Análisis Forense de metadatos: Ejemplos ejemplares

Uno de los capítulos del libro de Análisis Forense en Windows se centra en la evaluación y análisis de cada uno de los tipos de archivos que aparezcan en la franja temporal de interés en el caso. Para ello, tras generar el Time-Line de documentos modificados, creados, borrados, impresos, etcétera, es necesario pararse a evaluar qué información puede extraerse de cada uno de ellos. Esa fue la motivación principal que nos llevó a crear la Forensic FOCA y generar un time-line dinámico generado sólo con los metadatos descubiertos en un fichero. 

Para ilustrar la importancia de los metadatos en un caso forense, recolecté una serie de incidentes de todo tipo en los que los metadatos son parte protagonista de la historia, y los usé para impartir mi charla sobre Análisis Forense de Metadatos en el Curso de Peritaje Informático de la ANTPJI.

Análisis Forense de Metadatos

Ver más presentaciones de Chema Alonso

Ejemplo 1: Word bytes Tony Blair in the butt:

Tony Blair presentó un documento y afirmó que no lo habían editado. La información de los metadatos demostró como personal de su equipo lo había copiado, editado, etcétera.

- Word Bytes Tony Blair in the butt

Ejemplo 2: El programa electoral del PP

Se publicó en PDF. El análisis de los metadatos mostraba un título del que se había copiado el documento y que los datos de la persona que había publicado el documento. Un becario de las FAES.

- El programa electoral del PP para salir de la crisis lo publica un becario

Ejemplo 3: La ministra de la SGAE

Desde Security By Default analizaron los documentos de la sociedad DAMA, donde trabajaba la ministra Sinde. En los documentos se pudo leer que el propietario de las licencias era la SGAE, lo que dejaba a las claras la relación entre Dama y SGAE.

- La ministra de la SGAE

Ejemplo 4: La piratería de software en una empresa

Analizando los metadatos de los documentos se pueden sacar versiones de software utilizadas internamente. Si la compañía no tiene esas licencias puede ser un escándalo. Yo revisé con FOCA el software de la SGAE.

- ¿Cuánto pagará la SGAE por su Software?

Ejemplo 5: El pliego de condiciones del ayuntamiento de Leganés

Un pliego de condiciones de un concurso fue adjudicado a una empresa. Cuando se analizaron los metadatos del documento que recogía las condiciones del concurso se pudo comprobar que el creador del mismo pertenecía a la empresa que ganó el concurso.

- Pillados: El pliego de condiciones lo redacta la empresa adjudicataria

Ejemplo 6: El pliego de condiciones del Plan de Movilidad del Valle de Egüés

Más de lo mismo. El pliego de condiciones había sido escrito por personal de la empresa adjudicataria del mismo, y un documento en Word guardó estos datos en la creación.

- Dudas sobre el proceso de adjudicación del Plan de Movilidad del Valle de Egüés

Ejemplo 7: El hacker anonymous

El caso de Alex Tapanaris saltó a las noticias. En pleno momento de popularidad de anonymous, una de las notas de prensa de AnonOps mostraba en los metadatos un nombre Alex Tapanaris. Ese nombre apuntaba a un diseñador gráfico, del que analizando los metadatos de su web se podía leer un nickname t4pan. De ahí, a dar con su persona y acabar detenido fue cuestión de poco tiempo.

- ¿Tapaqué?

- Designer arrested over anonymous press release

Ejemplo 8: La foto del alijo de Maria

No eran muchas bolsas, pero que apareciera una foto con droga en la que se publicaba la ubicación GPS de donde se estaba guardando fue muy gracioso.

- Priceless: Detener a un contrabandista por foto de iPhone

Ejemplo 9: El escote de la novia del hacker

Caso similar con una fotografía de la novia de un defacer en Facebook que contenía información GPS de dónde se había tomado, y llevó al FBI a detenerlo.

- Hacker detenido gracias a foto de los pechos de su novia

Ejemplo 10: El asesinato como suicidio

Este no es un caso real, sino una prueba de concepto que se usa para recalcar la resolución de un asesinato mirando las fechas de modificación de un documento. Si la nota de suicidio está modificada después de la hora de la muerte es, por lo menos, sospechoso.

- Caso real 3: Tiempos MAC resuelven un asesinato

Ejemplo 11: La operación Aurora y las cadenas de texto en el malware

Los analistas de malware buscan siempre los metadatos y las cadenas en los binarios. Esa información puede llevar, como cuenta Mikko Hypponen a detener a un criminal en rusia por su matrícula, o conocer que Google estaba bajo un APT con nombre propio: Operación Aurora.  Por supuesto, las cadenas de texto que aparecieron en Stuxnet dieron mucho que hablar a la hora de determinar el origen del ataque.

- Aurora Operation

Ejemplo 12: El ataque dirigido por pendrive

Uno de los usos clásicos de FOCA es el de pintar un mapa interno de la organización para conocer el software que usa cada empleado, con qué servidores trabaja y plantear un ataque dirigido. Hay que tener en cuenta que el Pentagono reconoció un ataque mediante pendrive como uno de los peores.

- Como enfocar un ataque de malware dirigido

Ejemplo 13: El ataque dirigido con ingenio

Que los metadatos dan mucha información del personal interno de la organización es conocido y clave para preparar ataques de ingeniería social. En este caso, conocer quién crea un documento PDF podría ser utilizado para engañar al webmaster y colar un PDF con malware como una nueva versión del documento.

- Cómo meter una webshell con ingenio y metadatos

Ejemplo 14: El caso de la CENATIC y el apoyo al SW Libre

Que la CENATIC, organismo de referencia en el uso del Software Libre, publicara un documento escrito con Mac OS X y Apple Keynote, no habló muy bien de ser la referencia en el uso de software de fuentes abiertas.

