CLEAR: Matando FOCAs en el Pentagono

En ocasiones las fugas de información se producen no por acción maliciosa externa o interna, si no por el simple descuido o desconocimiento. Una de las posibles fuentes de fugas de información inadvertidas son los metadatos.

Los metadatos, o “datos sobre los datos”  son información normalmente oculta en los ficheros los que trabajamos habitualmente presentes de procesadores de texto, bases de datos u hojas de cálculo. Estos son introducidos automáticamente por el software para incluir información adicional de uso interno al aplicativo o bien por los usuarios y mantenidos posteriormente.

Dependiendo del tipo de fichero en estos metadatos podemos encontrar desde información técnica útil para un intruso como direcciones ip, nombres de host, nombres de usuario, etc... hasta directamente datos sensibles, ya que los cambios realizados para censurar información confidencial en ocasiones pueden ser revertidos a partir de los metadatos que habitualmente se guardan para la función de deshacer cambios en el documento.

Los metadatos no pasaron inadvertidos a los investigadores de seguridad y a si hoy en día existen diversas herramientas que permiten explotarlos. Una de la primera de ellas fue Metagoofil, capaz de recolectar a través de google documentos públicos de una organización dada para luego analizarlos en busca de metadatos.  Aunque  posteriormente un software con funciones similares se hizo famoso por la extracción de metadatos, este fue FOCA una herramienta para la realización de procesos de fingerprinting e information gathering en trabajos de auditoría web, y que ya hemos usado anteriormente en nuestro blog para la entrada Estrategias Militares en el Ciberspacio II: Elegir el campo de batalla. El éxito de la herramienta FOCA contribuyo a que la empresa española Informatica64, sus autores, crearan toda una serie de sucesores y productos derivados como FOCA Online, Forensic FOCA, OOMetaExtractor o el software de prevención de fuga de información por metadatos MetaShield Protector.

El peligro de los metadatos evidenciado por herramientas como FOCA  ha llevado a algunas organizaciones que manejan habitualmente información  clasificada a utilizar mecanismos para prevenir estos riesgos. Una de estas soluciones es el sistema CLEAR (Content Locator, Examination, Analysis, and Reporting), la herramienta empleada por el Departamento de Defensa, las agencias de inteligencia y el gobierno federal norteamericano.

Se trata de un desarrollo conjunto de Camber Corporation y la Oficina de Inteligencia Naval (del inglés Office of Naval Intelligence o ONI) , en particular CLEAR funciona como una herramienta web. Sus usuarios pueden subir desde su navegador ficheros de diversos formatos que incluyen Word, PowerPoint,  Excel, o PDF a una web que realiza un análisis en busca de problemas potenciales con metadatos asi como otras fuentes de fugas de información , emitiendo un informe de incidencias detectadas y  nivel de riesgo potencial. En última instancia esto permite al usuario realizar medidas correctivas y tomar una decisión de si la información contenida en el archivo está debidamente clasificada.

Además CLEAR no se limita al análisis de metadatos, incorpora toda una serie de análisis que van desde la detección de virus y malware embebido en el fichero, la presencia de imágenes en formato raw o editable, la existencia de macros o funciones de scripting, ficheros y objetos embebidos, la presencia de determinadas palabras usadas como marcadores de clasificación que pueden significar que la información debe ser protegida e incluso detecta si el documento contiene palabras malsonantes o “dirty words” que puedan poner en un aprieto al autor del documento.

Aunque como hemos comentado CLEAR es una herramienta web, sería una violación flagrante de las más elementales normas de seguridad si los usuarios de la misma subieran a una web pública en internet documentos que pueden contener datos clasificados. Por ello CLEAR existe como herramienta en cada una de las redes de manejo de información clasificada de la comunidad militar y de inteligencia estadounidense, ya que cada uno de estos entornos suele encontrarse separado no solo de internet si no entre ellos mismos. Así cuando un usuario de SIPRNET (Secret Internet Protocol Router Network)  versión de Internet de clasificacion SECRET que opera el departamento de defensa de Estados Unidos quiere hacer uso de CLEAR lo hace mediante el acceso a la url http://dodiisclear.dia.smil.mil , mientras que si el usuario se encuentra en la red JWICS , Joint Worldwide Intelligence Communications System, red de nivel TOP SECRET que interconecta a la comunidad de inteligencia de EEUU lo hace mediante la url http://icclear.csp.ic.gov

CLEAR continúa evolucionando para hacer frente a las nuevas amenazas en el ambito de la fuga de información y proporcionar nuevas capacidades. Según los documentos disponibles en fuentes abiertas sobre CLEAR la lista de mejoras futuras incluye: la generación automatica de ficheros "saneados", soporte de PKI para la autenticación de inicio de sesión, soporte de dominios cruzados, soporte para upload de múltiples ficheros, opciones para responsables de seguridad o el análisis de archivos adjuntos en correos electrónicos.  El objetivo final de CLEAR es convertirse en la solución estandarizada frente a fugas de información tanto dentro del Departamento de Defensa o la comunidad de inteligencia norteamericana, como fuera ya que Camber anuncia la proxima disponibilidad de una versión comercial para entornos corporativos.

