Blog

DataLost Prevention & Tactical Footprinting.. A Practical Approach For Fun and Profit

(Dedicado a Aris O, Mónica Cabeza Ocaña, Susana Alonso,y Jessica González,amigas y modelos con fotos en Facebook y otros sitios, que, sin saberlo, están expuestas a cosas que ignoran hasta hoy.)

Como ya deberíamos saber… y si no está Google para preguntar, la cantidad de información crítica se revela a través de los documentos ofimáticos y los archivos subidos sin darnos cuenta.

Nos os voy a “meter el rollo” que son los metadatos porque todo el mundo sabemos lo que son.. tenéis al Boss de los metadatos Chema Alonso en Google 

Pero para CONCIENCIARNOS de la “peligrosa-gracia”,vamos a ver un  video de 1 minuto de Chema Alonso “reventando” con los  metadatos en la “Ekoparty”  …

Veremos que tenéis que utilizar para eliminar los metadatos de los documentos ofimáticos, fotos etc … unido a BEST PRACTICES del Concienciación

( Os recomiendo miraros lo que la Agencia de Certificaciones de Ciberseguridad ACC/ICFS/UAM oferta con respecto a esto, a la CONCIENCIACIÓN de la seguridad).. como no tener habilitado el “GIPIES”(GPS) del móvil diciendo “aquí estoy”en Facebook .. porque las coordenas de ese GPS son metadatos que hacen que te digamos “Hola” y veamos TU ventana desde Google Earth Y Google Maps por metadatos de la cámara de fotos..)

Sin más, al vídeo 

Metadatos, GPS, Chica, Foto , Ekoparty y Chema Alonso.. Hola Que ASE?

 

La solución a este problema es DLP o herramientas de Data Loss Prevention. 

Algunas de estas herramientas son los siguientes:

MetaShield Protector: MetaShield Protector es una solución que ayuda a prevenir la pérdida de datos a través de documentos de oficina publicados en el sitio web. Se instala y se integran a nivel de servidor Web de la página web.

 En una solicitud de cualquier documento, lo elimina al instante y lo entrega. MetaShield Protector se puede encontrar en http://www.metashieldprotector.com/.

MAT: MAT o MetadataAnonimityToolKit presenta una solución con el propósito de la eliminación de metadatos. Está desarrollado en Python y utiliza la biblioteca Hachoir para este fin. Los Formatos soportados por el conjunto de herramientas que se enumeran en la página web oficial (https://mat.boum.org/~~V) son:

Portable Network Graphics (. Png)

JPEG (. Jpg,. Jpeg, …)

Abrir documentos (. Odt,. Odx,. Ods, …)

Office OpenXML (. Docx,. Pptx,. Xlsx, …)

Formatos de Archivo de Documento Portátil (. Pdf)

Cinta de archivos (. Tar,. Tar.bz2,. Tar.gz, …)Zip (. Zip)

MPEG Audio (. Mp3,. MP2,. MP1, …)

Ogg Vorbis (. Ogg, …)

Free Lossless Audio Codec (. Flac)

Torrent (. Torrent)

MyDLP: Proporciona una completa solución DLP de código abierto.MyDLP y está disponible bajo licencia GPL. La comunidad y la versión empresarial de la solución están alojados en http://www.mydlp.com/products.

OpenDLP:Una suite completa de DLP con interfaz web centralizada con el propósito de la gestión. OpenDLP está alojado en https://code.google.com/p/opendlp/.Doc.

 Scrubber: Un freeware para quitar parte de datos ocultos de documentos Word (DOC).. Doc. depurador se puede descargar desde http://www.javacoolsoftware.com/dsdownload.html.

Herramienta Exif: Una aplicación de software que puede leer, escribir y editar los metadatos de una extensa variedad de archivos.
Eliminación de Geo-tags: Picasa, la imagen de la organización y aplicación de edición de Google puede ayudar a eliminar geo-etiquetas de las imágenes. El enlace a la página de ayuda y apoyo eshttp://support.google.com/picasa/bin/answer.py?hl=en&answer=70822.

Trasteando con vuestro GPS ..

 

 

 

 

 

 

“MODELO ARIS OLAYA <TACTICAL FOOTPRINTING>  “

IMÁGENES ARIS OLAYA

 

                      Metadatos y FOCA
               Mucho cuidado donde os registráis

   Ya tenemos fotos ( Google y Bing también las tienen .. es por cambiar 😉 )

                                   Llegamos a más cosas .. Si es como Next->Next->Next
 
                                        Y Bueno, para que seguir si ya está todo

Conclusión

-El Data Loss Prevention es un asunto muy serio para las organizaciones hoy en día. Podría costar más que el costo de los propios datos, si estos datos se pone en manos de un intruso.

