Un informático en el lado del mal: PCWorld

Mostrando entradas con la etiqueta PCWorld. Mostrar todas las entradas

domingo, mayo 10, 2009

MetaShield Protector (IV de IV)

Figura 12: Estadísticas sobre ficheros
En la Figura 12 se puede ver el tiempo media de limpieza de un fichero que, en el sitio de ejemplo, ha sido de 197 milisegundos.

Figura 13: Numeros de ficheros descargados por tipos
Y en la útima figura se puede acceder al tiempo medio de limpieza por tipo de fichero.

Figura 14: Tiempo medio por tipo de fichero
MetaShield Protector permite, además, crear una política de imagen asociada a los ficheros publicados. Podríamos crear una política que pusiera en el nombre de la compañía de todos los documentos Microsoft Office y OpenOffice el nombre de nuestra compañía, que elimine cualquier dato que vaya como autor y que mantenga el nombre del título del documento, como se puede ver en la Figura 15.

Figura 15: Plantilla de acciones
Ventajas de MetaShield Protector

La ventaja principal del producto, lógicamente, es que los documentos que salen de la organización vía servidor web, van limpios de metadatos e información oculta. Esto se aplica de igual forma a las arañas de los buscadores, es decir, cuando un documento publicado en el sitio web es solicitado para ser indexado éste irá limpio y, por lo tanto, no habrá necesidad de preocuparse de que se pueda extraer información de los metadatos a través de los buscadores como se puede ver en la Figura 16.

Figura 16: Datos expuestos directamente en Google
En ese ejemplo se observa cómo se puede acceder a datos de usuarios publicados en documentos PDF del dominio fbi.gov simplemente realizando una búsqueda en Google de documentos con la palabra Documents en el título.

El documento original, por su parte, permanece intacto en el repositorio original en todo momento. Si el documento tiene metadatos que el servidor documental interno utiliza, o si el documento tiene versiones anteriores del documento guardadas o información de los revisores que está siendo útil internamente, ésta permanecerá intacta internamente. El administrador del sitio web podrá estar seguro de que los documentos no envíen datos no deseados fuera de la organización teniendo la garantía de que no se está modificando nada de los ficheros originales de los autores.

Conclusiones

Un documento ofimático puede llevar mucha más información de la estrictamente deseable como se ha visto. Puede ser una fuga de información utilizable por la competencia, por atacantes o simplemente que puede dañar la imagen de la compañía. Las soluciones que existen en la actualidad son soluciones que dependen de la pro-actividad del usuario que genera el documento y dentro de una política de seguridad corporativa no se puede depender de que todos los usuarios que publiquen documentos cumplan las normas de seguridad y más, cuando la mayoría de ellos no están alertados de esta situación.

Metashield Protector es una solución para bloquear la fuga de datos a través de metadatos e información oculta en ficheros ofimáticos que permite al administrador prescindir de la colaboración total de los usuarios a la hora de proteger la fuga de información de la compañía. Tienes más información del producto en: Metashield Protector

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

sábado, mayo 09, 2009

MetaShield Protector (III de IV)

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

MetaShield Protector

A la hora de administrar la seguridad de una web, las herramientas de DLP (Data Lost Prevention) o prevención de fuga de información son fundamentales. En el caso que nos atañe la fuga de la información se produce por medio de canales de difícil observación como son los metadatos y la información oculta en los documentos. Es necesario por tanto que se comprueben todos los documentos antes de ser entregados a los clientes.

MetaShield Protector es una solución para evitar la fuga de información en documentos ofimáticos a través de su publicación en sitios web. Para ello, el documento ofimático antes de ser entregado será limpiado en memoria por el componente, llegando al cliente una copia totalmente limpia de metadatos e información oculta.

La solución funciona como un módulo de Intenet Information Services 7.0 para Windows Server 2008 y está totalmente integrado con la arquitectura del servidor web. Así, cuando el servidor web recibe la petición de un fichero ofimático este será entregado a MetaShield Protector para que lo limpie en memoria. Una vez que se han eliminado todos los metadatos del fichero o se han establecido unos previamente establecidos por el administrador se entregará al cliente.

MetaShield Protector se instala a nivel de servidor web y se activa o desactiva a nivel de cada sitio web. Así, su aplicación a un determinado sitio web es tan fácil como activar la opción en el menú contextual del botón derecho como se puede ver en la Figura 10. La desinstalación de un sitio es exactamente el mismo proceso. Botón derecho sobre el sito, desinstalar MetaShield Protector.

Figura 10: Instalación/Desinstalación de Metashield Protector en un sitio web
Una vez configurada la protección para evitar la fuga de metadatos en documentos ofimáticos en un sito se pueden configurar las opciones personalizadas de cada uno de ellos. En el panel de configuración del módulo se debe configurar, en primer lugar, un repositorio de estadísticas. Este almacén tiene que ir sobre un motor de base de datos Microsoft SQL Server o Microsoft SQL Server Express. Durante el proceso de instalación del producto se puede elegir entre utilizar un servidor existente en la empresa o un motor en versión Express nuevo que se instalará con el producto.

Para cada uno de los sitios se podrá personalizar cuales son los formatos de documento que han de ser limpiados de metadatos para ese sitio. En esta versión del producto se puede activar la limpieza para documentos Microsoft Office en binario, es decir, versiones desde Microsoft Office 97 a 2003, de ficheros .doc, .xls, .pps o .ppt, ficheros de versiones OOXML para Microsoft Office 2007, tipo docx, xlsx, ppsx o pptx, ficheros en formato PDF y ficheros de OpenOffice de tipo sxw, ods, odp, odt y odg.

Figura 11: Configuración de MetaShield Protector
Estas opciones de configuración por sitio permiten al administrador de un sito realizar una administración granular y optimizar los tiempos de respuesta de todos y cada uno de los sitios. La limpieza de los documentos en memoria implica, como es de esperar, un pequeño retardo en tiempo. Este retardo será mayor o menor en función del tamaño del documento y el formato.

Para que el administrador pueda conocer cuál es el uso que está realizando el componente en cada sitio web, se puede acceder a las estadísticas y ver cuántos documentos han sido limpiados, es decir, cuantos documentos son aquellos en los que se ha encontrado algún metadato o información confidencial, el número de documentos que se han descargado por tipo de fichero y el tiempo que ha llevado de media el limpiar cada tipo de fichero. Con esta información se podrá decidir la aplicación de medidas especiales, como la limpieza del archivo original, o la desactivación de la limpieza sobre determinados documentos en determinados sitios de los que se tiene la certeza de que están limpios.

En la misma Figura 11 se puede apreciar que en el panel de configuración de MetaShield Protector hay una lista de los documentos descargados cada día. En ella se almacena el detalle de los tiempos que han sido necesarios para limpiar cada uno de los archivos. Si nos fijamos en la Figura 11 con detalle podremos ver el tiempo que ha tardado MetaShield Protector en limpiar el documento Blair.doc, objeto de la polémica en el gobierno británico: 50 milisegundos, es decir, la veinteava parte de un segundo.

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

jueves, mayo 07, 2009

MetaShield Protector (II de IV)

Figura 4: Documentos ofimáticos fbi.gov
En la Figura 4 se puede ver como en el dominio fbi.gov se están publicando a día de hoy más de 4.800 archivos ofimáticos. Con que se sacara 1 dato de cada documento el volumen de información que se estaría haciendo pública de la organización sería enorme. Además, para la extracción masiva de metadatos en documentos ofimáticos existen herramientas como Metagoofil o FOCA, que permiten descargar masivamente archivos ofimáticos publicados en un sitio web y extraer de ellos toda la información.

Figura 5: FOCA
En la Figura 5 se puede ver a FOCA realizando un análisis de todos los documentos públicos del dominio novell.com.

Higiene de documentos

Para la higiene, limpieza o eliminación de metadatos e información oculta de los documentos ofimáticos existen diversas soluciones. Para aquellos creados con Microsoft Office, a raíz del asunto Tony Blair, se hizo pública un add-in para las versiones XP y 2003, que permitía limpiar de cualquier metadato o información oculta a los archivos de Microsoft Office. Esta herramienta se llama RHDTool y está disponible para descarga en la siguiente URL: RHDTool

Siendo conocido este asunto ya, en el paquete de Microsoft Office 2007, todas las herramientas cuentan con una opción de limpieza de documentos, accesible desde el menú Preparar. En la Figura 6 se puede ver como la herramienta busca y elimina todos los datos que puedan poner en riesgo la privacidad o seguridad del autor del documento.

Figura 6: Limpieza de documentos en MS Office 2007
Para las versiones de OpenOffice, aunque la herramienta trae opciones para minimizar la información que debe guardar el documento cuando se está trabajando con él, no elimina completamente toda la información sensible. Así, rutas a plantillas o impresoras no son eliminadas y se hace necesario utilizar una herramienta aparte, como por ejemplo OOMetaExtractor. Esta herramienta es gratuita y está bajo licencia OpenSource, con lo que es posible ser utilizada por cualquier usuario. Está disponible en http://www.codeplex.com/oometaextractor y permite, entre sus principales características, extraer todos los metadatos de todos los ficheros en formato ODF de una carpeta, la limpieza de todos los metadatos de todos los ficheros de una carpeta y el establecer una plantilla de metadatos genéricos para que aparezcan en todos los ficheros.

Figura 7: OOMetaExtractor
Para los ficheros PDF, el mismo paquete de Adobe Acrobat, en su última versión, ofrece herramientas para la limpieza de metadatos, pero, también se puede utilizar la herramienta exiftool para limpiar datos XMP en ficheros PDF.

Google y la caché

Además de limpiar de metadatos todos los ficheros que se encuentren publicados, debe ser necesario tener en cuenta que muchos buscadores, como por ejemplo Google, no sólo indexan el contenido de los ficheros sino que realizan una copia completa del mismo como se puede apreciar en la Figura 8.

Figura 8: Documentos en caché
Es por tanto necesario tener en cuenta que si se limpia un fichero de metadatos, este debe ser eliminado de la cache de Google también. Para ello, como se puede ver en la Figura 9, dentro de las “Herramientas para Webmasters” de Google disponibles en http://www.google.com/webmasters, hay una opción para eliminar URLs de la cache de google e incluso de la base de datos de indexación.

Figura 9: Eliminacion de URL
Problemas de publicación

Como se ha visto, existen soluciones para la limpieza y el análisis de metadatos en documentos ofimáticos. Sin embargo todas esas soluciones recaen en la aplicación manual de las herramientas de limpieza.

Supongamos un usuario que se encuentra trabajando con un documento ofimático y enviándolo periódicamente a publicar en la web. La única forma que tiene este usuario de estar seguro de que el documento está limpio es realizar el proceso de limpieza siempre que vaya a ser enviado fuera de su equipo.

Por el contrario, desde el punto de vista de un administrador de un sitio web que publica documentos ofimáticos en formato doc, xls, pdf, odt, ods o pptx, la única forma de estar seguro de que los documentos están limpios es revisándolos él uno a uno.

Al final, aunque existen soluciones para limpiar los metadatos y la información oculta, no son suficientes para poder establecer una política de seguridad confiable en la publicación de documentos. Es necesario automatizar este proceso.

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

domingo, mayo 03, 2009

MetaShield Protector (I de IV)

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

El affaire Tony Blair & Microsoft Word

Es inevitable hablar de los riesgos de seguridad y privacidad asociados a los metadatos y la información oculta almacenada en un documento ofimático sin contar la famosa historia que afectó al gabinete de Tony Blair.

Era el año 2003 y se cernía el comienzo de la guerra de Irak cuando Tony Blair presentó un informe en la cámara alta del gobierno británico que había sido recibido del servicio de inteligencia de los Estados Unidos. Dicho informe se presentó como una prueba irrefutable de que en Irak existían armas de destrucción masiva. El presidente fue preguntado repetidas veces si ese documento había sido manipulado, modificado o tratado de alguna forma por el gobierno británico y la respuesta siempre fue: No.

Sin embargo, el documento fue publicado en el sitio web del gobierno sin tener en cuenta los posibles metadatos y la información oculta que pudiera contener. El documento en cuestión había sido escrito en formato .doc, el formato nativo de Mirosoft Word, y resultó que, al hacer un análisis de los metadatos, apareció una lista de ediciones realizadas por ciertos usuarios que demostraban que el documento sí había sido manipulado por personal del gobierno británico.

El documento, nada más saltar el escándalo, fue retirado de la web dónde había sido publicado, pero como sucede con toda la información que se pone disponible en Internet, ya mucha gente lo había descargado y existían miles de copias de ese documento, todas ellas con la prueba de la edición del documento por parte del gobierno de Tony Blair.

Analizando el “informe Blair”

El famoso informe puede ser descargado hoy en día desde la siguiente URL: "Documento Blair" y podemos analizarlo utilizando múltiples herramientas. La forma más sencilla es utilizar el servicio gratuito de la FOCA Online. FOCA son las siglas de Fingerprinting Organizations with Collected Archives y permite, no importa el formato del documento que sea, extraer toda la información oculta, metadatos o datos perdidos que pueda contener. El servicio está disponible en la siguiente URL: http://www.informatica64.com/FOCA.

El informe Blair analizado
En la Figura 1 se puede ver la lista completa de metadatos e información que el servicio FOCA Online extrae del documento Blair.doc. En ella se puede apreciar una lista de ediciones sucesivas del documento. En primer lugar se puede apreciar como este documento es editado tres veces por un usuario identificado como cic22 que trabaja en la ruta del sistema de ficheros C:\DOCUME~1\phamill\LOCALS~1\Temp\. Esta ruta hace referencia al perfil del usuario phamill. Posteriormente hay tres usuarios más, que también editan varias veces el documento. Dicho usuarios están identificados como JPratt, ablackshaw y MKhan.

Con estos datos fue sencillo para los medios de comunicación asociar los cuatro usuarios que aparecían en el documento con cuatro personas que trabajaban en el gobierno inglés: Paul Hamill - Funcionario de Foreign Office, John Pratt - Funcionario de Downing Street, Alison Blackshaw - Asistente personal de la secretaria de prensa del Primer Ministro y Murtaza Khan - Funcionario Junior de prensa para el Primer Ministro.

Los metadatos y la información oculta

Como se ha podido ver en el ejemplo del informe Blair, hay cierta información en un documento ofimático que está almacenada pero no se puede ver a simple vista. Dicha información, en contra de la creencia popular, no existe sólo en los formatos de fichero del paquete Microsoft Office. Los formatos de fichero de OpenOffice fueron objeto de un amplio análisis en el artículo publicado en la revista PCWorld Profesional de Octubre de 2008 en el que se pudo constatar la información que podía encontrarse en esos formatos de fichero. De esta información no se libran tampoco los formatos de fichero Lotus, PDF o WordPerfect.

Metadatos en WordPerfet
En la Figura 2 se puede ver como hay información de impresoras de red en un documento WordPerfect publicado en internet y que con una herramienta como Bintext, diseñada para buscar cadenas de texto, aparece claramente.

Al final, en un documento ofimático pueden encontrarse nombres de servidores de la red o direcciones ip de los mismos porque compartan una carpeta de red en la que trabajen los usuarios o una impresora que sea usada por los mismos revelando información interna de la organización.

También, como se ha podido ver en el ejemplo del informe de Tony Blair, pueden aparecer nombres de usuarios, ya sea como creadores y editores del mismo o como nombres de carpetas en los perfiles de usuario.

Uniendo los dos tipos de datos anteriores, es decir, rutas a recursos compartidos en servidores y datos de usuarios que trabajan en ellos, un atacante podría establecer una lista de permisos asociado al recurso, es decir, se podría inferir, si no toda, parte de la lista de control de acceso de los recursos (ACL).

Los documentos PDF y las impresoras virtuales

Otra información que queda al descubierto en la mayoría de los documentos ofimáticos son las versiones de software que están siendo utilizadas por una empresa. Esto podría ser bastante comprometedor para una organización si se hubieran publicado documentos creados con versiones de productos de los que la compañía no tiene licencia.

Esto suele ser bastante común en los documentos PDF. El formato PDF, además de ser un formato ampliamente aceptado por los usuarios como un documento de intercambio de información, tiene la característica de poder ser creado fácilmente desde cualquier programa utilizando impresoras virtuales.

Las impresoras virtuales no son nada más que un software que recibe la salida para impresión de cualquier programa y lo convierte en un fichero PDF. Así, un usuario que tenga instalado en su sistema una impresora virtual PDF puede generar, desde cualquier aplicación un fichero PDF.

Sin embargo, la mayoría de las impresoras virtuales que generan ficheros PDF guardan información de la aplicación que ha mandado imprimir el documento. Así, aunque el documento sea PDF, puede ser comprobado con que software se hizo.

Metadatos en ficheros PDF
En la Figura 3 se puede observar un fichero PDF creado por el usuario ramón, desde Quark Xpress 7.0.1 a través de Adobe Acrobat Distiller 7.0.5 para Macintosh. Es decir, con un simple documento en formato PDF se ha podido averiguar que el usuario ramo usa un sistema operativo Macintosh, que trabaja con Quark Xpress 7.0.1 y que genera los documentos PDF a través de Adobe Acrobat Distiller.

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

jueves, noviembre 20, 2008

Metadatos e Información Oculta en documentos de OpenOffice (V de VI)
por Enrique Rando y Chema Alonso

Figura 23: Metadatos personalizados
Es posible que parte de esta información sea utilizada como herramienta de trabajo en el proceso de elaboración del documento y puede que incluya opiniones personales o corporativas, más o menos políticamente correctas, identificaciones y otros datos personales, referencias a fuentes documentales, etc… Toda esta información debe ser revisada antes de que el documento se haga público.

Modelos de documentos y combinación con bases de datos

Una de las características más importantes que ofrecen los documentos ofimáticos es la posibilidad de generar modelos que, combinados con bases de datos, permiten generar documentos personalizados de forma automatizada. Estos modelos, especialmente diseñados para la combinación de correspondencia, deben ser objeto de especial consideración, ya que contienen información que permite describir la base de datos de la que toman la información. Toda la información relativa a la combinación de correspondencia, y por tanto a la base de datos, puede ser encontrada en el archivo settings.xml. En él aparece información sobre el nombre de la base de datos y la tabla utilizada para la combinación.

Figura 24: Información de la base de datos en settings.xml
Y en el archivo content.xml es almacenado el nombre de la base de datos, la tabla y los campos:

Figura 25: Información de campos, tablas y base de datos en content.xml
Sin embargo, como puede observarse en estos archivos, la información relativa a la conexión a la base de datos no se encuentra en el documento ODF. Esta información, que podía mostrar la ruta a un fichero de bases de datos o las credenciales para un servidor, se almacena en un archivo del perfil del usuario llamado DataAccess.xcu que debe ser objeto de especial protección por parte del usuario.

C:\ Documents and Settings\ CUENTA_DE_USUARIO\ Datos de programa\ OpenOffice.org2\ user\ registry\ data\ org\ openoffice\ Office\ DataAccess.xcu

A pesar de que no se publiquen los credenciales de la conexión a la base de dato, la información que almacena el documento podría ser suficiente para ayudar a un posible atacante a preparar ataques a la base de datos, bien directos, bien a través de técnicas de SQL Injection sobre la web corporativa.

Versiones de documentos

Al igual que otros paquetes ofimáticos, OpenOffice permite guardar distintas versiones de un mismo documento. Esta característica es de gran utilidad en entornos de trabajo cooperativo, pues permite evaluar la forma en que el documento ha sido modificado y, si fuera necesario, recuperar el estado anterior tras una manipulación incorrecta. Dentro del menú “Archivo” se encuentra la opción “Versiones” que permite guardar la versión actual del documento o establecer la acción a realizar cada vez que se trabaje con él, permitiendo guardar una nueva versión cada vez.

Figura 26: Versiones de documento
Dentro de un documento ODF que contiene distintas versiones anteriores guardadas se puede encontrar dos focos importantes de información. En primer lugar, un archivo llamado VersionList.xml con información sobre quién guardó, y cuándo lo hizo, cada distinta versión:

Figura 27: Archivo VersionList.xml con información de las versiones
En segundo lugar, todas las distintas versiones del documento se almacenan en una carpeta llamada “Versions”. Para cada una de ellas, tendremos la estructura completa de un documento ODF de OpenOffice, es decir, todo lo visto hasta el momento se volverá a aplicar a cada una de las versiones pues contiene los archivos meta.xml, settings.xml, content.xml, etc…

domingo, noviembre 16, 2008

Metadatos e Información Oculta en documentos de OpenOffice (IV de VI)
por Enrique Rando y Chema Alonso

Figura 19: Configuración de párrafos ocultos
Posteriormente podemos activar o desactivar la visualización del texto oculto mediante la correspondiente opción del menú “Ver” o cambiando la condición que se indicó cuando se ocultó el texto. Así, si tenemos un documento con párrafos ocultos, pero no tenemos activa la opción de verlos, obtendremos una visualización que no muestra toda la información que tiene el documento.

Figura 20: Documento sin visualizar párrafos ocultos

Figura 21: Documento con visualización de párrafos ocultos
Información Oculta por Formato

Otro tipo de texto o contenido oculto es aquel que no es visible por motivos de formato, es decir porque otro contenido, por ejemplo una imagen, se le superponga o porque se trate de texto del mismo color en la fuente que en el fondo del documento, etc... Por supuesto, antes de publicar o enviar por correo electrónico el documento se debería revisar cuidadosamente la existencia de cualquier contenido oculto por el formato del documento.

Notas, Encabezados, Pies, Comentarios…

En un documento OpenOffice existe un buen número de sitios en los que se puede introducir información que, en posteriores revisiones, pueda pasar desapercibida. Por ejemplo, en encabezados o pies de páginas, anotaciones a pie de página o documento, o en las notas en línea o comentarios que pueden ser introducidos utilizando la opción “Notas” del menú “Insertar”. Estas notas, salvo que se especifique lo contrario, no se incluyen a la hora de imprimir o exportar el documento, por ejemplo a un formato PDF, por lo que es fácil que no sean detectadas en las revisiones. Hay que tener en cuenta que incluso algunos cuadros de texto y otros elementos pueden estar definidos como “no imprimibles” con lo que una revisión de un documento no debería limitarse a su lectura en formato impreso.

martes, noviembre 11, 2008

Metadatos e Información Oculta en documentos de OpenOffice (III de VI)
por Enrique Rando y Chema Alonso

Figura 12: Ruta a equipo remoto
En el caso de que el archivo haya sido incrustado en el documento ya no aparecerán estas rutas, pero entonces hay que afrontar nuevos posibles problemas de fuga de información en todos los documentos incrustados, ya que éstos pueden contener, a su vez, metadatos e información oculta.

Supongamos que se incrusta en un documento ODT una imagen JPG que lleva asociados metadatos en formato EXIF. Uno de esos metadatos es una miniatura que de apariencia distinta a la de la imagen, lo cual demuestra que ésta ha sido manipulada.

Figura 13: Imagen JPEG con miniatura EXIF que muestra el estado original de la imagen
Todos los archivos incrustados se encuentran dentro del documento maestro, por lo que abriendo el fichero ODT con un descompresor, se puede ver que existe una carpeta denominada Pictures y, dentro de ella se encuentra la imagen incrustada, aunque con otro nombre:

Figura 14: Imagen incrustada en carpeta Pictures
Si la imagen es extraída y analizada puede verse que mantiene todos los metadatos de la imagen original y, por supuesto, la miniatura que muestra el estado original de la fotografía.

Figura 15: Metadatos EXIF en archivo incrustado
Modificaciones

Una de las características que ofrece OpenOffice Writer es hacer un seguimiento de los cambios que sufren los documentos. Esto es muy útil cuando un documento está siendo elaborado por varios usuarios o cuando se desea conocer todas las acciones realizadas en el mismo. El submenú “Modificaciones” del menú “Editar” permite activar esta característica, así como hacer visibles u ocultar los cambios.

Por descuido, se puede estar trabajando con un documento que tiene esta opción activada, pero la visualización de la herramienta no nos está mostrando los cambios, con lo que si ese documento es enviado sin eliminar la historia, cualquiera que acceda a este archivo podrá leer información que tal vez no es deseable, como saber si se ha eliminado algo, si se ha añadido y quién y cuándo fueron realizados esos cambios.