Técnicas de atribución en ciberguerra - 2

•    Análisis de metodologías de ataque.
•    Análisis de objetivos.
•    Análisis de diseminación.
•    Análisis de información externa contenida en el propio ataque.

Análisis de objetivos

Al igual que en la atribución de ataques convencionales. Una de las formas más lógicas de identificar el origen de un ataque consiste en identificar primero cual es el objetivo del mismo. Una vez tenemos identificado el objetivo, es sencillo acotar los posibles actores con más motivaciones para atacarlo.

Un ejemplo claro de esto lo tenemos en Stuxnet. Su objetivo eran las plantas de enriquecimiento de uranio de Irán. Esto nos permite acotar con bastante detalle cuales son las naciones que han sido más críticas con esta actividad y presuponer que ha sido una de ellas.

En el mundo digital además tenemos una herramienta adicional, la correlación de objetivos. Si tenemos un malware X que ha sido utilizado para atacar N objetivos, podemos analizar que tienen en común los mismos para intentar identificar un patrón común.

Para empezar calificamos las relaciones entre actores en 3 categorías:
- Enemigos.
- Aliados.
- Competidores.

Después analizamos que entornos han sido infectados con malware:
- Entornos infectados más de una vez: Malwares que compiten entre sí por el mismo equipo, puede significar que están operados por actores competidores.
- Entornos infectados una sola vez: Si los malwares no compiten por el equipo (una vez se ha producido una infección, el resto de ataques pasa por alto el equipo) podemos suponer que están operados por actores aliados.
- Entornos no infectados: Si los malwares respetan los equipos de una entidad determinada, podemos presuponer que es aliada.

En estos análisis hay que tener cuidado y realizar un filtrado del ruido que puedan producir infecciones accidentales, equipos descoordinados, falsos positivos, etc. Para ello será necesario complementar este análisis con otras evidencias.

Análisis de diseminación

Este análisis también viene heredado del análisis convencional. Si tenemos un caso de espionaje industrial donde han sido sustraídos ciertos diseños y a las pocas semanas aparece un producto de fabricación X con ese diseño, podemos presuponer que el ataque fue realizado por agentes de esa nacionalidad.

En forense digital el objeto de diseminación más utilizado son las contraseñas. Si en un ataque se compromete una contraseña X y posteriormente se observa el intento de uso de esa contraseña en otros sistemas, podemos presuponer que el atacante es el mismo.

Esto se debe a que los atacantes saben que es común la reutilización de contraseñas entre sistemas distintos por parte de los usuarios, de forma que tienden a probar las contraseñas encontradas en todos los sistemas que encuentran como forma rápida de obtener acceso.

Otros objetos que suelen utilizarse para análisis de diseminación son: vulnerabilidades, código fuente, direcciones IP, nombres de usuario, nombres de ficheros, nombres de bases de datos, etc.

Análisis de información externa contenida en el propio ataque

Por último para intentar acotar la autoría de un ataque en el mundo digital, podemos partir de la información del mundo real que contiene y realizar un análisis tradicional para averiguar de dónde o como la ha conseguido.

Volvamos al caso Stuxnet. Este malware contenía información secreta sobre la configuración de la maquinaria para enriquecimiento de uranio iraní.

Esta información solo podía haber sido obtenida mediante espionaje tradicional. Y solo un pequeño puñado de potencias tiene la capacidad de infiltrar agentes en Irán y obtener este tipo de inteligencia.

De esta forma podemos acotar la identidad del creador de un malware a partir de un análisis de información tradicional.

Conclusiones

Ninguno de estos análisis es concluyente por sí mismo. Es necesario por tanto combinar varios de ellos para obtener evidencias razonables e incluso así habrá casos donde no sea posible realizar una atribución precisa. Pero eso también nos pasa en el mundo real y no por ello hay que rebajar las exigencias de los analistas.

Es importante recordar también que estas técnicas son útiles principalmente para completar los análisis de forense tradicional, aunque no los he mencionado con detalle por estar ya ampliamente documentados en otros foros.