Incident Response, Security and Forensics"

.

martes, 17 de mayo de 2011

Dónde estará mi carro...(Forensics DropBox)


Hola lectores,

Ante todo pedimos disculpas por el retraso en el blog, la verdad que para mi han sido épocas de grandes cambios y muchos viajes, ante todo en el ámbito profesional, pero una vez todo establecido, continuemos con nuestros 'casos forenses', lo dicho espero que me disculpéis.

Emulando a la famosa canción que indica el título del post "mi carro me lo robaron, estando de romería!
".  Quisiera en esta ocasión hablar de un caso de fuga de información de un empleado que utilizo el servicio de DropBox para subir ficheros propiedad de la empresa y por tanto constituyente de un posible delito de propiedad intelectual y revelación de datos confidenciales.

El caso es el siguiente:

Carlos es una persona dinamica, atrevida, un buen comercial, una persona hecha a sí misma, luchadora, positiva, de voluntad férrea y con un carisma y empatía hacia los clientes casi ilimitados. (¿Conoces a alguien así?, seguro que si). Por supuesto que estas cualidades no aseguran el éxito, pero sí ayudan a conseguir un buen puesto en la pole position y eso fué lo que le paso a Carlos encontro el trabajo de su vida en una empresa con la que competia, pero cometio un pequeño fallo se llevo de la anterior lo que no era suyo.


Este caso ocurre cada vez más a diario en las empresas. Por un lado la falta de legislación interna (procedimientos, normas, gestión de la seguridad) y por otro la falta de controles tecnológicos como seguridad en los puestos y dispositivos: como pendrives, cámaras de fotos y discos externos permiten que los usuarios con cierto acceso a información de la empresa y tras un tiempo consideren que esa información también les pertenece (Craso error!!).

Ya hemos hablado de ello en otras cocasiones y quizas lo más importante de todo es la falta de formación y/o concenciación sobre todo en la parte directiva que todavía o no entiende o no llega a ver la magnitud del problema.

Volviendo al caso, Carlos se despidio en Enero y "casualmente" en Febrero trabaja para la competencia. La Dirección de la empresa ante la sospecha decide realizar un análisis sobre el equipo (portátil) para determinar si ha existido una fuga de información.

Veamos que tiene Carlos.

Hacemos lo habitual, representante de la empresa, representante sindical, apertura de acta, adquisición de disco, huellas, etc, etc..y una vez obtenido se procede a la explotación de los datos.

Tras un análisis superficial nos encontramos en la carpeta de "C:\Users\0200CAR\" una carpeta de nombre "Dropbox". con los siguientes ficheros:


Vamos a análizar que es y como descubrimos una fuga de datos en la máquina de Carlos utilizando  el servicio de DropBox.

Dropbox es un servicio de alojamiento de ficheros en la nube. El servicio permite a los usuarios almacenar y sincronizar archivos en línea y entre ordenadores y compartir archivos y carpetas con otros. El producto dispone de versiones gratuitas y de pago.

Actualmente tiene soporte para historial de revisiones, de forma que los archivos borrados de la carpeta de Dropbox pueden ser recuperados desde cualquiera de los ordenadores donde se disponga la misma cuenta. También existe la funcionalidad de conocer la historia de un archivo en el que se esté trabajando, permitiendo que una persona pueda editar y cargar los archivos sin peligro de que se puedan perder las versiones previas.
Si un archivo en una carpeta Dropbox de un usuario es cambiado, Dropbox solo carga las partes del archivo que son cambiadas cuando se sincroniza. Este acción es una de las que sale reflejada en esta actuación.

Los ficheros de la configuración del equipo de Carlos están en formato SQL LITE y por lo tanto y como en ocasiones anteriores es sencillo de poder analizar la estructura de la base de datos y tablas. Para ello me voy a basar en la información de mi buen amigo Derek Newton al cual conocí personalmente en una de estas quedadas de 'Analistas forenses' en Estados Unidos.
Veamos que contiene:

config.db: 

Contiene la configuración del cliente e incluye muchos campos de los que destaco los siguientes:
  • host_id:  Es el hash de autenticación utilizado por el cliente para autenticar en Dropbox. Este hash se asigna al realizar la instalación inicial y la autenticación y no cambia si este no es revocado desde la interfaz web de Dropbox.
  • correo electrónico: Dirección de correo electrónico titular de la cuenta.
  • dropbox_path: Ruta de acceso
  • recently_changed3: muestra la ruta / nombre de archivo para los últimos cinco ficheros cambiados recientemente . Este es probablemente el único campo realmente útil en el análisis forense.
  •  root_ns: Hace referencia a la ruta de acceso base Dropbox.

filecache.db:

Contiene una serie de tablas, pero el objetivo principal es describir todos los archivos de forma activa en el cuadro de selección.

  • file_journal: Incluye el tamaño de archivo, ruta de acceso (en bytes), mtime (fecha de modificación del archivo, en  formato POSIX), ctime (hora de creación), local_dir (bandera que indica si la entrada es un directorio ), block_ref: ID de archivo de mapas (fj_id) para presentar los hashes (hash_id) que se encuentran en la tabla block_cache.
  • block_cache: Identificador del hash (id).
  • mount_table: Aparece en las carpetas de lista que se comparten con otros usuarios de Dropbox.

host.db:

El fichero se encuentra totalmente vacío.

sigstore.db:

Almacena los valores hash con los que corresponden a los valores que se encuentran en la tabla block_cache en filecache.db.

unlink.db:

Parece ser un archivo binario.


