miércoles, 20 de abril de 2016

OSINT Parte II - Lo que esconden los metadatos

Buenas,

Esta es la segunda entrada del capítulo de OSINT. En este caso se hace hincapié en la información que alojan los metadatos.

Una definición precisa de los metadatos es que son los datos que describen otros datos, es decir, son los datos asociados a los archivos que contienen información sobre los mismos.

Ahora bien no todos los archivos tienen los mismo metadatos, cada tipo tiene unos asociados. Prácticamente todos los archivos tienen metadatos, sin embargo, los archivos en lo que más fácilmente se encuentran son los documentos ofimáticos (word, excel,...microsoft office), imágenes, pdf's, correos electrónicos,...

Aunque a priori no lo pueda parecer los metadatos contienen información realmente útil que puedan emplearse para diferentes fines: evidencias en un análisis forense, detectar los insiders en una fuga de información o parte de la fase de un footprinting.

¿Qué tipo de información nos podemos encontrar? El análisis de los metadatos pueden revelar información del sistema operativo, versiones de programas, fechas de creación, modificación, autor de un documento entre otras.

Para realizar el análisis de metadatos destacan principalmente dos herramientas: Exiftool y FOCA de Elevan Paths.

Por un lado con Exiftool, puede emplearse de dos maneras: a través de la consola de Windows o puede instalarse la interfaz web.

Por supuesto empleando la consola de comandos se puede explotar el potencial de esta herramienta. Para ello, empleando el comando:

exiftool.exe -a NOMBRE_FICHERO

Se obtiene el listado de todos los metadatos asociados al fichero analizado. En la siguiente imagen se puede ver un ejemplo:




Por el otro lado, se encuentra FOCA que está más bien enfocada al análisis de metadatos a partir de un target. Ahora bien esta herramienta es mucho más potente y permite obtener mucha más información como DNS, IP's, servicios,... 

Es importante remarcar que esta información es pública y solamente se encarga de recopilarla.

Centrándonos en el análisis de metadatos, añadiendo el fichero a la FOCA y analizándolo se obtiene lo siguiente:



Por ejemplo en el resumen de metadatos se pueden observar información del software, usuario y fechas por ejemplo:











Del mismo modo, Eleven Paths ofrece la posibilidad de analizar los metadatos de forma online con metashield (metashieldanalyzer.elevenpaths.com). Analizando el mismo fichero nos ofrece los siguientes datos:



Finalmente, recordad que los metadatos esconden información que no se ve pero es muy útil.

Por ejemplo, un atacante o un pentester puede comenzar con un análisis de metadatos de un target para obtener información de versiones de programas, del sistemas operativo, de nombre de usuarios para tener una primera toma de contacto para perfeccionar su objetivo.

De igual modo, un analista forense puede sacar información de un fichero que ha salido de una empresa con información confidencial. Analizando dicho fichero, podría obtener el nombre del autor y encontrar al insider de la empresa, responsable de su fuga.

Análogamente, analizando una foto de alguna red social, se puede obtener metadatos sobre la ubicación física desde dónde se ha subido la foto a Internet, la marca y modelo de la cámara con la que se ha hecho y multitud de datos más.

"La mejor defensa es el mejor ataque"

Naxhack5

No hay comentarios:

Publicar un comentario

Google Analytics