a la mitad si el proceso de autenticación únicamente solicita usuario y contraseña y no hay un segundo factor de autenticación, como por ejemplo Latch para Drupal.


Figura 2: Cómo proteger Drupal con Latch

En esta PoC (Prueba de Concepto) se muestra cómo obtener usuarios válidos en sistemas de gestión de contenidos (CMS) basados en Drupal a través de los metadatos presentes en los documentos ofimáticos alojados en él. Latch, metadatos, MetaShield Protector, FOCA, hacking web... ¿cómo no le iba a gustar este artículo a Chema Alonso?

Drupal y el fichero robots.txt

Por defecto, Drupal incorpora un fichero robots.txt para tratar de evitar el rastreo e indexación en buscadores de ciertas partes del sitio web. Su contenido varía versión a versión y en la web de Drupal se puede acceder a la información del fichero robots.txt en cada una de las ramas. Así, si te encuentras un fichero robots.txt en su servidor podrás saber qué versión tienes en frente en función de su contenido. Un contenido tipo de robots.txt para un Drupal 6.x es como el que sigue.

Figura 3: Contenido de un fichero robots.txt para Durpal 6.x

Si tras la instalación del sitio basado en Drupal y su puesta en producción no ha sido modificado el fichero robots.txt, por ejemplo, podría realizarse un poco de fingerprinting para ver cuál es la versión actual del CMS y el número de veces que ha sido actualizado: tantas como líneas con el patrón “Drupal X.X.X, año-mes-día” aparezcan en el fichero CHANGELOG.txt cuya ruta proporciona el fichero robots.txt.

Figura 4: Changelog.txt de la propia web de Drupal

Esta información puede ser importante porque es posible conocer si el sitio web está actualizado a la última versión o no, o si existe algún exploit o vulnerabilidad conocida para la versión actual del CMS que corre en el servidor web.

Figura 5: Algunos exploits y vulnerabilidades para diferentes versiones de Drupal

El fichero robots.txt también proporciona una ruta importante para intentar realizar el descubrimiento de usuarios: /?q=user/password/ ¿Para que utilizar Drupal esta URL en su sistema?

Solicitar una nueva contraseña por correo electrónico

Drupal permite, por defecto, solicitar una nueva contraseña por correo electrónico. Para ello, únicamente hay que realizar una petición como la siguiente:
http: //www.sitioweb.com?q=user/password
De esta forma, el sistema solicitará el nombre de usuario o la cuenta de correo electrónico del usuario que desea solicitar una nueva contraseña.

Figura 6: Solicitud de una nueva clave por correo electrónico en una web con Drupal

En caso de introducir un nombre de usuario o dirección de correo electrónico de un usuario presente en el sistema, la respuesta por defecto será: “Se le han enviado más instrucciones a su dirección de correo-e.”

Figura 7: Respuesta frente a un usuario o cuenta de e-mail presente en el sistema

Si el nombre de usuario o la cuenta de correo electrónico no pertenece a ningún usuario presente en el sistema, el sistema por defecto responderá: “Lo siento, XXX no se reconoce como nombre de usuario o dirección de correo electrónico”.

Figura 8: Respuesta frente a un usuario o cuenta de e-mail incorrecta

Es decir, por defecto, Drupal “proporciona” un mecanismo que permite descubrir qué nombres de usuario están en el sistema y cuáles no, debido a las dos respuesta anteriores.

Obtención de nombres de usuarios de documentos ofimáticos

Los sitios web basados en Drupal de organismos públicos, como por ejemplo ayuntamientos, suelen tener muchos documentos ofimáticos con metadatos asociados. Haciendo un poco de Hacking con buscadores es fácil localizarlos:

Figura 9: Dorking para la búsqueda de sitios web de ayuntamientos hechos con Drupal

La idea es extraer el nombre de todos los usuarios presentes en los documentos ofimáticos y ver con cuáles de ellos pueden solicitar a Drupal una nueva contraseña por correo electrónico. Esos serán usuarios válidos presentes en el sistema.

Para ello, seleccionamos a uno de los ayuntamientos devueltos en los resultados de la Figura 9 y utilizamos la FOCA para la extracción de los usuarios presentes en los metadatos de los documentos ofimáticos alojados en la web.