En cuanto a nuestro Análisis forense nos encontramos con las siguientes evidencias centrandome en el fichero 'config.db' y que particularmente he exportado a Excel para su mayor manejo y comprensión del contenido de los campos (y destaco los que me parecen significativos en color rojo)




host_id: 1afd404a46c53dac85bc296bc60e9bdc

Es el identificador de Carlos en la nube de DropBox

email: carlos.pXX(borrado intencionadamente y poco más que decir que es una cuenta de correo en la que claramente identifica que ha utilizado una cuenta personal)

recently_changed3
tlp1 (V34923386:/DATOS_CLIENTES/clientes.xls I00 tp2 a(V34923386:/DATOS_CLIENTES/FORMULARIO_SERVICIOS.doc I00
tp3 a(V34923386:/DATOS_CLIENTES/shareddir.dat Ntp4 a(V34923386:/DATOS_CLIENTES/known2.met
Ntp5 a(V34923386:/DATOS_CLIENTES/known.met Ntp6 a.

Este campo es interesante dado que muestra la ruta y nombre de archivo para los cinco ultimos ficheros que han cambiado recientemente. La mayoría de los archivos que aquí aparecen incluyen los archivos eliminados o borrados de la lista desplegable.  El contenido para este registro se basa en texto y es coherente con el siguiente formato:

El texto comienza con "tp1", termina con "a"., el siguiente tp2 y así sucesivamente
Las entradas están en orden de más reciente a menos reciente y cada entrada es el nombre del archivo / ruta seguida por "I00".

Si el archivo se ha eliminado o borrado de la Dropbox, el "I00" el texto se elimina y una "N" se coloca en delante del texto "TP #"


Por lo tanto en esta entrada tenemos como minimo una lista de ficheros (tras consultarlo con la empresa, nos asegurán que los nombres coinciden con los que ellos disponen actualmente), los ficheros (entre otros) se llaman, clientes.xls y formulario_servicios.docx

También el fichero 'filecache.db' contiene información interesante:




Y ahora vamos a ver que ficheros son los que tiene sincronizados el DropBox o como mínimo los que la empresa ha identificado, para ello vamos a ver la tabla 'file_journal'




En ella vemos los id's: 158, 159 y 160 que contienen la ruta y el nombre de los ficheros. Evidentemente coinciden con los ficheros anteriores.

Para corroborar lo visto falta que nos traigan el móvil de Carlos, al cual en su momento pertinente procederé a realizar un análisis para disponer en el mejor de los casos de dos evidencias, siempre y cuando tenga montado en su dispositivo DropBox.

Conclusiones:

Una vez realizado el análisis del disco duro del portátil, se extrae que Carlos en un periodo entre un mes antes de su marcha a la competencia y dadas la evidencias siguientes se ve que estuvo trabajando con datos confidenciales a los que tenía acceso. Las evidencias (entre otras) mostradas en el informe fueron las siguientes:


  • En el disco duro no existen los ficheros propiedad de la empresa.
  • No existe actividad de inserción de dispositivos externos.
  • Aparecen referencias de accesos directos en documentos recientes.
  • En el fichero de paginación aparecen contenidos de estos ficheros (es decir se abrieron).
  • Se evidencia accesos del histórico de URL' de Firefox s a DropBox.
  • Se encuentra DropBox instalado y funcionando, se verifica la existencia de estos ficheros dentro de la bd.
  • Se recuperan ficheros borrados que coinciden con los que son propiedad de la empresa y se comprueba que la fecha de ultimo acceso es de cinco días antes de su marcha.


Ahora el caso está pendiente de la Justicia.

Quisiera comentar que según Derek y tal y como he leído en los foros de DropBox, parece ser que la autenticidad del usuario de una cuenta de este servicio es vulnerable con tan solo copiar el fichero 'config.db' a otro directorio base de DropBox que pertenezca a otro usuario, pudiendo suplantar y acceder a los datos de este. (Esto no lo he corroborado y se pasa del mero trabajo realizado sobre este portátil). Aunque si alguien ha accedido a tu máquina y es capaz de copiar el fichero de marras, quizás lo que menos te preocupes es que se lleven este fichero, dado que se  han podido llevar TODO.

Hablando de este y otros temas con mi buen amigo Yago Jesús de Security By Default, coincidimos en que sería tan simple como cifrar el contenedor de DropBox, cosa que Yago os explicará en breves en Security By Default. No os lo perdáis.

Referencias:


http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/
http://www.reversecurity.com/2011/04/video-demonstration-of-dropbox.html
http://forums.dropbox.com/topic.php?id=37231


6 comentarios:

Muy buen post, felicidades.

Respecto a lo que comentas del robo de config.db, totalmente cierto. Un simple copy-paste y archivos sincronizando. :)

Enorme, felicidades por el artículo

Muy grande Pedro :). Me alegro de que te vaya bien en tu vida personal y profesional!!! Nos vemos

Hola Pedro,
me gustó mucho tu artículo.
Y con respecto a Google Docs, Yousendit y otros sites que no requieren instalar un software como DropBox, cuál es el procedimiento recomendado?
Saludos,
Paola

Existe alguna herramienta para poder descodificar los archivos con extensión .dbx de Dropbox instalado en un Windows 8, he probado Dropbox DecryptorV13, pero no funciona para este sistema operativo, me pueden dar alguna idea, gracias