MetaShield 3.0: Control de fugas de información DLP en documentos ofimáticos en entornos empresariales

Ayer fue el día elegido para presentar al público MetaShield 3.0, una familia de productos que hemos creado en Eleven Paths para dotar a las empresas de una solución que permita gestionar el control la información que va los metadatos de los documentos ofimáticos de toda una organización gestionando todos los puntos de fuga de datos. No es una revisión más de nuestro sistema de eliminación de metadatos, información oculta y datos perdidos en documentos, es una solución de gestión para grandes empresas.

Figura 1: Familia de productos de MetaShield 3.0

Dentro de la nueva familia de productos en MetaShield 3.0 hay tres elementos fundamentales para entender cómo se ha diseñado todo el sistema, que son la consola centralizada de administración, los motores de limpieza de metadatos, información oculta y datos perdidos, y las soluciones de interceptación de documentos para aplicar la política de control de fugas de información dentro de la estrategia DLP (Data Loss Prevention) que se haya establecido. Vamos a verlos caso a caso.

MetaShield 3.0 Console

La pieza fundamental de esta solución empresarial es MetaShield 3.0 Console. Desde aquí se definen toda la política DLP que se va a aplicar al control de metadatos, información oculta y datos perdidos de la empresa.

Figura 2: Dahsboard de MetaShield 3.0 Console

Es una solución de administración web desde la que se pueden gestionar los siguientes elementos:

- Plantillas (Templates): Una template es una configuración de qué es lo que se quiere hacer con cada uno de los metadatos que aparezcan. Por ejemplo, una Template podría definir que se borrasen todos los metadatos, información oculta y datos perdidos a excepción de los campos Autor y Compañía que queremos re-escribir. Además, podemos añadir campos extras para, por ejemplo, poner información legal de la compañía.

Figura 3: Configuración de una Template

- Perfiles (Profiles): Un perfil es la configuración completa de una política aplicada a todos los tipos de documentos que se quiera. La idea es que por cada tipo de documento se puede configurar una Plantilla distinta, y el Profile es la configuración de todas y cada una de las Templates asociadas a todos y cada uno de los tipos de documentos.

Figura 4: Configuración de Profiles

- Motores de limpieza (Engines): La solución permite que una compañía decida si los motores de limpieza los quiere tener en el mismo equipo o distribuidos por la red para controlar la carga y la distribución de software. Desde aquí se controlan todos los motores de limpieza de la red y su configuración. 

- Equipos e Instancias: Por cada equipo se pueden tener instalados diferentes herramientas de MetaShield 3.0 para aplicar la configuración de la política DLP en las herramientas que monitorizan los clientes de Outlook, de Internet Information Services, SharePoint, Windows o File Servers. A cada una de esas instancias - o a todas a la vez - se les va a asignar un Perfil (Profile) completo desde la consola centralizada.

Figura 5: Configuración de políticas de equipos e instancias de MetaShield

Con esta herramienta el administrador de la política DLP de la compañía puede gestionar la configuración de toda una red de equipos clientes y servidores desde un único punto central y forzarla a toda la empresa.

MetaShield 3.0 Engine

El motor de limpieza de metadatos, información oculta y datos perdidos de MetaShield 3.0 es un servicio independiente que funciona con un API REST al que se le puede pedir localmente o de forma remota que limpie, cambie o añada metadatos a todos los documentos que soporta.

Figura 6: Configuración de MetaShield 3.0 Engine

Su configuración se gestiona desde la consola de administración a la que esté subyugado. Esta disociación del motor y la herramienta de interceptación de documentos permite una mayor flexibilidad a todos niveles, e integrar nuestras soluciones de limpieza de documentos en otras arquitecturas como Linux, Apache, Mac OS X o WAFs que pueden interceptar el documento y pedir al engine que le de servicio remotamente.

MetaShield 3.0 for IIS

Este es el primer producto que creamos, y en esta evolución ha mejorado su arquitectura. Como se puede ver en la imagen, el Engine sigue siendo de lo más rápido y garantizar que un documento sale de tu empresa con la política DLP que tú hayas definido es cuestión de unos milisegundos nada más, tal y como se puede ver en la siguiente imagen.