Figura 10: Usuarios extraídos con FOCA de los documentos de un ayuntamiento

Almacenamos en un fichero de texto los usuarios encontrados por FOCA en los documentos ofimáticos, ya que será el payload que utilizaremos en el proceso de automatización para el descubrimiento de usuarios válidos.

Fuerza bruta basada en diccionario de usuarios de metadatos

Una vez que tenemos el fichero con los usuarios presentes en los documentos ofimáticos, lo único que tenemos que hacer es automatizar el proceso “de probar uno por uno” para ver, con cuál de ellos, el sistema es capaz de generar una nueva contraseña y enviarla por correo electrónico. Serán los nombres de usuarios válidos en el proceso de autenticación.

Para ello, mediante un Proxy HTTP/S como ZAP, tal y como explico en el capítulo de nuestro libro de Hacking Web Technologies, capturamos la petición HTTP de solicitud de cambio de contraseña con un usuario cualquiera:

Figura 11: Captura de petición HTTP para el cambio de contraseña

Tras capturar la petición HTTP, la reenviamos modificando el valor del parámetro name. Utilizamos para ello el Fuzzer que proporciona ZAP. Como payload usaremos el fichero con los usuarios descubiertos por la FOCA para que ZAP realice fuerza bruta basada en diccionario con todos ellos. Drupal por defecto no restringe este tipo de ataque.

Figura 12: Fuzzer preparado con el payload de usuarios

Tras esta primera prueba, ZAP Proxy arroja un resultado positivo con dos usuarios: Administrador y ADMIN.

Figura 13: Usuarios descubiertos en esta instalación de Drupal con el diccionario

Además, si analizamos las respuestas devueltas por el servidor web, puede observarse que el tiempo de respuesta con esos dos usuarios es menos al del resto de respuestas, el código HTTP también varía: 302 frente a 200 para el resto de usuarios. El tamaño de la cabecera HTTP también es diferente para estos dos usuarios: pasa de 391 bytes a 472 bytes y 473 bytes. El fuzzer de ZAP indica también, a través del TASK ID, el orden de los usuarios encontrados en el fichero generado con FOCA: el 2 y 23.

Figura 14: Orden de los dos usuarios descubiertos por ZAP y FOCA

Probando con uno de ellos vemos como efectivamente se trata del user de uno de los usuarios almacenados en Drupal.

Figura 15: Usuario ADMIN presente en el sistema

Conclusiones sobre esta PoC

A parte de eliminar los metadatos de los documentos ofimáticos antes de que estos sean colgados en Internet para que ningún usuario pueda quedar expuesto, tal y como indica el Esquema Nacional de Seguridad utilizando herramientas como las de MetaShield Protector, también es recomendable eliminar toda la información del fichero robots.txt que pudiera facilitar el descubrimiento de rutas y recursos de autenticación o de cambio de contraseñas, como de todas las actualizaciones y de la versión actual de Drupal que corre en el servidor web.

Figura 16: MetaShield Protector Client para Windows

Parece también una buena idea restringir la autenticación y la solicitud de nuevas contraseñas únicamente a ciertas direcciones IP utilizando el módulo de seguridad.

Figura 17: Módulo de Login Security para Drupal

Para ello, Drupal ofrece el módulo login security que, aparte de permitir o denegar (de manera temporal o permanente) el acceso por dirección IP a ciertas partes de Drupal, también permite limitar el número de intentos fallidos de autenticación antes de bloquear una cuenta de usuario, o avisar al administrador por correo electrónico o vía Nagios cuando se hayan adivinado cuentas o realizado realizado ataques de fuerza bruta. Por supuesto, no olvides poner un segundo factor de autenticación a todas las cuentas de tu Drupal por si alguien es capaz de conseguir la password de uno de esos usuarios.

Autor: Amador Aparicio de la Fuente (@amadapa) escritor de libro "Hacking Web Technologies"

domingo, junio 26, 2016

Paint.NET en metadatos de Internet Information Services #Microsoft #metadata #IIS

Hoy domingo os voy a traer un post con sólo una curiosidad - que hoy ya habrá mucho denso que leer con eso de ser día de elecciones generales - sobre el mundo de los metadatos que descubrimos revisando en Eleven Paths los resultados de un escaneo hecho con Faast, nuestro sistema de Pentesting Persistente. Se trata en este caso de un metadato que aparece en la imagen que se utiliza por defecto en los servidores Microsoft Internet Information Services 8.5 y que apuntan a que ha sido creada con el software Paint.NET, tal y como se dio cuenta nuestro compañero Ioseba Palop que siempre anda con el ojo abierto.