Figura 16: Documento sin visualizar el historial de cambios

Figura 17: Documento con la visualización de cambios activado
Como puede observarse en la imagen anterior, si se deja unos instantes el cursor sobre una modificación, aparece un mensaje indicando quién la hizo y cuándo. Toda esta información relativa al historial de cambios queda guardada en el archivo content.xml:

lunes, noviembre 10, 2008

Metadatos e Información Oculta en documentos de OpenOffice (II de VI)
por Enrique Rando y Chema Alonso

Figura 6: Documento ODF impreso utilizando una impresora Epson Stylus DX4000 Series
Esta información puede ser importante pues puede delatar una acción de un usuario que no debería haberse producido o apuntar directamente a un usuario o máquina concreta de forma unívoca. Esta información aún podría ser mucho peor desde el punto de vista de seguridad si se tratara de una impresora compartida por un servidor:

Figura 7: Información de impresora en un servidor de red
En este caso, la impresora aparece en formato UNC [Universal Naming Service], revelando tanto el nombre del servidor como el del recurso asociado. Estos datos podrían, por ejemplo, ser utilizados por atacantes para conocer la infraestructura de la red interna y crear una lista de objetivos a atacar.

Plantillas

Las plantillas se utilizan para generar documentos con estilos y formatos predefinidos. Esta forma de trabajar es muy utilizada ya que ahorra trabajo y permite utilizar documentos con imágenes corporativas de forma cómoda. Sin embargo, cuando se genera un documento a partir de una plantilla, el documento almacena referencias a la ruta de ubicación de la plantilla en el archivo meta.xml:

Figura 8: Ruta de acceso a plantilla
Como se puede apreciar en el archivo meta.xml aparece la ruta de la plantilla relativa a la ubicación del documento. Esta ruta puede parecer inofensiva y falta de información que ponga en riesgo la seguridad del sistema o dé más información de la estrictamente necesaria, sin embargo, si la plantilla hubiera sido almacenada en una carpeta situada fuera del perfil del usuario, la ruta ofrecería información sobre una cuenta de usuario del sistema.

Figura 9: Ruta a plantilla con información de cuenta de usuario
En este caso, el documento ha sido almacenado en “C:\” y como resultado, la ruta de la plantilla nos revela la carpeta que contiene el perfil del usuario, dentro de “C:\Documents and Settings”. El nombre de esta carpeta normalmente es el de la cuenta de usuario, en el ejemplo “CuentaUsuario”. Se debe destacar aquí que, en algunas ocasiones, el nombre de esta carpeta contiene también datos relativos al dominio al que pertenece el usuario. Esta información se presenta en el nombre de la carpeta del perfil del usuario con la estructura “NombreDeCuenta.NombreDeDominio” ofreciendo información mucho más reveladora a un posible atacante.
Igualmente, el documento podría haber sido guardado en otra unidad distinta a la de la plantilla, obteniéndose en ese caso una ruta completa que identifica la unidad de disco:

Figura 10: Ruta a plantilla con unidad de disco
En los ejemplos que se han mostrado, los resultados son todos desde máquinas de trabajo Windows pero esto no difiere mucho en las máquinas Linux. En este caso, las rutas a los perfiles pueden contener la ruta al $HOME del usuario y este puede quedar al descubierto.

Figura 11: Usuario Pruebas en ruta a plantilla
Lógicamente, si el documento se encuentra ubicado en un servidor de red, la información que aparecerá, en formato UNC mostrará el nombre del servidor y la unidad compartida permitiendo de nuevo a un posible atacante recomponer el mapa de la red de la organización.

***************************************************************************************
Artículo publicado en PCWORLD Octubre de 2008
- Metadatos e Información Oculta en documentos de OpenOffice (I de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (II de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (III de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (IV de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (V de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (VI de VI)
***************************************************************************************

viernes, noviembre 07, 2008

Metadatos e Información Oculta en documentos de OpenOffice (I de VI)
por Enrique Rando y Chema Alonso

***************************************************************************************
Artículo publicado en PCWORLD Octubre de 2008
- Metadatos e Información Oculta en documentos de OpenOffice (I de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (II de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (III de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (IV de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (V de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (VI de VI)
***************************************************************************************

Internet está cambiando. Tras la revolución que supuso la Web 2.0 y las redes sociales, los expertos investigan ya nuevos paradigmas. Uno de ellos es la Web Semántica: una nueva red en la que, idealmente, las aplicaciones podrán interactuar sin intervención humana, porque conocerán el significado de los datos y las relaciones existentes entre ellos. Para ello es necesario que la información esté autodocumentada.

Metadatos

La Web Semántica se basa en el uso y normalización de METADATOS. Los metadatos son datos relativos a documentos y recursos publicados, tales como el autor, el tema o la fecha de creación. Esta información se incorpora a los propios documentos, facilitando nuevos criterios para las búsquedas y el establecimiento de vínculos entre recursos.

Es de esperar que, en un futuro próximo, las organizaciones incluyan más y más metadatos en sus documentos. Los metadatos ya están entre nosotros y su intención es quedarse. Para lo bueno y para lo malo. Sin embargo, el uso de metadatos se remonta tiempo atrás y muchas aplicaciones incluyen metadatos en los ficheros que generan para ayudar a comprender mejor la información que contienen y facilitar su posterior procesamiento automático.

OpenOffice

La conocida suite ofimática OpenOffice no podía quedar al margen de esta tendencia. Ya en su primera versión incorporaba metadatos descriptivos de los documentos y, para la próxima versión 3, disponible ya en beta, se había anunciado un tratamiento mejorado de éstos.

Pero cada funcionalidad tiene una contrapartida. Hoy en día muchas organizaciones no gestionan apropiadamente los metadatos de los documentos que publican, y eso puede perjudicar su imagen pública y poner en riesgo la seguridad de sus sistemas de información. ¿Cómo?

Formato de archivo ODF

OpenOffice 2 utiliza de forma nativa el formato ODF (OpenDocument Format), un formato estándar y abierto definido por OASIS y aprobado por ISO. En ODF, los documentos se almacenan como un archivo comprimido ZIP que contiene un conjunto de ficheros en formato XML con el contenido del documento.

Así, si utilizamos utilizamos un programa de compresión para abrir un documento ODT (fichero de texto creado con OpenOffice Writer) nos encontramos, entre otros, con los siguientes archivos:

- meta.xml: Contiene metadatos relativos al documento y, como se indica en la ayuda del producto, este fichero no se cifra ni siquiera cuando el documento esté protegido mediante contraseña.

- settings.xml: Incluye información relativa a la configuración y a los ajustes del documento.

- content.xml: En este fichero se almacena el contenido principal, es decir, el texto del documento.

Figura 1: Contenido de un documento ODT
Aunque la versión de OpenOffice 1 utiliza extensiones de archivo distintas a las de OpenOffice 2, los documentos son guardados de forma similar. No hay que olvidar que ODF se construyó como una evolución de los formatos de fichero utilizados en OpenOffice 1.

Datos Personales

Los primeros metadatos que genera un usuario utilizando OpenOffice se crean durante la instalación del software y la primera vez que se ejecuta. La suite solicita al usuario una serie de datos que, por defecto van a acompañar a los documentos creados con esa versión del software.

Figura 2: Datos de usuario durante el proceso de Instalación

Figura 3: Datos de usuario solicitados la primera vez que se usa el paquete de software
OpenOffice va a almacenar esta información de forma que pueda acompañar, como una firma, a los documentos generados desde ese software. No obstante, todos estos datos, y más información, pueden ser modificados y ampliados posteriormente en OpenOffice, utilizando el cuadro de Opciones del menú Herramientas como se puede ver en la Figura 4.

Figura 4: Modificación de datos de usuario
Parte de esta información se va a almacenar en los documentos generados con OpenOffice. De esta forma, si creamos un nuevo documento de texto y comprobamos el contenido del fichero meta.xml que se ha generado, encontraremos la siguiente información:

Figura 5: Fichero meta.xml
De los datos personales sólo se aprecia el nombre y los apellidos. Quizá estemos interesados en que esa información aparezca ahí o quizá no. Un usuario o una empresa debería decidirse al respecto antes de publicar este documento en Internet, enviarlo por correo electrónico, o a hacerlo público por cualquier otro método. Como se puede apreciar en la Figura 5, también se encuentra información relativa a la versión de OpenOffice y al sistema operativo que se está utilizando. ¿Realmente interesa que esa información sea conocida cuando se publica un documento?

***************************************************************************************
Artículo publicado en PCWORLD Octubre de 2008
- Metadatos e Información Oculta en documentos de OpenOffice (I de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (II de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (III de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (IV de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (V de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (VI de VI)
***************************************************************************************

domingo, octubre 26, 2008

Medidas de protección contra troyanos bancarios (VI de VI)

Imagen: Aislamiento de zonas de seguridad
Sitios Fraudulentos de Phishing

Muchos de los troyanos bancarios, aunque no los más modernos y avanzados, siguen utilizando sitios fraudulentos en servidores web para simular sitios bancarios. Para evitar que estos sitios engañen a los usuarios, cuando un nuevo servidor es contrastado como un sitio que realiza robo de datos bancarios las empresas de seguridad lo meten en bases de datos de sitios ilegítimos. Estas bases de datos son consultadas por los navegadores con filtros antiphishing para mostrar una alerta de seguridad severa cuando alguien accede a uno de estos sitios.

Además del filtro basado en consulta de bases de datos, Internet Explorer 7 realiza un análisis heurístico de la página mostrada al usuario por si contiene información superpuesta, textos escondidos o cualquier estructura utilizada comúnmente en ataques de fraude bancario con lo que saldrá un aviso de seguridad en el caso de que exista algo “extraño”.

Por último si cualquier usuario detecta un sito fraudulento, por ejemplo, una web que representa a una entidad bancaria y que está en un dominio no perteneciente a esa entidad, se puede reportar como sitio de phishing. No es peligroso, pues antes de marcar ese sitio como de phishing los equipos de seguridad realizan una verificación para saber si es o no un sitio de fraude. Si se comprueba que es un sitio ilegítimo pasará a formar parte de la base de datos y se procederá a intentar quitarlo.

Imagen: Notificación de Sitio de Phishing. Paso 1.

