domingo, junio 02, 2013

Un-CLEAR: Cómo enFOCAr un ataque desde el pasado

Hace ya bastante tiempo os dejé el caso de Cómo enFOCAr un ataque dirigido utilizando los metadatos que se obtienen de los documentos publicados en la web, uno de los ejemplos ejemplares de casos con metadatos. Ese ejemplo que dejé es el mismo que usamos en la DefCON 17 con la mda.mil. Por supuesto, después de esas demos delante el gobierno americano decidió buscar alguna solución.

Figura 1: Ningún doc de mda.mil indexado por Google

La Missile Defense Agency tomó el camino del medio, y si se buscan documentos .doc ahora en su web aparecen cero. Por otro lado, el Departamento de Defensa Americano comenzó a utilizar CLEAR, una aplicación que examina los ficheros buscando metadatos e información oculta para evitar fugas de información inadvertidas. Vamos, que hace lo que la FOCA pero para evitar problemas como el del ejemplo de enFOCAr un ataque dirigido.

Figura 2: Descripción del programa CLEAR del DoD americano

Sin embargo, los ficheros con esa información pueden estar en cualquier sitio ya, así que aunque no estén en Google, haciendo un poco de hacking con buscadores utilizando en este caso el práctico y útil Archive.org, es posible encontrar los ficheros borrados de la mda.mil.

Figura 3: Docs dejaron de publicarse en 2009 archivados en Archive.org

Y por supuesto, todos ellos están aún llenos de metadatos, pues los ficheros se fueron del servidor web con toda la fuga de información inadvertida en ellos, esperando que alguien busque esos datos allí.

Figura 4: Usuarios e información oculta en doc

Al igual que en el caso de la intrusión de Anonymous de HBGary, donde se publicaron los correos con los archivos adjuntos en ellos, una vez que la fuga se ha producido lo único que puedes hacer es cambiar la infraestructura. Es decir, si no quieres que la información de que existe ese servidor FOLTA interno - y todos los demás que aparecen en todos los ficheros - pueda ser utilizada, lo mejor es cambiar la infraestructura de red. Lo que significa que debería de dejar de existir un servidor que se llame FOLTA internamente.

Figura 5: Rutas a servidores internos en docs

Por supuesto, la información que se proteja desde el día que se tomaron medidas para evitar las fugas ya no la vamos a poder conseguir, por eso es tan importante que aquí en España se comience a aplicar también el Esquema Nacional de Seguridad donde hay un apartado específico relativo a los riesgos de seguridad con los metadatos.

Saludos Malignos!

3 comentarios:

  1. ¡Qué grande Chema!

    Cada día me doy cuenta de la suerte que tenemos de que seas español, es un orgullo.

    Aprendo cada día de ti, y lo seguiré haciendo todo el tiempo que tengamos la suerte de que compartas tus conocimientos con nosotros.

    Gracias por todo!

    ResponderEliminar
  2. Y esas son las cosas que cuenta.
    Cómo serán las que se calla...

    Yo también me uno a los agradecimientos. :-)

    ResponderEliminar
  3. http://briandenada2.blogspot.com.es/

    ResponderEliminar