Figura 7: MetaShield 3.0 for IIS

En el cálculo de los tiempos se tiene en cuenta todo el proceso que toma la limpieza de los archivos, desde que se accede a él hasta que se retorna limpio al cliente.

MetaShield 3.0 for File Servers

Esta es una solución que permite monitorizar las carpetas de un servidor para garantizar que todos los documentos quedan con la política DLP de la empresa. Para ello, se utilizan "watchers" en el sistema de ficheros y cada vez que un documento es creado o modificado, éste es enviado al Engine para que le aplique la Template que le corresponde según el Profile que le hayan configurado a MetaShield 3.0 for FileServer.

Figura 8: MetaShield 3.0 for File Servers

Además, esta herramienta gestiona la configuración de carpetas de Backup para guardar las configuraciones originales de los documentos - si se desean conservar - en otra ubicación.

MetaShield 3.0 for Outlook

Este es quizá uno de los más cómodos y deseados, basta con activarlo y a partir de ese momento cada correo electrónico que lleve adjuntos, cuando se de a enviar, enviará los ficheros al Engine, los limpiará y saldrán por el correo electrónico con la política DLP que se haya establecido.

Figura 9: MetaShield 3.0 for Outlook

En esta captura se puede ver el proceso de limpieza de los archivos, pero no es necesario ni que se muestre esa pantalla, por lo que el proceso sería totalmente transparente al usuario.

MetaShield 3.0 Client

Esta es la solución de EndPoint que permite a los usuarios algo tan sencillo como seleccionar un documento y con el botón derecho del ratón acceder a la opción de Clean del documento ... y ya está.

Figura 10: MetaShield 3.0 for Clients

Una vez que el documento esté limpio ya se puede copiar en pendrives, enviar por un webmail, firmar digitalmente - por eso de no firmar digitalmente las fugas de información de tu empresa - o lo que se desee hacer con él, pero con la política DLP establecida.

MetaShield 3.0 for SharePoint, MetaShield Forensics, MetaShield Analyzer y PoCs

Además de estas soluciones, están la versión de MetaShield 3.0 for SharePoint y las versiones Stand Alone de todos los productos - sin la consola de administración - , la solución para los equipos de seguridad de las empresas MetaShield 3.0 Forensics y la versión web que tienes disponible online y que te permite ver si un documento tiene metadatos MetaShield Analyzer. Si quieres más información, tienes todos los productos en la nueva Web de MetaShield 3.0 y si quieres probar estos productos, ponte en contacto con nosotros y vemos como armar un piloto.

Saludos Malignos!

Wikileaks publica todos los documentos y correos electrónicos robados a SONY

Los 30.287 documentos de Word, Excel, CSV, PDF y presentaciones, más los 173.132 correos electrónicos, con sus correspondientes archivos adjuntos y, por supuesto, todo el contenido de archivos, mensajes de correos e incluso metadatos de los ficheros, han sido publicados por Wikileaks junto con una herramienta para que cualquier navegante pueda buscar por los términos que desee de forma rápida. Es decir, todo lo que le fue robado a SONY se ha puesto en la red a disposición pública.

Figura 1: Wikileaks publica todos los documentos y correos electrónicos robados a SONY

El buscador permite filtrar por tipos de documentos, y basta con seleccionar términos de interés para darse cuenta de la cantidad de información que el adversario, una vez estuvo dentro de la red de SONY Pictures llegó a tener en su poder. En este ejemplo, buscando simplemente por el término passwords salen un montón de archivos con datos.

Figura 2: Ficheros EXCEL de passwords

Y abriendo cualquiera de ellos se puede ver como en el contenido están los usuarios y las contraseñas, como ya se publicó tiempo atrás. En este caso, la lista de todas las contraseñas de redes sociales de todas las campañas de marketing y publicidad que estaba llevando SONY. El usuario y la password son las últimas dos columnas de la derecha.

