jueves, noviembre 20, 2008

Metadatos e Información Oculta en documentos de OpenOffice (V de VI)
por Enrique Rando y Chema Alonso

***************************************************************************************
Artículo publicado en PCWORLD Octubre de 2008
- Metadatos e Información Oculta en documentos de OpenOffice (I de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (II de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (III de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (IV de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (V de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (VI de VI)
***************************************************************************************

Metadatos personalizados

Los metadatos, como ha sido dicho en la introducción de este documento no tienen un carácter nocivo en sí, y por el contrario son de gran utilidad en sistemas documentales. En OpenOffice, el usuario tiene la posibilidad de incluir metadatos personalizados en sus documentos y así extender la información del documento utilizando la opción “Propiedades” del menú “Archivo”. Además de los metadatos personalizados, el documento puede almacenar información en la descripción del documento que, si es creado desde otro documento anterior, sea heredada y muestre datos no deseados.


Figura 23: Metadatos personalizados

Es posible que parte de esta información sea utilizada como herramienta de trabajo en el proceso de elaboración del documento y puede que incluya opiniones personales o corporativas, más o menos políticamente correctas, identificaciones y otros datos personales, referencias a fuentes documentales, etc… Toda esta información debe ser revisada antes de que el documento se haga público.

Modelos de documentos y combinación con bases de datos

Una de las características más importantes que ofrecen los documentos ofimáticos es la posibilidad de generar modelos que, combinados con bases de datos, permiten generar documentos personalizados de forma automatizada. Estos modelos, especialmente diseñados para la combinación de correspondencia, deben ser objeto de especial consideración, ya que contienen información que permite describir la base de datos de la que toman la información. Toda la información relativa a la combinación de correspondencia, y por tanto a la base de datos, puede ser encontrada en el archivo settings.xml. En él aparece información sobre el nombre de la base de datos y la tabla utilizada para la combinación.


Figura 24: Información de la base de datos en settings.xml

Y en el archivo content.xml es almacenado el nombre de la base de datos, la tabla y los campos:


Figura 25: Información de campos, tablas y base de datos en content.xml

Sin embargo, como puede observarse en estos archivos, la información relativa a la conexión a la base de datos no se encuentra en el documento ODF. Esta información, que podía mostrar la ruta a un fichero de bases de datos o las credenciales para un servidor, se almacena en un archivo del perfil del usuario llamado DataAccess.xcu que debe ser objeto de especial protección por parte del usuario.

C:\ Documents and Settings\ CUENTA_DE_USUARIO\ Datos de programa\ OpenOffice.org2\ user\ registry\ data\ org\ openoffice\ Office\ DataAccess.xcu

A pesar de que no se publiquen los credenciales de la conexión a la base de dato, la información que almacena el documento podría ser suficiente para ayudar a un posible atacante a preparar ataques a la base de datos, bien directos, bien a través de técnicas de SQL Injection sobre la web corporativa.

Versiones de documentos

Al igual que otros paquetes ofimáticos, OpenOffice permite guardar distintas versiones de un mismo documento. Esta característica es de gran utilidad en entornos de trabajo cooperativo, pues permite evaluar la forma en que el documento ha sido modificado y, si fuera necesario, recuperar el estado anterior tras una manipulación incorrecta. Dentro del menú “Archivo” se encuentra la opción “Versiones” que permite guardar la versión actual del documento o establecer la acción a realizar cada vez que se trabaje con él, permitiendo guardar una nueva versión cada vez.


Figura 26: Versiones de documento

Dentro de un documento ODF que contiene distintas versiones anteriores guardadas se puede encontrar dos focos importantes de información. En primer lugar, un archivo llamado VersionList.xml con información sobre quién guardó, y cuándo lo hizo, cada distinta versión:


Figura 27: Archivo VersionList.xml con información de las versiones

En segundo lugar, todas las distintas versiones del documento se almacenan en una carpeta llamada “Versions”. Para cada una de ellas, tendremos la estructura completa de un documento ODF de OpenOffice, es decir, todo lo visto hasta el momento se volverá a aplicar a cada una de las versiones pues contiene los archivos meta.xml, settings.xml, content.xml, etc…


Figura 28: Carpeta Versions en documento ODT

***************************************************************************************
Artículo publicado en PCWORLD Octubre de 2008
- Metadatos e Información Oculta en documentos de OpenOffice (I de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (II de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (III de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (IV de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (V de VI)
- Metadatos e Información Oculta en documentos de OpenOffice (VI de VI)
***************************************************************************************

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares