En ocasiones los usuarios de P2P , entre los que se encuentra personal con acceso a información sensible, de forma accidental comparten sus ficheros privados al hacer uso de este tipo de redes o bien los ponen a disposición de otros usuarios bajo la suposición que al no ser conocidos en sitios de descarga no van a ser localizados por terceros.
Nos encontraríamos ante la versión digital de las pérdidas de información accidental que han existido siempre . Aunque también se han dan casos en los que se filtran intencionalmente en redes P2P ficheros confidenciales, ya sea por parte de empleados descontentos o intrusos que extraen los datos de sistemas comprometidos. Un ejemplo seria la reciente publicación del código fuente del antivirus Kaspersky.
Según el artículo de Bloomberg la empresa Tiversa , una empresa de monitorización de redes P2P, habría identificado computadoras suecas asociadas a Wikileaks que habrían realizado búsquedas y descargas de documentos sensibles militares norteamericanos expuestos en la red , incluyendo información del U.S. Navy’s Space and Naval Warfare Systems Center. Ahora bien ¿hasta que punto este tipo de situaciones podría afectar a nuestro país? En esta entrada vamos a ver cuáles son las técnicas básicas de búsqueda, mostrando ejemplos reales sobre información sensible de origen español para ilustrar el nivel de riesgo y finalmente enumeraremos que tareas se deberían llevar a cabo para prevenir estas filtraciones.
Puesto que en redes P2P se comparten gran cantidad de archivos de todo tipo, necesitamos una metodología de localización de información así como el uso de herramientas apropiadas, de otra forma seria como buscar una aguja en un pajar. No obstante para nuestros ejemplos será suficiente esta sencilla pero efectiva técnica de búsqueda usando únicamente clientes habituales de P2P.
- Determinar una lista de palabras clave relacionadas con el objetivo de nuestra búsqueda y a ser posible que tengan un significado únicamente dentro del contexto de nuestra investigación, por ejemplo terminología especifica , nombres de programas o sistemas, etc. Esto evitara que tengamos que seleccionar, descargar y revisar entre ficheros compartidos que no tengan relación con nuestra investigación.
- Localizar de entre los ficheros devueltos por las búsquedas basadas en los términos anteriores cuales corresponden con el tipo de información que estamos buscando.
- Identificar si existe un patrón en los ficheros localizados, tales como formato de fichero, nombre de fichero siguiendo un patrón, nueva terminología identificada, etc.
- Realizar nuevas búsquedas para confirmar nuestra hipotesis.
Veamos un ejemplo práctico y real, realizaremos búsquedas en la red Emule con el fin de localizar ficheros con documentación de carácter policial, para ellos iniciamos búsquedas con términos específicos. Seleccionamos por ejemplo como termino SIRDEE, nombre de la red de radio digital estatal de emergencias usada por CNP y GC. Realizada una búsqueda descubrimos un fichero con el título “Informe SIRDEE.wpd” (formato Wordperfect). Realizando una nueva busqueda mediante “informe wpd” localizamos un buen numero de ficheros compartidos. Informes relativos a tareas de seguridad ciudadana con casi total seguridad originarios de la Guardia Civil (adviértase entre los nombres las referencias a las 5 y 6 Compañías de Madrid).
click sobre la imagen para ampliar
Contra lo que pudiera pensarse este caso no es aislado y a lo largo de los años han estado expuestos en diversas redes P2P decenas de Manuales del Ejército de Tierra Español y de Infantería de Marina, además de Informes y Circulares de Guardia Civil, Policía Nacional así como Policías Locales en este último caso incluso Atestados conteniendo datos personales de ciudadanos.
Con la profusión de las descargas directas las redes P2P han perdido protagonismo y por tanto han descendido el numero de usuarios. Con ello afortunadamente también ha disminuido el numero de ficheros sensibles compartidos, aun así a día de hoy es posible encontrar documentos como estos.
Nótese en el caso del manual militar que se trata de un documento clasificado, si bien pertenece a uno de los niveles más bajos “Difusión Limitada” desde luego no debería en ningún caso haber acabado en las redes P2P. Ademas en el caso de este documento particular desde P2P obtuvo gran difusión por su temática sensible y a día de hoy se puede encontrar incluso en algunas Web.
No solo los organismos gubernamentales se encuentran expuestos a este tipo de filtraciones, casos similares se han dado y se dan con información de todo tipo de empresas y sectores. Desde seguridad privada a generación de energía.
Por ello todas las organizaciones que manejen información sensible deberían implantar algunas medidas de protección para evitar este tipo de casos.
- Crear una política de seguridad que prohíba expresamente el uso de redes P2P por parte de los usuarios dentro de la organización.
- Tareas de concienciación de los riesgos de P2P en su uso a nivel personal.
- Implantar las medidas técnicas de filtrado que impidan el uso de estas redes.
- Utilizar herramientas técnicas para comprobar que efectivamente no se hace uso de este tipo de redes. Este tema lo hemos tratado anteriormente: Detección de agentes P2P: Emule/Edonkey
- Evaluar periódicamente la exposición de documentos realizando investigación de P2P en busca de fugas de información.
- En los casos en los que se identificaran fugas se podrian poner en marcha sistemas para prevenir la distribución, posiblemente hablemos de ello en futuras entradas.
Nota del Autor: En la preparación de este articulo hemos tenido en cuenta la necesidad de una actuación responsable y por ello el ejemplo de la red Emule pertenece a una única fuente actualmente desaparecida, mientras que los ejemplos de ficheros presentemente compartidos desde varias fuentes han sido censurados para evitar contribuir a su mayor difusión. Creíamos que era importante dar a conocer esta problemática pues el artículo sobre Wikileaks demuestra que actualmente existen adversarios explotando activamente las redes P2P como fuente de inteligencia y es necesaria una concienciación de los usuarios para prevenir posibles filtraciones de información sensible.
Un blog muy interesante... solo le pongo una pega: fomenta el dolor de cabeza. Un fondo negro con texto en azul se vuelve insufrible y terriblemente molesto de consultar. De hecho selecciono el texto y asi puedo leerlo sin que me acabe doliendo la cabeza.
ResponderEliminarUn saludo y ánimo con el blog.
Texto en azul? es blanco (excepto los links). De todas formas muchas gracias por la crítica (siempre son bienvenidas) y tomo nota ya que eres el segundo que lo dice, ha pillado un momento de mucho trabajo y no he podido trabajar las cuestiones estéticas, me alegra que te haya interesado.
ResponderEliminarMe parece genial el contenido del blog, solo que no encuentro la opcion para sincronizar el contenido con RSS
ResponderEliminarMucho animo...
Saludos,
Jimcesse
Creo que vuestro artículo debería tener mas difusion. He llegado a el por Security By Default.
ResponderEliminarProcuraré seguir, desde ahora, vuestras publicaciones. Gracias.
Estoy de acuerdo con lo que dice Anónimo al comentar que el azul sobre negro con la letra tan pequeña dificulta en exceso la lectura, tanto que invita a no seguir leyendo por puro agotamiento visual, y es lástima que artículos de este calibre puedan ser rechazados por cansancio visual
Cortar el acceso a redes P2P en una entidad es trivial, muchas universidades y empresas lo hacen y se evitan estos problemas.
ResponderEliminarEs algo bastante trivial.
Soy administrador de redes, donde hay mas 50 terminales, y tengo cortado todo acceso a p2p, y aparte en el proxy tengo denegado las palabras como megaupload, rapishare. solo se pueden bajar si el administrador lo autoriza, ya que en el trabajo se va a trabajar para bajarse cosas ya esta la linea de casa.
ResponderEliminar