Blog sobre seguridad informática, privacidad, anonimato, hacking ético, programación y sistemas operativos en general.

jueves, 10 de agosto de 2017

Metadatos: Que son, riesgos, extracción y eliminación de los mismos usando MAT.


Buenos días a todos nuestros seguidores y a toda la comunidad informática en general. Llevábamos un buen tiempo con inactividad por falta de tiempo pero hemos regresado y seguiremos con nuestros proyectos en la red como anunciamos desde el primer día.

Hoy queremos hablarles de un tema bastante inquietante y delicado a la vez: Los metadatos.

¿Qué son los metadatos?

Los metadatos, son datos que se encuentran dentro de un archivo. Este archivo puede ser un documento (Word, Excel, PPT, ODT, etc), una imagen (JPEG, JPG, GIF, PNG) o un documento de texto plano. Cada vez que nosotros creamos un archivo, el software con el que lo creamos guarda cierta información relacionada con la máquina y algunos softwares guardan más que otros. Estos datos pueden incluir: El nombre de la persona que creó el archivo, el software que proceso ese archivo, la marca del equipo que se usó así como información de las versiones del programa que usó, la fecha de creación, modificación... y hasta si fué tomada con flash o no (en caso de ser una imagen).

¿Que riesgos traen los metadatos?

Supongamos que uno de nosotros es un cracker, que se dedica a crear malware y a venderlo. ¿Que pasaría si dicha persona utiliza su computadora personal, donde tiene almacenadas sus identidades reales en los usuarios de la computadora o tiene preconfigurado algún software que firme digitalmente sus documentos y crea con ella dichos malwares sin editar o eliminar sus metadatos? A simple vista para un usuario común, nada. Pero para un analista forense, que conoce del tema y que está decidido a resolver un caso y a encontrar el creador de ese malware una revisión de los metadatos bajo estas condiciones lo sería todo ya que con buen tiempo encontraría la información necesaria para dar un resultado verídico.

¿Que es MAT?

MAT por sus siglas en inglés (Metadata Anonymization Toolkit), es un conjunto de herramientas de codigo abierto, escritas en python2 y está creado con la finalidad de extraer, modificar y eliminar los metadatos de la gra mayoría de archivos. Al ser de codigo abierto significa que está disponible para la mayoría de sistemas operativos y puede ser instalado en la mayoría de sistemas Linux con sus gestores de paquetes instalando el paquete mat (ArchLinux: pacman -S mat perl-image-exiftool python2-gobject Debian: apt install mat RedHat: yum install mat). Podemos descargar MAT desde su página web https://mat.boum.org. MAT cuenta con dos tipos de interfaces, una GUI y una CLI.

* MAT en su versión GUI.


* MAT en su versión CLI.


A lo largo de este post usaremos MAT para realizar los procesos descritos en el título.

* Extracción de metadatos usando MAT.

La extracción de los metadatos con MAT es bastante sencilla. Desde su interfaz GUI basta con ir a Añadir -> Seleccionamos el archivo -> Revisamos el estado* -> Damos doble clic sobre el archivo.

* Cuando un archivo tiene metadatos les aparecerá en estado "sucio", de otro modo aparecerá como "limpio".

* Metadatos de un archivo .odt creado con LibreOffice.
 

  

* Metadatos de una imagen .jpg.


En el modo CLI (recomendado) el comando para extraer los metadatos es: mat -d "fichero"

 * Metadatos de un archivo .odt creado con LibreOffice.

 
* Metadatos de una imagen .jpg.


 La cantidad de metadatos que se puede encontrar es muy grande como se pueden dar cuenta desde fechas de creación, modificación hasta nombres y versiones de software. En caso de tener activada la geolocalización en su celular y que la cámara la pueda usar, también aparecerá dentro de los metadatos.

* Eliminación de metadatos usando MAT.

Es igual de sencillo que para extraerlos, lo único que cambia son las órdenes que le damos a MAT. En su versión GUI, realiza el cargue normal del archivo y le damos en "Limpiar", automáticamente cambiará su estado a "Limpio" y podemos comprobarlo dando doble click sobre el, donde no nos arrojará nada.



En su versión CLI quitamos el parámetro -d. El comando sería: mat "archivo".



Con esos pasos están listos para realizar su primera prueba. Lo pueden realizar con cualquier archivo que tengan en casa, de seguro tiene metadatos.

Las demás opciones de MAT explicadas brevemente son:

-a --add2archive - Añadir archivos no soportados por MAT.
-b, --backup - Cuando se ejecuta el comando mat "archivo" crea una copia del archivo limpio con la extensión .cleaned
-c, --check - Revisa el estado del archivo "limpio"/"sucio".
-l, --list - Lista los formatos de archivo soportados por MAT.
-v, --versión - Muestra la versión de MAT instalada.

Con esto terminamos este post, esperamos que haya sido de su agrado y en caso contrario, dejen sus recomendaciones en los comentarios. Síguenos en Facebook, Twitter y unete a nuestra charla en Riot.

0 comentarios:

Publicar un comentario