Omitir los comandos de cinta
Saltar al contenido principal

Inicio rápido

...Mas emplea su cuidado, quien se quiere aventajar .... > BlogShare > Entradas de blog > Fuga de información sensible en entornos SharePoint
diciembre 28
Fuga de información sensible en entornos SharePoint

Preparándome el curso de seguridad de técnicas antihacking que empieza en enero en Getafe, me encuentro, como no, en la tesitura de realizar algunas demos de la fase inicial de recogida de información previa a la realización de un pentest (esa fase que se conoce como Fingerprinting).

Probando nuestra querida FOCA para realizar un análisis de los metadatos que almacenan los documentos en entornos SharePoint (sí, esos entornos donde la metadata corporativa es muy útil para la zona interna), he procedido a descargar una presentación de nuestro querido SUGES denominada Construyendo procesos de negocio para analizar la información oculta que pueda haber en la citada powerpoint.

imageImagen 1: PowerPoint seleccionada para analizar los metadatos ocultos

Recordar que este tipo de herramientas sirven para analizar los documentos en busca de información sensible que pueda servirnos en el proceso de recogida de información inicial, al mismo tiempo que nos pueden valer para identificar perdida de fuga de información corporativa (de hay el nombre de herramientas de tipo Data Loss Prevention). Pues bien, con ese fin he abierto la FOCA, y he procedido a realizar un proceso de extracción de metadata (Extract Metadata):

imageImagen 2: Extracción de metadata de documentos en el SUGES

La información obtenida ha sido muy reveladora, más alla de la columna de metadata inicial que proporcionana el sitio de SUGES donde se indicaba el usuario que había subido el documento al sitio (nuestro querido Juan Carlos González). Los datos obtenidos han sido:

Directorios

Ubicaciones del documento en una “vida anterior” (en sus anteriores Folders):

imageImagen 3:Ubicaciones web detectadas para la citada presentación

Usuarios

Como ya se ha dicho, aunque el usuario que subió el documento a SharePoint fue Juan Carlos González, los documentos han sido modificados por los usuarios Fabián Imaz (MVP SharePoint) y Ferglo (Fernando Garcia Loera, MVP Lead en Latinoamérica)

image 

Imagen 4: Usuarios detectados en la presentación del SUGES

Emails

Esto puede ser un poco embarazoso, ya que se pueden extraer cuentas de correo que no hayas querido dar (o poner en tu presentación) para no recibir correos no deseados.

imageImagen 5: Cuenta de correo de Fabián Imaz detectada

Información EXIF

Otra información a destacar, es la información EXIF (Exchangeable image file format) la cual almacena metadatos asociados a formatos de imagen, desde la que podemos extraer datos por lo menos curiosos, como por ejemplo, con que software se tomo una imagen que reside en la presentación (Paint.Net v3.5.6) o quién fue el usuario autor de la misma (Alberto Diaz Martin, MVP SharePoint).

imageImagen 6: Información EXIF disponible en las imágenes de la presentación de PowerPoint

Thumbnails

Cuidadito con las imágenes detectadas, puesto que aúnque la imagen que hayas utilizado en la PowerPoint tenga un recorte, si incluye información EXIF, puede disponer de un thumbnail que muestre la imagen tal y como era inicialmente. Además, también podéis correr el riesgo de utilizar imágenes con Copyright y que os lo detecten, aunque seguro que para esta presentación si se disponía de Copyright ¿no?.

imageImagen 7: Thumbnail de imagen con Copyright detectado

En momentos así, me alegro de que mi servidor SharePoint este protegido contra posibles fugas o pérdidas de información al exterior mediante MetaShield Protector, utilizándolo en el servidor Internet Information Services para los sitios web que yo quiera, donde puedo configurar los formatos de los cuales limpiar la metadata cuando salgan al exterior, ver un log de los documentos que se van limpiando, así como alertas de actualizaciones del producto. Y recordad que de todas estas cosas y muchas más relacionadas con la seguridad de SharePoint, se cuentan en el libro SharePoint 2010: Seguridad​¡¡

imageImagen 8: MetaShield Protector sobre el sitio de SharePoint Puntocompartido

Recuerda que si quieres recibir noticias como esta, tan sólo has de suscribirte al canal RSS del blog de Puntocompartido.

RSS Puntocompartido 

Comentarios

No hay comentarios sobre esta entrada de blog.