Figura 1: Paint.NET en metadatos de IIS 8.5

Como podéis ver, la imagen es un fichero en formato PNG que, a pesar de lo que muchos puedan pensar, también tiene sus propios metadatos. De hecho, en MetaShield Protector es una de las cosas que miramos en todas las imágenes para poder evitar que se filtre información como los programas que se están utilizando.

Figura 2: Imagen de Microsoft para los servicios IIS 8.5

El que se conozca el software en uso puede abrir un problema de seguridad, al poderse descubrir alguna vez algún fallo relativo a él. No hay que irse muy lejos en el tiempo para ver cómo un software de tratamiento de imágenes se convirtió en la peor pesadilla para la seguridad de las empresas con el 0day de ImageMagick que afectó a tantos servidores GNU/Linux.

En otras ocasiones, el problema de que se conozca el software que está en uso es más reputacional que otra cosa, ya que puede dejar mal a la compañía por su posicionamiento público o peor, que se descubra que se está utilizando una copia pirata del software para la que la compañía no tiene licencia.

El caso de la imagen de IIS 8.5

Si analizamos esta imagen con un editor hexadecimal podemos ver que en la cabecera del fichero ya aparece el nombre del software Paint.Net dentro del mismo.

Figura 3: Head del fichero PNG

Si queremos hacer un análisis más detallado, podemos usar cualquier software de análisis de ficheros PNG, en este caso Inspect PNG de Simon Strandgaard para OS X y está disponible dentro de Mac App Store.

Figura 4: Inspect PNG para OS X

Como se puede ver, dentro de los metadatos es posible acceder al nombre del software que ya habíamos visto. El software en concreto es Paint.Net, una popular herramienta gratuita que es freeware y vive de donaciones.

Figura 5: El software utilizado es Paint.NET v3.5.10 (no es la última versión)

Así que esperamos que los ingenieros de Microsoft que la hayan utilizado, hayan puesto algo de los fondos que normalmente estas compañías destinan para donar a los creadores de software independientes, dentro de las arcas de los creadores de Paint.Net. O mejor, ¿y si se cambiara Paint por Paint.Net en futuras versiones de Windows?

Saludos Malignos!

jueves, marzo 19, 2015

El ministro Montoro, los metadatos en el informe de Hacienda y las conspiraciones en tiempo de Elecciones

Para hacer corto el resumen de este caso, baste decir que hay un juez que está investigando un posible delito de fraude fiscal realizado por el Partido Popular. Para ello solicita a la Agencia Tributaria perteneciente al Ministerio de Hacienda y Administraciones Públicas (MINHAP) (antes conocido como Ministerio de Economía y Hacienda - en adelante MEH -) un informe sobre los hechos para poder tipificar o no el delito. El MEH - dirigido por el Ministro Montoro del Partido Popular - entrega un argumentario al juez en el que viene a decir que no hay delito por diversos motivos, todos ellos muy debatidos por tertulianos y expertos de toda índole. Ese documento se hace público tal y como supuestamente fue remitido al juez, ya que alguien lo filtra a los medios de comunicación - supuestamente por interés - incluidos en el documento todos los metadatos.

Figura 1: Los metadatos en el informe de Hacienda, el Ministro Montoro y las conspiraciones

Dicho y hecho el resumen ejecutivo de la historia, estamos ante otro ejemplo en el que el análisis forense de los metadatos de un documento causa un revuelo mediático. No es la primera vez que hay escándalos por casos similares, como ya sucedió con el asunto del programa electoral del PP publicado por el becario, los metadatos que sirvieron para descubrir las facturas falsas de la trama Gurtel, el caso de la Infanta Elena y el asesoramiento del Fiscal General de Estado, la publicación deliberadamente tarde del dato de deficit de la Comunidad de Madrid o, como no, la publicación con metadatos de la declaración de la renta del Presidente del Gobierno. Está claro, que los metadatos se la han jugado mediáticamente al Partido Popular varias veces, haciendo que se enfrenten a problemas en los medios por no limpiar los metadatos de los documentos cuando los envían por correo electrónico o los publican en la web.


