El viernes pasado, apareció la noticia de un hacker identificado por el FBI, tras haber publicado junto a los datos robados, una fotografía de su novia; más bien de sus pechos; con un cartel alusivo al hackeo; supongo que jactándose de su hazaña.
El FBI, tras analizar la imagen publicada, pudo observar que el individuo en cuestión, no había sido lo suficientemente cuidadoso y no borró los metadatos que van asociados a la imagen, antes de publicarla. A partir de estos metadatos, el FBI pudo saber que la imagen se había hecho con un iPhone y que este había guardado además de otros muchos datos, los datos de geolocalización del teléfono en el momento de realizar la fotografía.
Siguiendo las pistas proporcionadas por la imagen, localizaron cerca de Melbourne, a la señorita de la foto, que figuraba como novia del hacker en su perfil de Facebook.
La noticia apareció en diversos medios, con titulares más o menos "graciosos", como el que yo vi, que rezaba "Hacker acusado gracias a las fotos de los pechos de su novia". Quizá y como prueba definitiva, el FBI comparó los pechos que aparecían en la foto, con los originales de la novia del hacker :-).
Es curioso la cantidad de información, en forma de metadatos, que se asocian a la mayoría de los ficheros, como un documento de Word, un PDF, una imagen, etc. y por lo general, nunca nos preocupamos por revisar o eliminar esta información antes de publicar o enviar un fichero. También es verdad, que en la mayoría de los casos, nos despreocupamos de este aspecto, sencilla y llanamente porque ni estamos cometiendo un delito, ni es información sensible, que pueda tener interés para quien la recibe o la intercepta. Pero no siempre es así.
Además de su uso en los análisis de informática forense, en los procesos de recogida de evidencias; conocido como Information Gathering; el uso de los metadatos es usado también por los "chicos malos", para obtener información acerca de un objetivo, como nombres de usuario, sistema operativo, etc. y que servirán posteriormente para realizar un ataque a ese objetivo.
Hay otros casos en los que pasar inadvertida la información de los metadatos asociados a un documento en el momento de publicarlo, ha puesto en entredicho la veracidad del documento, ha revelado información adicional, que no se pretendía mostrar o información acerca del verdadero autor del documento. En estos casos, sobre todo cuando esos documentos son publicados por organismos oficiales, han supuesto situaciones muy embarazosas y difíciles de explicar, como le ocurrió en 2003 al gobierno británico, cuando publicó como propio un documento acerca de la seguridad de las infraestructuras en Irak y que en realidad era obra de un un investigador del "Monterey Institute of International Studies" y como en el chiste, con error tipográfico incluido, como indicaba el Dr. Glen Rangwala, descubridor del fiasco.
La extracción de metadatos de un fichero es muy sencilla y existen numerosos programas, open source y comerciales, para todas las plataformas, que permiten ver, cambiar o liminar estos metadatos.
La mayoría de las cámaras y programas de edición de imagen, utilizan formatos de compresión JPG e incluyen información en forma de metadatos siguiendo el formato EXIF.
Una buena herramienta, libre, que permite leer, escribir y editar metadatos de un gran número de tipos de ficheros y de formatos de metadatos, es ExifTool. Esta herramienta se basa en una librería de PERL y se utiliza en modo línea de comando, aunque existen aplicaciones en forma de ejecutable para Windows y OSX.
Un ejemplo real de metadatos de una imagen, obtenidos con ExifTool:
ExifTool Version Number : 8.87
File Name : foto2.jpg
Directory : .
File Size : 1676 kB
File Modification Date/Time : 2012:04:15 18:23:44+02:00
File Permissions : rw-r--r--
File Type : JPEG
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
Make : Apple
Camera Model Name : iPhone 4
Orientation : Horizontal (normal)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Software : 4.1
Modify Date : 2010:11:09 17:27:50
Y Cb Cr Positioning : Centered
Exposure Time : 1/15
F Number : 2.8
Exposure Program : Program AE
ISO : 100
Exif Version : 0221
Date/Time Original : 2010:11:09 17:27:50
Create Date : 2010:11:09 17:27:50
Components Configuration : Y, Cb, Cr, -
Shutter Speed Value : 1/15
Aperture Value : 2.8
Metering Mode : Average
Flash : Auto, Did not fire
Focal Length : 3.9 mm
Subject Area : 1295 967 699 696
Flashpix Version : 0100
Color Space : sRGB
Exif Image Width : 2592
Exif Image Height : 1936
Sensing Method : One-chip color area
Exposure Mode : Auto
White Balance : Auto
Scene Capture Type : Standard
Sharpness : Hard
GPS Latitude Ref : North
GPS Longitude Ref : West
GPS Time Stamp : 17:27:40.45
GPS Img Direction Ref : True North
GPS Img Direction : 102.1856287
Compression : JPEG (old-style)
Thumbnail Offset : 844
Thumbnail Length : 10027
Image Width : 2592
Image Height : 1936
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Aperture : 2.8
GPS Latitude : 43 deg 15' 42.60" N
GPS Longitude : 2 deg 55' 40.80" W
GPS Position : 43 deg 15' 42.60" N, 2 deg 55' 40.80" W
Image Size : 2592x1936
Shutter Speed : 1/15
Thumbnail Image : (Binary data 10027 bytes, use -b option to extract)
Focal Length : 3.9 mm
Light Value : 6.9
Los chicos de Informática 64, especialistas en estos temas, han desarrollado una herramienta muy interesante, llamada "FOCA" (Fingerprinting Organizations with Collected Archives); de la cual tienen versiones, FOCA Free, FOCA Pro y Forensic FOCA, con diferentes capacidades.
La versión free, que es la que he revisado, entre otras cosas, es capaz de recorrerse una web en busca de documentos o ficheros de diferentes tipos, descargar y extraer los metadatos de estos documentos, mostrando información relativa al sitio y sus documentos. Del análisis de los metadatos de los ficheros encontrados y de una forma bastante cómoda, se muestran datos de usuarios, carpetas, impresoras, software, Emails, sistema operativo, passwords y servidores, si es que están incluidos estos datos, obviamente.
No hay comentarios:
Publicar un comentario