-Los usuarios están desprotegidos ante esta pérdida de datos … Chicas, cuidado con tanta foto subiendo y comnpartiendo … es muy fácil para un USUARIO MALINTENCIONADO dar con lo que el quiera.. CONCIENCIACIÓN

-Hemos visto  la forma de como revelar TU  información sensible a través de los documentos y archivos que subas, sin siquiera darte cuenta.

-Para una empresa, sta información puede ser explotada por un atacante malintencionado ( el otro, el BIENINTENCIONADO, quien es, el pentester? je ) con el propósito de la intrusión..

-La criticidad de dicha información es tal que puede ser la diferencia entre un éxito y una penetración fallida en la cuenta o sistema a comprometer.

– Se ha demostrado que la extracción de metadatos se puede lograr fácilmente con la ayuda de las herramientas existentes para tal propósito.. la mejor, la española FOCA, pero eso no tenemos nadie duda

-Un administrador de TI puede utilizar las herramientas descritas en este artículo para detectar fugas de los metadatos de la organización y comprobarlo.Toda esta información no tiene por qué estar allí en la web, abierta, pero la mayoría de las organizaciones no se dan cuenta de la existencia de esta información( FORMACIÓN Y CONCIENCIACIÓN) y por lo tanto permanecen TOTALMENTE ignorantes hacia estos temas.. algo, que TODAVÍA, sinceramente, no me explico.. bueno, si…de nuevo , y valga la cacofonía.. FORMACIÓN !!  cristalino 😉

-Las empresas implementan (las que lo hacen ..) muchas de las políticas para evitar la fuga de datos, como el bloqueo de sitios de redes sociales, de terceros, los servicios de correo, etc, pero nadie se da cuenta de este medio de fuga de datos y que encima esta fuga de información se está produciendo sin su conocimiento…. y .. por culpa de quien?..

Las políticas y procedimientos deben desarrollarse para la “desinfección” o eliminación de los metadatos  ANTES de recibir el documento en línea.(me resulta ridículo tener que recordar que se hace ANTES, pero la realidad impone que lo diga…) 

 

-Solo pensad que vosotros sois los encargados de hacer los PDF de la empresa y que luego se cuelgan en la web y  el administrador de sistemas o QUIEN CORRESPONDA, no limpia los  metadatos …  se está produciendo que tu email, tu nombre y otras cosas TUYAS salgan expuestas sin TU SABERLO pudiéndose ser tu la víctima de un email con un exploit de Java  0day ..Tan fácil y tan difícil.. Como lo ves? YO OPINO LO MISMO …

-Esta “práctica” es COMÚN en todos LOS ESTADOS y por tanto lo hacen TODOS los MINISTERIOS del MUNDO.. 

-Solo con políticas de seguridad fuertes y los métodos de mitigación mencionados, si se emplea adecuadamente claro …puede ayudar a prevenir la pérdida de datos y ayudar a la organización para poner en práctica la defensa en profundidad.  Pero he dicho ayudar .. todo depende de la seriedad que le quieras dar a tu PRIVACIDAD Y ANONIMATO !!!

-Mejores Prácticas para la Prevención de Pérdida de Datos?…  Identificar y priorizar las áreas de riesgo… Asegurar una cobertura completa… Proteger todos los datos (no sólo los sensibles… que ese es el problema de las empresas y usuarios .. que no prestaís atención a lo que vostros claro pensaís que no es SENSIBLE … a NOSOTROS nos sobra y nos basta para conseguir nuestro objetivo, que os quede muy muy clarito..) ..Planificar la respuesta adecuada la incidencia y por supuesto Concienciación y formación.

CONCIENCIACIÓN Y FORMACIÓN

-Idea…!!!  🙂 Un poquito de Google Hacking ?? SÍ, ya sé la respuesta  😉  Vámonos y hacemos  un “site:gov ext:pdf” ( PRIMERO PRACTICA A MANO, luego con FOCA.. no seas “luser”)… Bájate  FOCA y como SON PÚBLICOS ESTOS DOCUMENTOS, te los descargas que para eso están , juegas con FOCA y te diviertes aprendiendo  garantizado 100% porque vais a ver cosas INIMAGINABLES en muchas ocasiones .. O el FBI,  que váis a estar entretenidos, este si que si .. O la  NASA .. !! Imaginación al poder .. For Fun And Profit 

Live Free Or Die Hacking

juancarlosec@highsec.es

Leave a Reply

*

    No Twitter Messages