Figura 2: Limpieza de Metadatos en adjuntos con MetaShield Protector for Outlook

En este caso, el documento viene con pocos metadatos, pero subido a MetaShield Analyzer deja ver quién es el que ha hecho el documento, que no es otro que D. Rogelio Menéndez Menéndez, hermano del actual Director de la Agencia Tributaria y asesor personal del Ministro de Hacienda y Administraciones Públicas Montoro.

El debate viene a colación de que es una filtración interesada, para que los medios pudieran defender o publicar los argumentos que servirían para defender al Partido Popular. Esto, siendo un documento pedido por un juez para la causa que está llevando y siendo una petición entre organismos de la administración pública española, no está bien. El que alguien pudiera filtrar a los medios de comunicación documentación de carácter privado creada y poseída debido a su posición en puesto en la administración pública para utilizarlo con un interés personales o partidistas en generar un ola en los medios de comunicación, es lo que no ha sentado bien a nadie.

Figura 3: Metadatos en el argumentario en el que aparece que ha sido creado por el MEH

Sin embargo, en su descargo hay que decir que pudiera ser que no hubiera sido él la persona que lo ha filtrado a los medios de comunicación y entonces estaríamos hablando de una fuga de información producida en algún punto del canal. Deberíamos por tanto implantar un sistema de DLP (Data Lost Prevention) en los servidores y equipos del MINHAP (MEH) y en los de los juzgados. Recordemos que no es la primera filtración desde los juzgados con respecto a este caso, ya que cuando el Partido Popular entregó toda la contabilidad de los últimos años, alguien la publicó en Internet para que todo el mundo pudiera analizarla. Tampoco es la primera fuga a los medios desde un Ministerio, ya que como vimos todos, la documentación del ERE del PSOE los metadatos apuntan a que se filtró directamente desde el Ministerio de Empleo y Seguridad Social.

Conspiraciones en tiempo de Elecciones

Por otro lado, hay que tener presente que mientras que un documento no esté firmado digitalmente, los metadatos de este documento podrían haber sido manipulados y filtrados a los medios de comunicación de manera interesada. Recordad que unos metadatos son indicios y no pruebas hasta que no se pueda garantizar su procedencia. Así que esta información que conecta directamente al Ministro Montoro con una filtración interesada a los medios de comunicación podría ser una trama mediática en tiempo de Elecciones - como estamos ahora -. Si no se conoce la manera en la que se adquirió el documento, es imposible garantizar que ha sido ni el MINHAP (MEH) el que lo ha filtrado, ni esa persona en concreto la que lo ha realizado.

En cualquier caso, por precaución, está claro que hay que limpiar los metadatos, que nunca sabes dónde van a terminar. Un caso más para la larga lista de Ejemplos Ejemplares.

Saludos Malignos!

viernes, diciembre 19, 2014

El Portal de la Transparencia: Los metadatos y el Esquema Nacional de Seguridad

Como ya sabéis todos, hace poco que se publicó El Portal de la Transparencia del Gobierno de España. Un sitio web en el que se vuelca información sobre compras, concursos e incluso organigramas internos de muchos de los organismos oficiales de nuestro gobierno de España. En él se puede encontrar información de todo tipo, e incluso alguna que puede ayudar a un posible intruso cibernético a planificar su ataque, buscando información del software de seguridad informática que se está utilizando

Figura 1: Información de software de antivirus comprado por la administración

Yo no había tenido aún tiempo de echarle un ojo, pero ayer quise dedicarle una mirada a algo que desde que se publicó rondaba mi cabeza: "¿Quitarían los metadatos de los documentos que publican en él para cumplir con el Esquema Nacional de Seguridad respecto a las medidas de limpieza de metadatos en documentos públicos?"

Figura 2: Metadatos y el Esquema Nacional de Seguridad en El Portal de la Transparencia

La verdad es que muchos de los documentos son directamente enlaces al portal de contrataciones, donde los archivos se generan bajo demanda, y vienen totalmente limpios de cualquier metadato. Otros muchos documentos provenientes de algunos ministerios concretos vienen limpios como la patena, lo que me ha alegrado profundamente, pero no es difícil localizar documentos que no lo están.

Figura 3: Metadatos en un documento publicado en El Portal de la Transparencia

Jugando con MetaShield Analyzer se puede ver como muchos de los documentos - aún - accesibles vía El Portal de la Transparencia, aún conservan sus metadatos - incluso alguno como este que debía estar "limpio".

