Un USB lleno de fotos

(La entrada de hoy es la cuarta colaboración de Francisco Benet , un amigo de algunos de nosotros —y familia de algún otro— que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)

Continuamente con el rabillo del ojo miraba hacia ambos lados, pero ya no quedaba casi nadie en la oficina. Tampoco le interesaba quedarse solo; había que aparecer y desaparecer, como en un día normal, como en una situación normal. Al fin y al cabo era un día ‘normal’ para todos… excepto para Ramón.

Diciendo adiós con la mano, como siempre, salió nervioso de la oficina, un poco más tarde de lo normal, resoplando e intentando no mirar atrás. Hacía días había contactado con él un antiguo conocido del instituto, Miguel, y entre unas cosas y otras se habían acabado dando los teléfonos para quedar el jueves a tomar unas cañas. Ese día, y después de charlar de fútbol, política, y otras tantas cosas, la conversación acabó derivando hacia temas laborales, donde Miguel le confesó —en confianza y de manera confidencial— que estaba a punto de quedarse libre un puesto de contable en su empresa, bastante bien remunerado. Quizá podría enviar allí su curriculum; había otros candidatos, todos ellos amigos o conocidos del jefe, y él no tenia mano, pero por probar no perdía nada. Ahí quedo la cosa.

Bueno, realmente no quedó ahí; al día siguiente recibió una llamada de Miguel en la que le decía que tenían que hablar. Al parecer, había hablado con el jefe, y le dijo que el curriculum no estaba nada mal, pero que algo se podría hacer si podía traer algo de información de su empresa: todos lo hacen, yo mismo lo he hecho. Total, las empresas no desaparecen por estas cosas, todo el mundo lo hace, le decía Miguel, y Ramón no sabía si quien hablaba era el jefe o el mismo Miguel. Por supuesto, en su nuevo cargo cobraría algo más, tendría alguien a su cargo, buenas perspectivas laborales, y la posibilidad de un ascenso a corto plazo. Cobraría mucho más; mucho más. Le dijo la cifra. Le escribió la cifra, le acercó la servilleta y Miguel se le quedó mirando. Lo mejor —eso pensó Ramón— es que le habían elegido a él; le había pagado el restaurante y las copas por que le querían a él. No era de extrañar, Soy muy bueno en mi trabajo, aquí no me valoran; tiene razón , todo el mundo lo hace.

Ramón comenzó a trabajar pensando en lo que Miguel le había propuesto. Hoy empezaría a coger algunas cosas que le hacían falta, y accedió —como hacia diariamente— a los archivos de contratos con diferentes proveedores, para verificar los pedidos, pero esta vez lo hizo para capturar la pantalla e ir grabando archivos con el Paint, luego comprimía la imagen con contraseña; podría alegar que tenía datos de proveedores si alguien le preguntaba (aunque nadie le preguntaría). Tenia que ser cuidadoso y rápido, para lo que eligió la hora de la comida y salió quince minutos mas tarde que el resto. Pasó esos quince minutos guardando poco a poco la información en archivos con nombre muy similar a los que usaba diariamente, pero con una letra más en el nombre, y los dejó en su equipo.

Un par de semanas después, Ramón llegó a su puesto de trabajo como siempre, más bien nervioso. En la hora del café empezó a hablar de su ultimo viaje, del que había traído multitud de fotos. Cuando subieron del almuerzo se dispuso a enseñárselas a los compañeros, conectó el USB pero no funcionaba.

¿Por qué?— pensó pasa sus adentros, y se sintió contrariado, —¿Por qué no funciona?— preguntó a sus compañeros, apiñados frente a su puesto.
Ah! Es por las restricciones con los USB. Espera y hablo con Daniel para que nos copie las fotos ¿hay muchas?— le preguntó Vicente. Vicente era un administrador de sistemas que había almorzado con ellos. Era joven, agradable y amable, y no llevaba mucho tiempo en la empresa, pero intentaba que la gente estuviera tranquila y contenta.
Ehhh, sí, claro, son unos 2GB, es que son de calidas— contestó Miguel.
¿De calidad? ¡Pero si sales tú! Venga, entre copiarlas y hostias, se nos va a hacer eterno. Espera, me conecto como Administrador, y las vemos directamente en el USB.
Gracias tío, te debo un café; para una vez que traigo las fotos.

Allí estuvieron quince minutos mirando fotos, y para entonces Vicente ya se había ido; total, seguro que se las querría enseñar a toda la oficina. Al fin y al cabo eran fotos.

Abrió su cartera y desplegó un papel, donde estaba escrito lo siguiente :

copy /b .jpg + .zip .jpg

Oyó algo y se puso muy nervioso. Miró hacia atrás, y respiró.