Imagen: Notificación de sitio de Phishing. Paso 2.
Recomendaciones Finales

Si el ordenador es compartido por varios miembros de la familia, que todos estén educados en las medidas de seguridad y que todos tengan mucho cuidado con lo que se ejecuta en cada máquina. Si tienes un ordenador nuevo con Vista, no le instales un Windows XP, las mafias conocen bien Windows XP y Windows Vista trae muchos controles de seguridad extras que les dificultan “su trabajo”. Ellos estarán contentos si usas versiones antiguas de los navegadores de Internet, versiones antiguas de sistemas operativos o de cualquier software, así que actualiza.

Además, como recomendación añadida, procura fortificar tus buzones de correo. No sigas links desde el correo, activa las comprobaciones antispam que te filtren el máximo de correos maliciosos y ten el antivirus enchufado también al correo. El spam es uno de los motores en la distribución de troyanos bancarios, ya sea directamente, mediante referencias a webs que te van a intentar infectar, etc...

Estate siempre alerta, en cualquier rincón de una web, en cualquier esquinita de un archivo, en cualquier trozito de link o en cualquier arvhivito adjunto puede venir "el premio".

Por lo tanto, como dijo un día un amigo mío: “Se rápido con la mente y lento con el doble clic”.

Saludos Malignos!

***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************

sábado, octubre 18, 2008

Medidas de protección contra troyanos bancarios (V de VI)

***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************
Mínimo Privilegio Posible

Cuando salimos a la calle no solemos llevar todos nuestros ahorros encima por si acaso sucede algo. Bien, pues cuando salgas a Internet o vayas a trabajar con tu ordenador no lleves todos tus privilegios encima. Esto es algo a lo que tenemos que acostumbrarnos. Si vas a escribir unos documentos con tu Microsoft Office o vas navegar un rato por Internet o vas manejar algún programa en tu ordenador… ¿por qué conectarse con un usuario administrador? La conexión con un usuario no administrador debe ser la forma normal de uso de tu equipo y única y exclusivamente debes conectarte como administrador cuando vayas a realizar una tarea de configuración del sistema.

Si aún así te has conectado como un usuario administrador porque es necesario para tu actividad normal, entonces debes navegar con un usuario no privilegiado porque en Internet no necesitas exponerte con todos tus privilegios. Si navegaras por una página que atacara una vulnerabilidad no conocida o no parcheada de tu navegador favorito el programita adquiriría automáticamente los privilegios de tu cuenta.

Para evitar esto, en las versiones de Windows XP existe la opción de “Ejecutar Como…”. Esto permite que antes de ejecutar el navegador elijas la cuenta de usuario que vas a utilizar para correr este programa. Para ello ten listo un usuario sin privilegios en tu sistema que utilices solo para navegar por Internet.

Windows Vista es un sistema operativo mucho más seguro y pensado desde cero en seguridad e incorpora una opción que se llama UAC (User Account Control) o “Control de Cuentas de Usuario”. Esta forma de trabajar con el sistema hace que, accedas al sistema con el usuario que accedas, todos los programas se ejecutan sin privilegios y si algún privilegio es necesario entonces el sistema solicita la autorización del sistema. Nunca otorgues ningún privilegio a ningún programa que desconozcas o que no sea una herramienta de administración de tu equipo.

Imagen: UAC en gestión de redes
Fortifica tu navegador

Los navegadores de Internet cuentan con una amplia serie de opciones de seguridad. El uso apropiado de ellas ayuda a fortificar la seguridad y la entrada de troyanos por tu equipo. Configura el uso de bloqueo de pop-ups. Presta atención a las alertas de seguridad de certificados que da el servidor y no clasifica los sitios de confianza de tu equipo.

Internet Explorer 7 cuenta con una opción que se llama Modo Protegido. Esta opción del sistema hace uso de una característica que viene con Windows Vista y que se llama MIC (Mandatority Integrity Control). Cada proceso del sistema operativo se ejecuta con un nivel de Integridad, impidiendo que ningún proceso de nivel de integridad inferior pueda acceder a un proceso/objeto de nivel de integridad superior. Así, cuando el modo protegido está activado, ningún programa podrá acceder desde el navegador, por ejemplo, al sistema de ficheros sin autorización expresa y entrega de permisos por parte de un usuario.

Hacking & Pentesting con Inteligencia Artificial

Contactos y RRSS

WhatsApp INTelligence

Libro "Hacking Web Technologies"

Libro de Hacking deAplicaciones Web: SQL Injection

0xWord

Archivo del blog

Blogs y Links

domingo, mayo 10, 2009

sábado, mayo 09, 2009

jueves, mayo 07, 2009

domingo, mayo 03, 2009

jueves, noviembre 20, 2008

domingo, noviembre 16, 2008

martes, noviembre 11, 2008

lunes, noviembre 10, 2008

viernes, noviembre 07, 2008

domingo, octubre 26, 2008

sábado, octubre 18, 2008

Entrada destacada

Entradas populares

Buscar artículo

Singularity Hackers

Reunirse con Chema Alonso

Chat Público de "El lado del Mal"

Agradecimientos en Tempos

Libro Pentesting con FOCA

Etiquetas

ChemaBot

Libro de Hacking de
Aplicaciones Web: SQL Injection