ARTICULOS GURU DE LA INFORMATICA SOBRE METADATOS

Extraccin y uso de metadatos.

Los metadatos, es la informacin insertada en los archivos por el software de edicin o creacin de los mismos, ests metadatos contienen informacin acerca de la creacin del archivo como: nombre de autor, autores anteriores, nombre de compaa, cantidad de veces que el documento fue modificado, fecha de creacin Los metadatos pueden tener varias aplicaciones como: En informtica forense: Para demostrar en un juicio que unos archivos de imgenes pertenecen a una determinada cmara de fotos. En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red para despus realizar un ataque de fuerza bruta. Aqu dejo una lista de herramientas de adquisicin de metadatos muy tiles: hachoir-metadata, es una de las mas completas soporta 32 formatos distintos de archivos, y esta disponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD. Ms informacin y descarga: http://hachoir.org/wiki/hachoir-metadata ExifTool, la mejor herramienta para extraer metadatos de imgenes ya que puede trabajar con EXIF e IPTC (estndares utilizados por cmara de fotos para intercambiar ficheros de imgenes con compresin JPEG). Adems reconoce metadatos insertados por cmaras: Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta/Konica-Minolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo, Sigma/Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que permite utilizarla en Linux. Ms informacin y descarga: http://www.sno.phy.queensu.ca/~phil/exiftool/ Metagoofil, diseada para extraer archivos: pdf, doc, xls y ppt de un sitio web a travs de google, y analizar los metadatos de los archivos. Para obtener informacin y realizar un ataque o un test de intrusin. Esta escrita en python. Ms informacin y descarga: http://www.edge-security.com/metagoofil.php Pinpoint Metaviewer, permite a los usuarios extraer rpidamente meta datos del sistema de archivos, meta datos OLE contenidos en Microsoft Office y valores "hash". Destaca que puede obtener antiguos usurarios, en el caso de que fuera varias veces modificado por diferentes personas. Ms informacin y descarga: http://www.pinpointlabs.com/free_tools/metaviewer/

Anlisis de documentos PDF en busca de cdigo malicioso.

Los archivos PDF pueden llegar a ser un riesgo de seguridad ya que debido a sus propiedades, en concreto el uso de filtros, permiten esconder informacin mediante la codificacin y compresin de streams. Esta caracterstica es utilizada para esconder cdigo Javascript y explotar las vulnerabilidades del lector PDF y as comprometer la seguridad del sistema. Con la herramienta Origami es posible buscar cdigo malicioso en archivos PDF, con potentes scripts y una interfaz grafica que facilita el anlisis. Entre las caractersticas de Origami destaca: Permite explorar documentos a nivel de objeto, buscando cdigo en streams codificados o ofuscados. Realiza operaciones de alto nivel, tales como: encriptacin, desciframiento y firma. Posee un interfaz grafico para analizar rpidamente en el contenido del documento. Origami contiene un conjunto de scripts para facilitar el anlisis y otras tareas: detectjs.rb: busca cdigo Javascript en el documento. embed.rb: agrega un attachment al documento. create-jspdf.rb: agrega cdigo Javascript a un archivo PDF, que se ejecutara cuando se abra el documento. moebius.rb: transforma un PDF en moebius. encrypt.rb: cifra un archivo PDF. Ms informacin y descarga de Origami: http://security-labs.org/origami

Anlisis de datos ocultos en un documento PDF.

El formato PDF conserva los cambios realizados en un documento, de tal forma que crea un historial de las modificaciones que sufre. Este historial se mantiene de forma oculta en el archivo PDF. Con la herramienta PDFResurrect para anlisis de documentos PDF, es posible extraer todas las versiones previas y generar un resumen de cambios, producidos entre las distintas versiones del documento. Esta herramienta tambin permite eliminar este historial de cambios en un documento PDF para que no pueda ser recuperado por nadie. Esta herramienta sirve para: verificar la autenticidad de un documento, comprobar que no ha sido manipulado por terceras personas y recabar metadatos del mismo.