Figura 3: Sección de un listado de cuentas con contraseñas (ya deshabilitadas)

Todos los documentos están intactos, y conservan sus metadatos, por lo que se puede hacer un análisis de los mismos utilizando herramientas como MetaShield Analyzer o FOCA. Esto hace que no solo haya que para reparar los datos haya eliminar toda la información que pudiera estar en el contenido de los ficheros, sino también en los metadatos, como direccionamientos de red, nombres de servidores, carpetas compartidas, etcétera, algo de lo que ya habíamos hablado después de la intrusión de HBGARY.

Figura 4: Análisis de metadatos de un documento filtrado de SONY

Como sabéis, el apuntado como ejecutor de esta intrusión fue el gobierno de Corea del Norte, que si abrió todos estos archivos bien podría haber sufrido un ataque de doxing involuntario si uno de estos documentos se conecta a casa a actualizar algún enlace, archivo o tabla de cualquiera de ellos. Recordemos que desde el gobierno de USA se dijo que había dejado el rastro de una dirección IP sin servidor Proxy.

Figura 5: Según el FBI fueron descuidados e hicieron una conexión con su dirección IP

Por último, además de los documentos, el mini-site que se ha creado para estos archivos cuenta también con los correos electrónicos, donde se puede buscar por cadenas de texto o nombres de adjuntos. Buscando por nombres de personalidades salen detalles personales y privados de todos ellos.

Figura 6: Correo electrónico sobre una recepción al presidente Obama

En definitiva, un archivo más que cae en Wikileaks de una gran empresa. Recordad que una vez más, el inicio de esta intrusión parece que fue un Spear Phishing para atacar una persona de la organización, así que es más que fundamental resaltar la importancia de fortificar todos los puntos de la organización, dando igual importancia al perímetro externo como al perímetro interno de la empresa.

Saludos Malignos!

El Portal de la Transparencia: Los metadatos y el Esquema Nacional de Seguridad

Como ya sabéis todos, hace poco que se publicó El Portal de la Transparencia del Gobierno de España. Un sitio web en el que se vuelca información sobre compras, concursos e incluso organigramas internos de muchos de los organismos oficiales de nuestro gobierno de España. En él se puede encontrar información de todo tipo, e incluso alguna que puede ayudar a un posible intruso cibernético a planificar su ataque, buscando información del software de seguridad informática que se está utilizando. 

Figura 1: Información de software de antivirus comprado por la administración

Yo no había tenido aún tiempo de echarle un ojo, pero ayer quise dedicarle una mirada a algo que desde que se publicó rondaba mi cabeza: "¿Quitarían los metadatos de los documentos que publican en él para cumplir con el Esquema Nacional de Seguridad respecto a las medidas de limpieza de metadatos en documentos públicos?"

Figura 2: Metadatos y el Esquema Nacional de Seguridad en El Portal de la Transparencia

La verdad es que muchos de los documentos son directamente enlaces al portal de contrataciones, donde los archivos se generan bajo demanda, y vienen totalmente limpios de cualquier metadato. Otros muchos documentos provenientes de algunos ministerios concretos vienen limpios como la patena, lo que me ha alegrado profundamente, pero no es difícil localizar documentos que no lo están.

Figura 3: Metadatos en un documento publicado en El Portal de la Transparencia

Jugando con MetaShield Analyzer se puede ver como muchos de los documentos - aún - accesibles vía El Portal de la Transparencia, aún conservan sus metadatos - incluso alguno como este que debía estar "limpio".

Figura 4: Otro documento con metadatos analizado con MetaShield Analyzer

El Esquema Nacional de Seguridad es de obligado cumplimiento por todas las administraciones públicas, y los metadatos deberían estar eliminados de los documentos ya que pueden dar a un posible atacante información de usuarios, servidores internos, software, historial del documento, datos de relaciones entre personas y empresas y hasta cambios en los archivos que no fueran deseables revelar, como ya hemos visto en muchos otros ejemplos de incidentes con metadatos.

Saludos Malignos!