Agujeros de seguridad de sitios Web

viernes, 28 de junio de 2013

 
Cada vez que descargamos documentos ofimáticos de sitios web podemos comprobar dos cosas. Una, que realmente se descarga el archivo que queremos, y otra es ver determinada información sensible del propio archivo, que con básicos conocimientos podremos sacar a la luz: su fecha de creación, autor, modificaciones del documento, programa con el que se hizo, sistema, etc. Algo así como la etiqueta identificativa de cualquier producto comercial donde podemos encontrar sus ingredientes, fabricante, caducidad,  etc.
Imagen 1: Metadatos genéricos de un documento
Es posible que estos metadatos, sean banales para la mayoría de los usuarios pero son muy interesantes y atractivos para los curiosos, pudiendo llegar a causarnos un grave perjuicio si esa fuera su intención.

¿Es realmente necesario que los documentos lleven esta información implícita?
 En toda creación de documentos va asociada una determinada información que no está visible directamente a ojos del usuario, ya que como es lógico, se está más pendiente de lo que está creando, que de los metadatos que el equipo pueda ir alojando en el archivo. Estos metadatos se alojan internamente en los archivos de manera automática, y cada vez que el archivo sufre algún cambio, los metadatos se actualizan con la nueva información. Otra cosa a tener en cuenta es que no todas las aplicaciones añaden los mismos metadatos. Un archivo de fotos no lleva los mismos metadatos que un documento word.

Poder llegar a ver si nuestros documentos llevan o no metadatos es tarea fácil con herramientas sencillas, en el mercado hay varias que nos permitirán poder acceder a la información sensible de nuestros documentos y comprobar cuanta información estamos regalando al mundo en el momento de enviar estos archivos por la web o correo electrónico.

¿Qué pueden hacer con nuestros metadatos? La fuga de información es mejor prevenirla de antemano. Si sabemos que los archivos no saldrán nunca de nuestro servidor web no tendríamos por qué preocuparnos, pero si estos archivos viajan por la red, los metadatos viajaran con ellos. Enviar archivos propios a otros equipos conllevará a una probable fuga de información, si no se remedia antes. Un usuario malintencionado podría utilizar esta información con fines perjudiciales y esto es mejor prevenirlo.

 ¿Cómo podemos evitar esta fuga de información en nuestros sitios web?
Lo ideal sería poder ofrecer cualquier documento ofimático de los repositorios, limpios de metadatos, manteniendo así la confidencialidad de la información que llevan incrustada. Para solucionarlo existen herramientas en el mercado que ya pueden eliminar esta información de manera definitiva y segura. Pero atención, si protegemos los documentos mediante contraseña no podremos limpiarlos de metadatos, esto hay que tenerlo en cuenta, será necesario desproteger el documento antes de limpiarlo y poderlo enviar.

Evitar situaciones comprometidas es factible con la tecnología que nos rodea, simplemente debemos prestarle un poco de atención a estos pequeños grandes detalles que también son  importantes.


Cumplimiento del Esquema Nacional de Seguridad. Asignatura pendiente

miércoles, 26 de junio de 2013


Artículo 5.7.6 del Esquema Nacional de Seguridad. Limpieza de documentos. 


"En el proceso de limpieza de documentos, se retirará de éstos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento.

Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información.

Se tendrá presente que el incumplimiento de esta medida puede perjudicar:

  1. Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento.

  2. Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento.

  3. A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer."
Aunque la teoría de la normativa respecto a la fuga de información que se produce a través de los metadatos que no se controlan se encuentra claramente definida en el citado artículo del Esquema Nacional de Seguridad, parece claro que muchas de las entidades analizadas que conforman las administraciones públicas está cayendo en una clara ilegalidad por su parte, de la que parecen no ser conscientes. Un problema acentuado si a eso le sumamos los posibles riesgos de seguridad en los que puede acabar derivando dicha fuga de información sensible.

Un simple análisis en busca de posibles metadatos expuestos a través de los sitios web de determinadas entidades u organismos estatales, revela que no se están realizando procesos en sus entornos para prevenir la fuga de información sensible.

Imagen 1: Metadatos expuestos en el sitio web de una entidad estatal española
Lo preocupante de todo esto, es que si echamos un vistazo al exterior, dejando de lado la normativa interna referente a nuestro país, la cosa no mejora mucho. Entre la fuga de información sensible podemos encontrar servidores, direcciones IP, rutas LDAP, usuarios, cuentas de correo y otro tipo de datos confidenciales que pueden hacer las delicias de usuarios malintencionados.
Imagen 2: Impresoras o rutas LDAP, entre otros metadatos detectados 
Una vez que las organizaciones son conscientes de las posibles brechas en la seguridad (asociándolo siempre a términos de confidencialidad y privacidad) que se pueden producir por un inadecuado tratamiento de los metadatos, se hace necesario establecer una metodología interna que automatice procesos de limpieza de metadatos sobre los archivos expuestos fuera del ámbito de una organización, eliminando cualquier tipo de riesgo de seguridad innecesario.

