10 abril 2010

Bypasseando DLP y DRM

El jueves 8 de Abril estuve en un evento de seguridad llamado Respuestas SIC (organizado por la revista del mismo nombre). Estos eventos se caracterizan por una serie de ponencias y alguna mesa redonda entre consultores, managers, etc, de diferentes empresas integradoras y fabricantes de seguridad que en cada sesión cuentan con una temática común. En esta última el menú del día era en resumen: DLP y en detallado "Prevención de fugas y gestión de derechos: De la protección de la infraestructura a la seguridad ligada a los datos y documentos: el reto de la transformación".

Hubo varias presentaciones de fabricantes mundialmente conocidos, fundamentalmente patrocinadores del evento en cuestión, que aportaron sus soluciones a las diferentes posibilidades de fugas de información en las empresas. De esto ya hablamos tiempo atrás en SbD.

Sin embargo, según se iban sucediendo las ponencias, en las que se destacaban las diferentes medidas que se aplicaban para prohibir fugas de información (DLP) via FTP, email, USB, etc.... así evitar que un documento se pudiera copiar a otra ubicación, imprimir, copiar y pegar en un nuevo documento, etc,... me acordaba de las herramientas que comentamos hace poco para quitar las restricciones en ficheros PDF, y pensé en algún otro punto débil que pudieran tener las soluciones expuestas.

Lo más fácil que se me ocurrió (que dudo que haya sido el primero) para evitar los mecanismos digitales de protección, fue aprovechar la cámara de fotos que todo teléfono móvil trae por defecto. Sé que es rudimentario, que el resultado no es el documento original (no podremos utilizar la FOCA para extraer metadatos y obtener otra jugosa información) y nunca una calidad perfecta, pero haciéndole fotos al documento físico o incluso a la pantalla del ordenador en el que la visualizamos podemos copiar el contenido, que al fin y al cabo es de lo que se trata.

De hecho, hace poco ví un programita para Iphone que introduce en un PDF todas aquellas imágenes que queramos, permitiéndonos enviar por email la información sustraida, subirla a un servidor online que soporte Webdav, etc,... es decir, hacer justo lo que se pretende evitar con DLP y DRM.

En entornos de seguridad militar, cuando te dan acceso a un documento clasificado o secreto, se hace en una habitación sin ventanas, y te registran a la entrada y a la salida para evitar que lleves dispositivos que posibiliten la copia de parte o la totalidad del mismo.

Ni que decir tiene que el robo de información confidencial es algo completamente alejado de la legalidad y de la ética, pero me pareció curioso el ver que por muchas medidas que se pongan siempre hay alguna posibilidad. Evidentemente la implantación de este tipo de soluciones en las organizaciones está más que justificado, aunque infalible a todos los niveles, como hemos visto, no es.

6 comments :

Anónimo dijo...

Al final, en los entornos militares habrá proctógolos...

Román Ramírez dijo...

Para las fotos hechas directamente a la pantalla, hay algún fabricante que intercepta la forma en que se dibuja ésta y le aplica sutiles variaciones. El ojo humano sigue percibiendo la imagen, pero los elementos mecánicoelectrónicos, no.

El DLP/IRM no está orientado a bloquear al hacker que conoce todos los canales subliminales, para eso hay otros mecanismos.

Es imposible aplicar DLP/IRM como elemento único, en solitario :)

Y, como siempre, el concepto de seguridad no tiene que ver con la tecnología, tiene que ver con procesos. La tecnología no es más que la infraestructura que da soporte al proceso.

Si la tecnología no es suficiente, añade más controles al proceso (por ejemplo, cláusulas en contratos).

deltonos77 dijo...

En entornos militares "serios" no te dejan pasar ni con las llaves de casa,ni sacar un papelito , y mucho menos meter un movil (aunue sea un nokia W.C con linternita cutre)...

Anónimo dijo...

@Román Ramírez dijo:
"Para las fotos hechas directamente a la pantalla, hay algún fabricante que intercepta la forma en que se dibuja ésta y le aplica sutiles variaciones. El ojo humano sigue percibiendo la imagen, pero los elementos mecánicoelectrónicos, no."

¿Cómo es esto?¿Podrías aportar un poco más de información?

@Román Ramírez dijo:
"el concepto de seguridad no tiene que ver con la tecnología, tiene que ver con procesos. La tecnología no es más que la infraestructura que da soporte al proceso.

Pero si la seguridad la conforman las medidas utilizadas contra las posibles situaciones de riesgo, y la tecnología da soporte a los procesos involucrados en la seguridad, entonces hay que mirar lo que ofrece o deja de ofrecer la tecnología para evaluar los posibles riesgos, ¿no?

Anónimo dijo...

Muy bueno el post, pero se te ha pasado el mecanismo más simple, hay una herramienta basada en grafito que hace lo mismo hace años...

Lápiz y papel, contra eso no vale de nada el mecanismo que cita Román Ramírez :) además el lápiz lo puedes usar de arma contra el guarda de seguridad.

Si estás en un entorno de "máxima" seguridad, ya hay una brecha en la misma, ya que estás donde se supone que no debe estar nadie, es decir, el ser humano lleva siglos intentando guardar secretos que otros seres humanos consiguen revelar, porque siempre alguien encuentra la forma de hacerlo, las barreras siempre caen, siempre ha habido hackers, aunque no se llamaran así:)

Imaginad que en la base militar ultrasecreta, entra alguien que tiene una memoria fotográfica extraordinara, esa persona no necesita ni cámaras, ni lápices.

Cómo decía una portada de Blackhat de hace ya unos años:
"The most important tool in information security does not come out of a box. It comes from within." refiriéndose a la mente humana como la mejor herramienta.

Yo creo que, como comenta Román, la clave (si es que hay una) está en los procesos.

Un saludo.
Manolo.

Yo dijo...

Bueno, vamos a ver... lo de que cuando accedes a un documento clasificado (diferenciad entre datos clasificados, confidenciales y sensibles por favor), dependiendo del nivel de clasificación LA NORMATIVA aplicable exige que se acceda de una u otra manera, pero como siempre pasa, una cosa es lo que diga la normativa y otra lo que realmente se haga (y hablo desde la experiencia).

Sobre hacer fotos a las pantallas, o copiar con lapiz y papel, etc. Para eso está la seguridad física (además de los procedimientos como bien han dicho).

Conozco bastante bien las soluciones de DLP actuales y creo que aunque están bastante bien, todavía están muy verdes y les queda mucho por evolucionar (esteganografía, evitar capturas de pantallas con cualquier software, OCR, etc.).

Las actuales soluciones de DLP permite reducir la fuga de información, pero si alguien sabe un poco y quiere llevarse información lo hará.