Figura 4: Otro documento con metadatos analizado con MetaShield Analyzer

El Esquema Nacional de Seguridad es de obligado cumplimiento por todas las administraciones públicas, y los metadatos deberían estar eliminados de los documentos ya que pueden dar a un posible atacante información de usuarios, servidores internos, software, historial del documento, datos de relaciones entre personas y empresas y hasta cambios en los archivos que no fueran deseables revelar, como ya hemos visto en muchos otros ejemplos de incidentes con metadatos.

Saludos Malignos!

sábado, agosto 23, 2014

Analizar Metadatos Online con MetaShield Analyzer

Hace ya mucho tiempo que pusimos online un servicio para analizar online los metadatos de los documentos ofimáticos y fotografías, la famosa FOCA Online. Ha estado funcionando durante años y han sido cantidades enormes de documentos los que han pasado por allí para ser analizados y ver qué metadatos ofrecían. Ahora desde Eleven Paths llegó el momento de evolucionarlo con un nuevo motor, un nuevo interfaz y un nuevo nombre dentro de la familia MetaShield Protector de productos para evitar fugas de información con metadatos: El nombre que le hemos dado es MetaShield Analyzer.

Figura 1: MetaShield Analyzer

El funcionamiento es muy sencillo, basta con ir a la web de MetaShield Analyzer, seleccionar de tu equipo el documento que quieres analizar, y ver los resultados que se obtienen. Los tipos de documentos que se pueden analizar son.
- Microsoft Word Binario: DOC
- Microsoft Excel Binario: XLS
- Microsoft Power Point Binario: PPT y PPS
- Portable Document Formart: PDF
- Microsoft Word OOXML: DOCX
- Microsoft Excel OOXML: XLSX
- Microsoft Power Point OOXML: PPTX y PPSX
- Open Document Text: ODT
- Open Document Spreadsheet: ODS
- Open Document Presentation: ODP
- Open Document Graphic: ODG
- Open Office Binario: SXW
- Fotografías: JPG
Recordad que estas extensiones hacen referencia al tipo de documento, y puede que haya otras extensiones que funcionen con el mismo motor. Por ejemplo, los archivos perdidos de Microsoft Office tienen extensiones como TMP, XAR, WBK y ASD - por citar algunas - que también pueden ser analizadas, por lo que bastaría con que eligieras la extensión adecuada manualmente.
- TMP: Documento de Microsoft Power Point temporal en formato PPT.
- XAR: Documento de Microsoft Excel temporal en formato XLS.
- ASD: Documento de Microsoft Word temporal en formato DOC.
- WBK: Documento de Microsoft Word temporal en formato DOC.
Lo mismo sucede con los otros formatos de documento que usan las herramientas. En el caso de Microsoft Excel se puede utilizar el motor de análisis de metadatos de XLS o XLSX para extraer información de otros formatos Excel, así que con que le cambies la extensión funcionará.
- XLA: Sin metadatos, es código VBA.
- XLB: Sin metadatos, es un archivo de código binario.
- XLC: Codificación binaria. Mismos metadatos que un XLS.
- XLD: Formato XML sin metadatos.
- XLK: Formato binario. Mismos metadatos que un XLS.
- XLL: Formato binario. Mismos metadatos que un XLS.
- XLM: Codificación OOXML. Mismos metadatos que un XLSX.
- XLSB: Formato binario. Mismos metadatos que XLS.
- XLSHTML: Codificación HTML.
- XLSM: Codificación OOXML. Mismos metadatos que XMLX.
- XLT: Codificación binaria. Mismos metadatos que XLS.
- XLV: Codificación binaria. Mismos metadatos que XLS.
- XLW: Codificación binario. Mismos metadatos que XLS.
La FOCA Online ha muerto, pero ha nacido MetaShield Analyzer que además va a tener un ciclo de actualizaciones y nuevas características más continuo, así que como homenaje, qué mejor que analizar el famoso documento de Tony Blair.

Figura 2: Análisis de Blair.doc con MetaShield Analyzer

Las fugas de datos en metadatos han dado mucho juego, y seguro que seguirán dándolo. En el artículo de Análisis Forense de Metadatos he recogido ya más de 30 casos distintos en los que fueron importantes. Si tienes sugerencias, ideas, errores o cualquier comentario que creas que puede aportar a mejorar MetaShield Analyzer, no dudes en ponerte en contacto con nosotros y enviarnos tu sugerencia.