Para evitar este tipo de problemática, existen soluciones como MetaShield Protector, que se encargan de limpiar de forma automatizada la información proporcionada por los metadatos (generalmente información confidencial o sensible), cuando los archivos se exponen fuera del control de una organización, como ocurre por ejemplo con los archivos proporcionados por un sitio web de cara a Internet.

Las soluciones MetaShield Protector se encargan de limpiar de metadatos cualquier tipo de archivo, independientemente de cual sea el repositorio de almacenamiento donde se encuentre. Tienes más información sobre cómo aplicar estas soluciones en el libro Aplicación del Esquema Nacional de Seguridad. Actualmente, las soluciones MetaShield se encuentran orientadas a diferentes tipos de entornos, según sean las necesidades corporativas:
  • MetaShield Protector for IIS, para prevención de fuga de información sensible en servidores web Microsoft Internet Information Services.
  • MetaShield Protector for SharePoint, para prevención de fuga de información sensible en entornos web con tecnologías SharePoint.
  • MetaShield Protector for File Server, para prevención de fuga de información sensible en servidores de archivos.
  • MetaShield Protector for Client, la solución portable de limpieza de metadatos orientada a las estaciones de trabajo de una organización.
  • MetaShield Forensics, ideal para analistas forenses que necesitan una solución para la recopilación de pistas o evidencias digitales útiles frente a la resolución legal de un caso forense.

Pen-testing by design: seguridad, sigue al sol!

martes, 25 de junio de 2013

La expresión 'sigue al sol' (follow the sun en inglés) es ampliamente utilizada en servicios 24x7, donde lo que se quiere describir es una operativa dispuesta en múltiples zonas horarias (generalmente tres, pero pueden ser dos) donde siempre hay personas trabajando; por ejemplo, se puede tener gente trabajando en Corea del Sur, y cuando se marchan a casa es cuando empiezan por ejemplo en España, que a su vez se marchan y empiezan por ejemplo en la oficina de San Francisco; finalmente cuando acaban en San Francisco, justo empiezan de nuevo en Corea del Sur.

Los ataques que sufrimos todas las empresas también siguen una metodología parecida. Al estar expuestos en Internet las 24 horas del día, muy probablemente estamos recibiendo ataques a cualquier hora del día, y nuestras capas de seguridad deben de estar presentes, operativas, y preparadas para actuar también a cualquier hora y cualquier día del año.

Cuando analizamos un incidente de seguridad, muchas veces es posible atribuir el origen de un ataque simplemente viendo a qué horas nos está atacando. De hecho en muchos de los últimos informes que han salido sobre China o India, se les atribuyen incidentes específicos por diversos temas (por ejemplo que el software esté compilado en un sistema operativo con idioma chino), pero también que los ataques se cometen durante horario normal o 8x5 de alguna región china en concreto. Pero además de estar sufriendo ataques en un horario concreto, tenemos que tener en cuenta que generalmente sufrimos ataques de todas las partes del mundo, a cualquier horario por intempestivo que sea.

La seguridad de nuestra infraestructura tiene que estar diseñada para poder resistir a estos ataques 24x7, pero además tiene que estar preparada para cualquier eventualidad que pudiera ocurrir; Eleven Paths tiene claro que toda la infraestructura de una empresa tiene que cumplir con el 'Pen-testing by design'.

'Pen-testing by design' significa que somos conscientes de que nuestros servidores, dispositivos, o cualquier elemento conectado va a sufrir ataques de forma casi continua, y por lo tanto tiene que estar diseñado para poder soportarlos y defender las joyas de la corona.


FaaS: Visión global de Pentesting by Design

lunes, 24 de junio de 2013

La idea que tenemos sobre seguridad es diferente sobre lo que históricamente las organizaciones han ido utilizando. ¿Realmente es lo que necesitaban? Pensamos que un sistema continuo de pentesting proporciona a la organización una revisión al día de como se encuentra su infraestructura. Algo hay claro y es que la seguridad cambia diariamente por lo que las revisiones de seguridad cada 'equis' meses puede no ser una buena solución. 

Nuestra primera medida, bajo el modo Pentesting by Design, se denomina FaaS, FOCA As A Service. ¿Qué es FaaS? Es un sistema capaz de enumerar, analizar y explotar los activos de una organización con el fin de encontrar agujeros de seguridad que podrían ser explotados por otros usuarios con fines maliciosos, provocando pérdidas a la organización. Es la evolución natural de la aplicación FOCA, Fingerprinting Organizations with Collected Archives. En la siguiente imagen se puede observar un esquema del modelo y lo que FaaS representa y es capaz de realizar.