- ¡Qué poca vergüenza!

Ejemplo 15: La guía de instalación de Linux... escrita en Word

Algo similar ocurrió/ocurre con la Guía de Instalación de Linux, en la que en el título se podría ver a las claras cómo era un documento escrito con Microsoft Word. ¿Tendrían la licencia?

Ejemplo 16: Seguir los pasos de personas por los metadatos de sus fotografías

Las redes sociales permiten publicar fotografías desde dispositivos móviles. Estos últimos vienen incorporados con un GPS y en las fotos quedan guardados. Usando programas como FOCA o  Creepy es posible seguir los movimientos de personas desde los datos de sus redes sociales.

- Creppy Data
- Cómo localizar a usuarios de flickr y Twitter a través de sus fotos
- Follow and meet Steve Wozniak

Ejemplo 17: Ocultando una webshell en los metadatos

La idea es que una fotografía del sistema puede llegar a contener una webshell completa de un servidor web vulnerado, lo que haría muy difícil su localización. Estos ejemplos muestran como:

- Ocultando el backdoor PHP Weevely en los metadatos de un JPG
- Backdoors web en imágenes: mejorando la técnica

Ejemplo 18: El dato del déficit en la Comunidad de Madrid

Desde la Comunidad de Madrid se aseguró que se comunicó el dato de déficit de la Comunidad el viernes, “en cuanto fue definitivo”. Sin embargo los metadatos reflejaban que el documento se creó 4 días antes.

- La Comunidad de Madrid conocía la desviación del déficit cuatro días antes de anunciarlo

Ejemplo 19: El malware Flame y los metadatos

Flame saltó a la luz de la prensa como un ciber arma, o un software para ataques dirigidos. Uno de los módulos de Flame está centrado totalmente en los metadatos, buscando incluso los datos GPS de las fotografías para ubicar la posición del equipo infectado.

- A Flame le importan los metadatos

Ejemplo 20: La trama Gurtel y las facturas falsas en Excel de Orange Market

La Unidad de Delitos Económicos y Fiscales (UDEF) que investiga la trama Gurtel, acreditó que 200.000 € en tres facturas hechas en Excel eran falsas porque, a pesar de tener meses de distancia entre unas y otras, en los metadatos todas se pudo ver que habían sido creadas con con una diferencia de 3 minutos entre ellas.

- La financiación ilegal de Francisco Camps y los metadatos en el caso Gurtel

Ejemplo 21: La filtración del ERE del PSOE por la Ministra de Empleo

El PSOE presentó un Expediente de Regulación de Empleo en el Ministerio de Empleo, y enseguida acabó en la portada de el diario La Razón. Después se descubrió que la filtración había sido generada por la propia Ministra de Empleo y su vocal-asesora, que aparecía como autora del documento doc adjunto.

- La filtración del ERE del PSOE filtrada por la Ministra de Empleo

Ejemplo 22: Recuperar cámaras digitales robadas por medio de los metadatos

Stolen Camera Finder es un servicio que permite localizar cámaras robadas por medio de los metadatos que estas graban en fotografías que se publican en Internet. Si el ladrón ha publicado alguna foto hecha con esta cámara y ha publicado la foto sin limpiar los metadatos, puede ser encontrada.

- Stolen Camera Finder: Buscar cámaras digitales robadas por medio de los metadatos

Ejemplo 23: La huida de John McAffe

El fundador de la compañía McAffe se encontraba escondido tras huir de las fuerzas de seguridad, que lo habían declarado "Person of Interest", pero invitó a un periodista a entrevistarle. Se publicó una fotografía en el que estaban los dos... con la información GPS, lo que dejaba a las claras que estaba en Guatemala. Luego intentó justificarlo, pero fue un FAIL.

- John McAffe y los metadatos de un iPhone 4S

Ejemplo 24: Las declaraciones de renta de D. Mariano Rajoy

Tras el escándalo de los papeles del ex-contable del PP, Luis Barcenas, en los que supuestamente D. Mariano Rajoy recibió sobres con dinero B, el presidente del gobierno anunció la publicación de sus declaraciones de Renta y Patrimonio. Cuando fueron publicadas estas no estaban limpias de metadatos y en alguna se mostraban modificaciones un par de horas antes de publicarse.

- Metadatos en la declaración de la renta de D. Mariano Rajoy

Ejemplo 25: Metadatos en justificantes de banca online

Mucho documentos PDF que se ofrecen en aplicaciones web se crean de forma dinámica mediante el uso de componentes. En algunos justificantes de banca online se puede leer el software que se utiliza en ellos.

- Metadatos en justificantes de banca online

Limpieza de Metadatos en Microsoft Office, OpenOffice, Apple iWork y fotos

Todos estos incidentes de seguridad son la muestra de porqué en el Esquema Nacional de Seguridad se habla de tomar medidas claras y contundentes para evitar las fugas de información por metadatos, y esta fue la motivación por la que creamos MetaShield Protector.

Si quieres saber más de los metadatos en documentos, además de recomendarte el Libro de Análisis Forense en Windows, puedes leer los siguientes artículos, donde se habla de los riesgos y de las herramientas de limpieza de cada tipo de documento.

- Vídeo Tutorial de Forensic FOCA
- Vídeo Tutorial de MetaShield Protector
- Metadatos en documentos Microsoft Office
- Metadatos e información oculta en documentos OpenOffice
- Metadatos e información oculta en documentos Apple iWork
- Limpieza de metadatos en fotografías desde Mac OS X

Saludos Malignos!