Analisis y Borrado de Metadatos

Los archivos informáticos, ya sean documentos ofimáticos, fotografías, o cualquier otro tipo de archivo, se generan con distintas aplicaciones que añaden una información adicional estructurada en forma de metadatos, que no se muestran al usuario durante la visualización del documento. Esta información se refiere a aspectos relacionados con fechas formatos y formas de visualización, pero también existen metadatos que proporcionan más información que puede resultar muy útil para un atacante, por ejemplo:

  • Aplicación utilizada para la generación del documento. No solamente el nombre, sino que además puede informar de la versión utilizada en el momento de crear el archivo. Esto le sirve a un atacante para conocer posibles vulnerabilidades y preparar vectores de ataque para ataques client-side.
  • Nombres de usuario. Usuarios que han creado y modificado el documento. Según cómo se generen en la organización, puede proporcionar directamente el nombre de usuarios en el sistema, o simplemente puede proporcionar información acerca del nombre y apellidos de los mismos. En cualquiera de los casos, se trata de una información valiosa para un atacante.
  • Direcciones de correo electrónico. Nuevamente, una información muy útil para un atacante, que la puede utilizar para realizar ataques utilizando ingeniería social.
  • Rutas en las que se han creado. Algunos metadatos proporcionan información acerca de la ruta del archivo cuando se generó en el sistema, lo que puede proporcionar información acerca de nombres de directorio que pueden resultar de interés para un atacante.

Los metadatos pueden resultar necesarios para una organización porque facilitan las búsquedas y facilitar la integración de los archivos en repositorios centralizados, entre otros aspectos beneficiosos. Sin embargo, una exposición pública de archivos con metadatos puede suponer una fuga indeseada e inconsciente de información que puede resultar sensible.

Prácticamente todos los tipos de archivos contendrán algún tipo de metadato, por lo que no merece la pena hacer un listado minucioso de extensiones de archivos potencialmente útiles. De manera general, a un atacante le interesarán archivos pdf, archivos html, distintos tipos de archivos de imagen (jpg, jpeg, etc.) y documentos ofimáticos tanto Microsoft Office (.docx, .dot, .doc, .xlsx, .xls, .pptx, .ppt, etc.) como del estándar OpenDocument (.odt, .odf, .ods, .odp etc.), pero intentará obtener información de los metadatos de todos los tipos de archivo que pueda encontrar.

Para poder extraer los metadatos de los archivos es necesario obtener previamente los archivos. Además de a través de las búsquedas en Internet vistas anteriormente, existen herramientas que permiten automatizar la búsqueda y descarga de archivos en los sitios web de la organización e, incluso, permiten automatizar todo el proceso de búsqueda, descarga de archivos y análisis de metadatos.

Obtención de archivos con wget
Aunque la forma más sigilosa para descargar archivos es a través de una navegación normal por la página web, se trata de un proceso lento y en ocasiones no se encontrarán todos los archivos, por lo que resulta bastante útil conocer algunas técnicas y herramientas que faciliten el trabajo.

Una de las herramientas más sencillas es wget. Se trata de una herramienta libre y gratuita que permite realizar descargas desde servidores web utilizando múltiples parámetros para delimitar las descargas, lo que permite configurarlas para especificar los tipos de archivo a buscar e indicar que la búsqueda se realice de manera recursiva. En el siguiente ejemplo se buscarán en el dominio indicado todos los archivos de las extensiones indicadas (-A), de manera recursiva (-r) y se almacenarán en la ruta indicada (-P) sin crear subdirectorios (-nd):

$ wget -r -nd -A pdf,docx,xlsx,pptx -P ruta

Cuando termine la ejecución se habrán descargado en la ruta indicada todos los archivos que cumplan con lo indicado.

Análisis de metadatos con Exiffool
Se trata de una herramienta gratuita multiplataforma desarrollada en Perl por Phil Harvey, pensada para leer, crear y modificar metadatos en archivos de múltiples formatos. La instalación de Exiftool es muy sencilla, para Windows y MacOs se puede encontrar en la web de la herramienta (https://exiftool.org/), y para Linux basta con instalar desde los repositorios el paquete libimage-exiftool-perl.

Una vez instalada la herramienta, para visualizar los datos basta con ejecutarla indicando el nombre del archivo.

$ exiftool nombredearchivo

Análisis de Metadatos con FOCA
Se trata de una aplicación para Windows desarrollada por Eleven Paths, que permite llevar a cabo la descarga de archivos de un dominio, así como el análisis de los mismos para buscar metadatos. La información obtenida a partir de los metadatos se muestra de manera en la herramienta de manera ordenada y agrupada por categorías.

La descarga se puede realizar a través del enlace de descarga de la herramienta (https://github.com/ElevenPaths/FOCA), donde se pueden encontrar varias versiones de la herramienta y su código fuente. La herramienta no precisa instalación y para utilizarla sólo se requiere descargar y descomprimir un archivo .zip, pero para poder ejecutarla es necesario disponer de un servidor SQL Server al que conectarla. Este servidor SQL puede ser cualquier versión, incluidas las versiones Express, y no tiene por qué estar instalado en el mismo equipo en el que se ejecuta la FOCA, pero en este caso será preciso indicar la cadena de conexión cuando se inicie la herramienta.

La primera acción a realizar cuando se ejecuta la herramienta es crear un proyecto. Una vez indicados el nombre del proyecto y el dominio, se puede comenzar la búsqueda de archivos, para lo que es necesario seleccionar los motores de búsqueda que se van a utilizar, así como los tipos de archivo buscados. La herramienta irá mostrando todos los archivos encontrados, así como información de los servidores y de los dominios. En este caso se encuentran numerosos archivos, a pesar de que Google y DuckDuckGo están rechazando las peticiones.

Para descargar archivos se pueden seleccionar uno o varios archivos y seleccionar la opción de descargar que se muestra en el menú contextual. Los archivos descargados se indicarán con un punto verde, en lugar de una cruz roja. Una vez descargados los archivos, nuevamente con el menú contextual se pueden extraer los metadatos de los archivos seleccionados o de todos ellos.

A medida que la extracción de metadatos encuentra información, va agrupándola en los diferentes nodos del árbol de la izquierda. La cantidad de información encontrada dependerá de lo cuidadosos que hayan sido en la organización a la hora de hacer públicos sus archivos.

Ver y Borrar los Metadatos en Windows
Para borrar los metadatos de haz clic sobre el archivo con el botón derecho y elige la opción “Propiedades”. En la ventana que se abre a continuación clica en “Detalles” para ver los metadatos que acompañan a ese documento. El resultado será similar a lo mostrado en la siguiente imagen:

Los metadatos los vas a poder borrar desde esa misma ventana de propiedades. Lo único que tienes que hacer es ir a la parte inferior de la ventana y pulsar sobre el enlace Quitar propiedades e información personal. Al hacerlo se te abrirá una ventana en la que, arriba del todo, debes seleccionar la opción *Quitar las siguientes propiedades de este archivo.

Cuando eliges esta opción verás que en esa misma ventana, al lado de cada una de las propiedades te aparecerá un cuadro para seleccionarlas. Esto te permite ir seleccionando individualmente cada una de las opciones que quieres borrar de las propiedades del archivo. También tienes una opción Seleccionar todo para que automáticamente queden todas las opciones marcadas.

Una vez hayas elegido todas las opciones que quieras eliminar sólo tienes que hacer click en aceptar.