Figura 1: Esquema del modelo
El punto de partida de nuestro sistema son tres valores principales que toda empresa u organización dispone en Internet, de manera explícita o implícita por desconocimiento. Los valores son los siguientes:

  • Dominio. Los dominios son la cara visible y un activo importante en la imagen de una organización o empresa. FaaS realizará un estudio sobre los dominios públicos y obtendrá información sobre ellos,  enumerándolos de tal manera que podrá realizar un proceso de pentesting sobre los activos a partir de los dominios públicos.
  • Metadatos. Los documentos publicados en la web por las organizaciones pueden llevar consigo información interesante para inferir datos sobre como se organiza la empresa, nombres de usuarios, mails, versiones de software y otros datos de interés que pueden ser utilizados en contra de la organización, por ejemplo para llevar a cabo un APT, Advanced Persistent Threat.
  • Servicios. FaaS encontrará los servicios públicos de una organización y realizará acciones para evaluar la seguridad de éstos. Todo servicio público es un punto crítico de una organización, ya que una mala configuración o una aplicación desactualizada puede provocar una intrusión y pérdida o daño en los activos de la organización.
El sistema proporciona una serie de módulos con los que FaaS organiza toda la información recogida y evaluada con las pruebas de análisis y explotación de recursos. El módulo de reporting es imprescindible para que los usuarios puedan entender todo lo realizado sobre sus activos. FaaS prioriza la notificación de vulnerabilidades y recomendaciones de seguridad en configuraciones catalogadas como erróneas, además de enumerar y mostrar los activos que contiene una organización.

Figura 2: Módulos de FaaS

Poco a poco vamos creciendo

viernes, 14 de junio de 2013

En Eleven Paths seguimos creciendo. Aparte de las personas que se han incorporado con nosotros desde el principio (hace tan sólo dos meses), hemos ido incorporando poco a poco a nuevos compañeros que creemos que serán parte importante y vital de todos los nuevos productos y servicios que estamos planeando. Chema en su entrada de bienvenida hablaba de algunos de estos fichajes, y desde que Eleven Paths tuvo su presentación en sociedad la semana pasada hemos recibido innumerables curriculums que paulatinamente estamos analizando, ¡muchas gracias por vuestro interés!

En los próximos días se incorporan con nosotros siete personas más de las que iremos hablando poco a poco, pero hoy queremos hacer mención especial al que va a ser el responsable de nuestro laboratorio de ideas locas, Sergio de los Santos.

Muchos de vosotros ya conoceréis a Sergio de su etapa en Hispasec, donde ha sido el responsable del servicio antifraude, del SOC, del servicio de alerta temprana SANA, y quizás donde más es conocido es del mítico servicio de una-al-día, pionero en idioma español y que goza de una popularidad sin igual (si alguno de vosotros no está suscrito, que lo dudo, hacedlo ya ;) )

De hecho, aparte de la opinión unánime de que los artículos escritos por Sergio en una-al-día son de una calidad increíble (tanto en el aspecto técnico, como en la redacción), Sergio tiene una enorme experiencia y conocimientos del mundo de la seguridad. Seguro que muchos de vosotros le habéis podido ver en alguna de sus charlas que lleva haciendo desde hace muchos años por todos los rincones hablando sobre diferentes aspectos de las amenazas y el malware actual, o también habéis leído el libro de 'Máxima seguridad en Windows'.


Charla de Sergio de los Santos sobre malware from a diaz on Vimeo.

Indudablemente para nosotros es un placer poder contar con profesionales como Sergio, y desde Málaga va a liderar nuestro laboratorio de ideas locas; este laboratorio realizará prototipos ágiles y rápidos de esas ideas que creemos que pueden mejorar el mundo. Cuando contamos algunas de esas ideas mucha gente nos mira con cara rara, pero creemos que existe mucho espacio para la innovación radical en temas de seguridad. Sergio va a necesitar ayuda, sobre todo desarrolladores en Málaga, así que si vives por la zona y estás interesado, ¡no dudes en mandarnos tu curriculum!

¡Bienvenido Sergio!

Eleven Paths is growing

Eleven Paths is growing. Apart from the people who joined from the beginning (just two months ago!), we've been hiring new employees that will have a key role in any product and service we are planning. Chema described in his post some of the new hirings; since Eleven Paths was presented last week we have received many curriculums that are being analyzed, thank you for your interest!

During the next days seven new employees will join us, but in this post we want to emphasize the hiring of the person who will be the responsible of our crazy ideas lab, Sergio de los Santos.

Many of you already know Sergio from his last company, Hispasec, where he was the manager of the SOC, the antifraud service, and the early warning service SANA; but maybe you also know him from famous service una-al-día, a pioneer in spanish language that is incredibly popular (if you are not subscribed, please do it now! ;) )

Actually, there is an unanimous opinon that all his articles have an incredible quality (both from the technical and the redaction point of view). Sergio has a huge experience and knowledge about security and he has been a influential speaker in many presentations talking about different aspects of current malware and threats, or about his book 'Máxima seguridad en Windows'.