Saludos Malignos!

jueves, marzo 20, 2014

Eleven Months in Eleven Paths

El día 20 de Abril se cumplirá un año del nacimiento oficial de Eleven Paths como compañía, lo que hace que la empresa cumpla hoy 11 meses de vida. Solo eso. Solo 11 meses de vida, pero para nosotros han sido el doble o el triple de intenso, debido a la cantidad de cosas que hemos hecho y el esfuerzo dedicado en la consecución de nuestros objetivos a tan corto plazo. Hoy os quiero contar algunas de las cosas que han sucedido durante estos 11 meses de nuestra corta vida, a modo de resumen de como yo he vivido estos Eleven Months.

Make a Team

Durante este tiempo una de nuestras principales ocupaciones era construir un equipo de profesionales que pudiera abordar los retos profesionales a los que nos íbamos a enfrentar. Para ello, comenzando con los cimientos de Informática 64 [Pablo González, Ioseba Palop, Rubén, Rodol, Germán, Fran, Jandro, etcétera] y personal de Telefónica que nos diera un poco de luz hemos ido añadiendo gente al proyecto poco a poco.

Mi idea inicial era mezclar gente con mucha experiencia con jóvenes de mucho potencial, para lo que tiré de grandes profesionales que tenía en mi particular "libreta azul" desde hace tiempo. David Barroso, Palako, Dani Kachakil, Sergio de los Santos, Olvido Nicolás, Alfonso Muñoz, Claudio Caracciolo o Manu "The Sur" se añadieron poco a poco al proyecto. Por otro lado he ido seleccionando a jóvenes Talentum para que se vayan curtiendo y añadiendo al equipo, que no solo le dan alegría y ganas, sino meten un extra de ilusión en todo lo que hacen.

Figura 1: Javier Espinosa, un Talentum que vino con su cubo de Rubik a meter energía en 11Paths

A día de hoy somos ya 45 personas trabajando en Eleven Paths, ya que también se ha incorporado un equipo de dos diseñadores - que hacen que las cosas luzcan de maravilla -, más algún otro CSA como Leonardo "Samurai Blanco" en Colombia,  y algún compañero de Telefónica que he ido metiendo al equipo de esos que he "robado" de otras areas de la compañía.

No penséis que he fichado a todos los que he querido o que me he podido traer a todo el mundo, que muchos se me han quedado fuera por diversos motivos. Tampoco están todos los que me gustaría que estuvieran, así que espero que estos equipos crezcan a medida que vayamos sacando más cosas.

Los Paths

En el ADN de la compañía esta probar cosas y ver si tienen sentido o no. A cada proyecto interno le ponemos un número. El Path 1, el Path 2, El Path 3, etcétera. Los que hayáis visto la charla de Antonio en la Universidad UPM ya sabréis que por ejemplo Latch era el Path 2. Algunos de los proyectos no verán la luz a corto plazo, como es el caso del Path 1 o del Path 3, pero nos ha dado tiempo a aprender mucho de ellos en el proceso.


Figura 2: Dr. Antonio Guzmán hablando de Latch en la UPM

Ahora estamos internamente manejando el Path 4, y algunas ideas que podrán ser el Path 5... o no, ya que de momento son ideas que estamos evaluando. Esta forma de trabajar nos permite tener un sistema que nos deja detectar que un Path es fallido en poco tiempo, para poder comenzar con otro nuevo proyecto.

Las Patentes

Una de las cosas que yo tenía claro es que quería que todo lo que hicieramos estuviera respaldado por el mundo académico y protegido lo suficiente como para poder ser comercializado a nivel mundial. Para ello diseñamos un sistema de trabajo que antes de llegar a ser un producto hace que las tecnologías pasen por un proceso de patentes. En el año 2013, es decir, en solo 8 meses, depositamos 4 peticiones de patentes relativas al Path 2 y el Path 4 a través de la oficina que para ello tiene Telefónica.

Figura 3: El Patent Wall of Fame de Telefónica en 2013

Es bonito entrar por la mañana en el edificio y a verte junto con los compañeros de Eleven Paths en el Patent Wall of Fame de Telefónica en 2013. Esperemos que este 2014 siga siendo igual de productivo.