C:\>cd contratos

Y ejecutó lentamente para cada archivo la instrucción…comprimir archivo de datos, añadir al fichero de la imagen y siguiente, siempre guardándolo en el USB. En cada foto, un archivo de datos nuevo. Al final se podría ir de vacaciones, al final podría comprarse el coche. Y realmente, todo el mundo hace estas cosas, no hay nada de malo en ello.

* * *

Sin entrar en detalles técnicos, la mayoría de visores de jpeg, por no decir todos, se paran al encontrar el marcador final FFD9 en hexadecimal. Sólo hace falta un visor, como puede ser TextPad, para darnos cuenta de que la ‘imagen’ no es únicamente una imagen, sino que después hay ‘algo’ más anexado.

Puede parecer un truco sencillo y sin más importancia, pero cuanta documentación puede intercambiarse de forma desapercibida totalmente sin que sea detectada por parte del señor-de-seguridad-que-todo-lo-ve. Naturalmente, en un análisis forense esto es fácil y sencillo de detectar, pero ¿quién se pasa el día haciendo análisis forenses? ¿Se les ocurre alguna medida, más allá de la concienciación, contra este tipo de acciones? ¿está la seguridad vendida en este tipo de situaciones?

Total, todo el mundo lo hace.

Comments

  1. Es similar a la Esteganografia. Interesante manera de ocultar ficheros si no puedes instalar software en el sistema por ejemplo..

  2. Francisco Benet says

    Son esos pequeños trucos que cuando se habla de IDS, Honeypots, Firewalls, etc. no se piensa.

    Al hilo del anterior post, es tan curioso como la presentación de ataques XSS que se hizo en la black hat donde, entre otros, se indica que utilizar en los ataques patrones distintos a los que se ‘ejemplizan’ (p.e. ‘2=2 en lugar de ‘1=1) hacen que se pueda hacer un ‘bypass’ de la seguridad implantada. Seguro que más de uno ha enviado un anexo .zip quitandole la extensión por que ‘se filtra’.

    En fin, seguridad seguridad seguridad.

  3. Contenido interesante. Mala ortografía. Al margen de la falta de acentos (que, aunque numerosa, puede pasar por erratas producidas al escribir), comienza a ser preocupante el abuso del leísmo y, sobre todo, el uso de un verbo impersonal en tercera persona del plural (el *habían otros candidatos* del segundo párrafo).

    Rogaría que se revisaran los artículos antes de publicarlos.

  4. Como editor del blog y responsable por tanto de la revisión, acepto que la entrada (tanto esta como muchas otras) pueda tener —tiene— algunos errores ocasionados por la falta de tiempo para revisar, principalmente acentos (algunos de los cuales han sido corregidos). Aunque hacemos todo lo posible para corregir los fallos ortográficos que puedan existir, siempre es posible que como en este caso, algún acento, alguna cuestión semántica, o alguna errata como la de la tercera persona del plural pasen desapercibidas durante la revisión. No es baladí señalar que, manteniendo siempre un nivel más que aceptable en cuanto a ortografía, léxico y semántica, nuestra prioridad es generar debate y contenidos interesantes casi a diario, aunque ello implique que algún pequeño fallo se traslade al contenido publicado.

    Dicho esto, y agradeciendo de antemano el comentario, mi opinión es que la importancia de los errores del texto ha sido sobrevalorada, y por tanto el ruego me parece totalmente innecesario e inapropiado.

  5. Francisco Benet says

    touché.

  6. Una función importante de los responsables de la seguridad de la información es la concienciación de usuarios. Lo cierto es que un usuario malintencionado con los permisos que necesita para su trabajo, puede cometer acciones de este estilo.
    Hay soluciones y controles, tecnología que no deja copiar documentos, cifrado con PKI interna de la empresa (fuera de ella puede dejar el documento cifrado por los siglos de los siglos), bloqueo de puertos USB,….

    Recomiendo producto SafeGuard® LAN Crypt de Sophos…y un buen responsable de seguridad…

  7. Es simple si un usuario puede ver o escuchar algo, puede copiarlo y replicarlo como quiera. No hay forma de controlarlo, tranquilamente podría tener una cámara en el ojo como Rob Spence.

    No tiene sentido utilizar tecnologías de vigilancia y limitaciones, lo que sive es tenerlo en cuenta a la hora de establecer políticas de seguridad.

  8. Pienso que la ortografía ha sido especialmente cuidada, ya que aún a pesar de no ser muy ortodoxa, incluye formas únicas de expresión que harán que el típico ladrón de contenidos pueda ser perseguido a través de las marcas de agua en el contenido del texto. ¿O no era esa la intención?