Charla de Sergio de los Santos sobre malware from a diaz on Vimeo.

Eleven Paths is indubitably happy to hire profesionals like Sergio. He will lead our crazy ideas lab from Málaga; this new lab will develop fast and agile protoypes of those ideas we think can change and improve the world. When we talk about such ideas, we get some strange reactions, but we do think that there is a huge space for radical innovation about security. Sergio needs help, mainly developers, in Málaga, so if you live around and you are interested, do not hesitate to send us your resume!

Welcome Sergio!

Security should be transparent, but ready when needed

miércoles, 12 de junio de 2013

Security should be totally transparent for users; this was one of the key messages we discussed last week during the press conference we did with several journalists when launching Eleven Paths; nowadays users are overwhelmed with technical words hard to understand  (VPN, Firewall, Antivirus, patches, phishing, malware, ransomware, etc.) that makes them angrier and as a result, they tend to ignore any security measures. Security vendors often seem to build products and services only for security specialists or geeks.

Of course we need security products and services for security specialists or geeks, and they will take advantage of those products, but we also need implicit security in any technology, without forcing a user to become a specialist. Criminals perfectly know that it is easier to target normal users (that use online banking, stores sensible information, connects to social networks, etc.) than an enterprise with tons of security specialists.

During the press conference we visually explained this concept with 'The Big Bang Theory' characters: nowadays security is designed for people like Leonard, Sheldon, Howard o Raj, specialists or geeks. But we also want to create products for people like Penny.

I always mention the same example that I learnt from Hugh Thompson's keynote during RSA Conference 2012; he perfectly explains the role of security using an analogy with asymmetric/uneven bars in artistic gymnastics. There is always a person (known as the spotter) that helps the gymnast to jump to the bars and then the spotter appears or disappears depending on the difficulty of the movement; the spotter is always ready to protect the gymnast when it's needed:
  • The spotter is continuosly adapting to the gymnast's movements
  • The spotter knows perfectly the gymnast and detect when there could be any risk
  • The spotter appears and disappears depending on the gymnast's needs

Security should be like the spotter: transparent, but protecting the user when needed.

La seguridad debe ser transparente, pero presente cuando se necesita

Uno de los mensajes principales que transmitimos la semana pasada durante la rueda de prensa que hicimos con periodistas para presentar Eleven Paths, fue que la seguridad tiene que ser algo totalmente transparente para los usuarios; hoy en día estamos bombardeando continuamente a los usuarios normales con palabras y tecnología que cuestan aprender (VPN, Firewall, Antivirus, parches, phishing, malware, ransomware, etc.) que lo único que consiguen es enfadarles y que finalmente ignoren todas las medidas de seguridad. Muchas veces parece que los fabricantes de seguridad sólo hacemos productos y servicios para personas con conocimientos de seguridad o técnicos.

Por supuesto que tiene que haber productos y servicios de seguridad para personas técnicas o especialistas en seguridad, que puedan aprovechar su potencial y utilizarlos para cualquier fin defensivo u ofensivo, pero también necesitamos que la seguridad sea implícita en cualquier producto o tecnología, sin obligar a un usuario normal a tener que convertirse en un especialista. Los criminales saben perfectamente que es mucho más fácil atacar a una persona normal (que se conecta a un banco, que tiene datos personales, que utiliza redes sociales, etc.) que a una empresa que tenga especialistas.

Durante la rueda de prensa ilustramos este mensaje de forma visual con los personales de 'The Big Bang Theory': hoy en día casi toda la seguridad está diseñada para gente como Leonard, Sheldon, Howard o Raj, es decir, gente especialista. Pero nosotros queremos también crear productos para personas como Penny.

Personalmente siempre pongo el mismo ejemplo que 'tomo prestado' de la keynote de Hugh Thompson durante la RSA Conference 2012, donde explicaba de forma también muy gráfica el rol de la seguridad; para ello ponía el ejemplo de las barras asimétricas en gimnasia artística, donde en cualquier ejercicio siempre hay una persona (que se llama spotter), que primero ayuda al gimnasta a subirse, pero luego se aleja o se acerca según la dificultad del movimiento; siempre está dispuesto a proteger al gimnasta cuando más lo necesita, pero no interfiere ni molesta sus movimientos:
  • Se adapta continuamente a los movimientos del gimnasta
  • Conoce al gimnasta muy bien y sabe cuándo va a hacer algún movimiento de riesgo
  • Se acerca y se aleja según las necesidades de la seguridad del gimnasta

Así debe ser la seguridad; transparente al usuario, pero que nos proteja cuando lo necesite.