Los Productos

Evidentemente Eleven Paths es una empresa que tiene en su ADN el hacer productos y servicios que tienen que ver con la seguridad informática, por ello trabajamos para lo que estábamos haciendo se convirtiera en algo práctico y útil para nuestros clientes.

En Diciembre, en el evento de presentación de Eleven Paths lanzamos nuestros tres primeros productos, de los que os he ido hablando por aquí, que son la familia de productos MetaShield Protector, el servicio en Cloud de Pentesting Persistente llamado Faast y como no, nuestro querido Latch.

MetaShield Protector

Como muchos ya sabéis, MetaShield Protector es una evolución y conversión en familia de la versión inicial que habíamos construido en Informática 64. En este periodo, con la idea inicial de tener un sistema que automáticamente limpiase los metadatos para evitar que recayera en el usuario este trabajo y que permitiera evitar las fugas de información a través de documentos públicos, hicimos una actualización del motor y creamos una familia de soluciones.

A día de hoy seguimos evolucionando y ampliando la lista de versiones que estarán disponibles, así que antes de que acabe este año seguro que os contamos novedades sobre MetaShield Protector.

Faast y CiberSeguridad

El servicio de pentesting persistente en cloud que llamamos Faast se construye bajo la idea de automatizar de forma masiva todas las tareas posibles que hace un pentester. Para ello reutilizamos todo nuestro conocimiento anterior de FOCA - de la que nos dio tiempo a sacar una nueva versión para el evento de lanzamiento - y creamos una especie de FOCA en Cloud digi-evolucionada. La idea no es crear una herramienta de búsqueda de vulnerabilidades en web al estilo de los escáners tradicionales sino hacer un proceso de pentesting automático y persistente en el tiempo apoyado en técnicas OSINT.

Figura 4: Faast

Se construyó de cero desde que llegamos a Eleven Paths y a día de hoy ya es un monstruo que funciona de maravilla. A día de hoy, el servicio se está comercializando individualmente y de forma integrada con los servicios de CiberSeguridad que está ofreciendo Telefónica a todos sus clientes, de tal manera que se extiende el conjunto de información que se está aportando a los equipos de seguridad de las empresas.

Latch

De Latch ya os he contado mucho. Ya sabéis, estamos Latcheando el mundo con nuestro sistema para poner pestillos digitales a todo. Es otro producto que nació de cero en Eleven Paths, y que salió de las colisiones que se producen cuando juntas a varios hackers simpáticos en una misma habitación para que jueguen con la tecnología.

Figura 5: Presentación de Latch en el MWC de este año con el jefe

Los PoCs y el laboratorio

Para que los productos salgan adelante hay una pieza fundamental en la empresa que nos da mucha vida, y es el Laboratorio de Ideas Locas en Málaga. De ahí salen esas pequeñas herramientas que de vez en cuando vamos publicando, pero también las investigaciones que se publican en el blog de Eleven Paths, se prueban las ideas para la construcción de prototipos de siguientes Paths, etc...

Actualmente el equipo de personas que está allí, bajo la supervision de Sergio de los Santos, está a pleno rendimiento, y se ha convertido en el germen de lo que probablemente serán los nuevos Paths y los nuevos proyectos de Eleven Paths

Los sprints para ir a buen ritmo

Para conseguir sacar todo esto adelante en solo estos "Eleven Months" hemos ido auto-marcándonos nuestro propio ritmo basado en sprints. Nos marcamos uno en Diciembre para el evento en el que dijimos "Hola" a todo el mundo,  nos marcamos otro sprint para el pasado Mobile World Congress y ahora tendremos otro para contaros lo que hayamos hecho este mitad de año antes de las vacaciones de verano. Cada uno de estos puntos de control nos ayuda a tener milestones en lo que estamos haciendo internamente.

Ha sido un periodo intenso y apasionante que a pesar de ser corto en tiempo parece que ha sido una vida entera. Personalmente ha tenido una intensidad que difícilmente hubiera podido imaginar al principio, y que espero poder seguir viviendo. Espero algún día poder escribir un post titulado Eleven Years in Eleven Paths.

Saludos Malignos!

Entrada destacada

Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment. Nuestro nuevo libro en 0xWord

Pocas veces me ha hecho tanta ilusión que saliera un nuevo libro en 0xWord como con este libro de " Hacking IA: Jailbreak, Prompt Inje...

Entradas populares