Ms informacin y descarga de PDFResurrect: http://www.757labs.com/projects/pdfresurrect Anlisis de documentos PDF en busca de cdigo malicioso: http://vtroger.blogspot.com/2009/10/analisis-de-documentos-pdf-en-busca-de.html Extraccin y uso de metadatos: http://vtroger.blogspot.com/2008/06/extraccin-y-uso-de-metadatos.html

Herramienta de recoleccin de metadatos en sitios Web.

Los metadatos de los sitios Web, son una buena fuente de informacin para realizar ataques, de ellos se puede extraer nombres de usuarios y posible contraseas. Con la herramienta CeWL se puede obtener metadatos de los documentos de un sitio Web y de las pginas Web. Esta herramienta genera tres listas con la siguiente informacin:

Una lista de palabras de la Web que se pueden utilizar como contrasea para ataques de diccionario. Una lista con direcciones de correo electrnico, de la que se puede extraer posibles usuarios. Una lista con usuarios y autores extrados de los metadatos de los archivos encontrados en el sitio Web, soporta archivos de formato Office hasta 2007 y PDF. Ideal para recabar lista de de nombres de usuarios. Es una CeWL es una herramienta para sistemas Linux escrita en Ruby ideal para auditar la seguridad de sitios Web, controlando la informacin que se proporciona en los metadatos. Ms informacin y descarga de CeWL: http://www.digininja.org/projects/cewl.php

Geoetiquetas, una nueva amenaza en la seguridad de los metadatos.

En anteriores post he escrito sobre los posibles usos de los metadatos y formas de recolectarlos. En este post tratare sobre las geoetiquetas, una nueva amenaza en la seguridad de los metadatos.

Los formatos de archivos de imagen JPEG, TIFF Rev. 6.0, y RIFF utilizan la especificacin Exif. Esta especificacin agrega metadatos como:

Informacin de fecha y hora. Las cmaras digitales registran la fecha y la hora actual y la almacenan en los metadatos. Configuracin de la cmara. Esta incluye informacin esttica como el modelo de cmara y el fabricante, e informacin que varia con cada imagen como la orientacin, apertura, velocidad del obturador, distancia focal, medidor de exposicin y la velocidad de la pelcula. Geoetiquetas, la cual podra provenir de un GPS conectado a la cmara. Hasta el 2004 solo unas pocas cmaras lo soportaban. Actualmente los smartphone poseen cmara fotogrfica y receptor GPS, y aaden geoetiquetas a las fotos que realizan. Con las geoetiquetas se puede determinar el lugar exacto donde se realiza una foto, y esto puede suponer un problema cuando se publican fotos en redes sociales o lbumes fotogrficos en la web. La mayora de estos dispositivos permiten desactivar esta funcin pero muchos usuarios desconocen su existencia. Existen aplicaciones con las que podemos extraer estas geoetiquetas y visualizarlas en google earth y tambin aplicaciones con las que podemos limpiar las fotos de geoetiquetas. Entre estas aplicaciones destacara dos: Geotag y Geotag Security. Geotag Security. Es una herramienta para la plataforma Windows, que explora un destino seleccionado en busca de imgenes que contienen geoetiquetas y se las elimina. Es una herramienta muy fcil de usar y bastante rpida. Su nica pega es que no permite visualizar las geoetiquetas. Ms informacin y descarga de Geotag Security: http://www.geotagsecurity.com/what-is-geotag-security/ Geotag. Es un programa multiplataforma programado en Java que permite la edicin y visualizacin de metadatos es archivos fotogrficos. Geotag est orientado a la edicin y visualizacin de geoetiquetas y adems permite visualizarlas en google earth. Geotag tambin permite insertar geoetiquetas en fotos y editarlas. Es un buen complemento para anlisis forense de metadatos. Ms informacin y descarga de Geotag: http://geotag.sourceforge.net/

Extraccin y uso de metadatos:

http://vtroger.blogspot.com/2008/06/extraccin-y-uso-de-metadatos.html