miércoles, abril 01, 2009

Magia Borrás con OpenOffice.org

El lunes bajé a Málaga en un viaje relámpago de ida y vuelta en el día para preparar las demos de la charla en Blackhat y preparamos esta demo que puedes probar tú en casa para hacer “Magia Borrás”.

Ingredientes

- Un documento ODT con información oculta sobre la impresora del equipo. Puedes probar cualquiera de ellos con la Foca Online. Yo voy a utilizar este bonito documento de Novell: OES_2_BPG_1.4.odt que tiene una impresora almacenada en él y un montón de cosas más.

- Un OpenOffice.

- Una Foca Online [yo lo voy a hacer con la FOCA “Full-edition”]

- Un OOMetaExtractor

- Tiempo de ejecución: 10 minutos

El documento tiene información Oculta

Lo primero que hay que hacer es comprobar que efectivamente este documento de Novell tiene información oculta. Para ello se lo enviamos a la FOCA Online y vemos los resultados. Yo se lo paso a la FOCA y obtenemos cosas que no se deben….


Imagen 1: Un documento completito de información

Como se puede apreciar en la imagen hay información sobre el usuario, sobre una impresora de red, la versión de OpenOffice, metadatos personalizados, un mail e información sobre el sistema operativo (estos chicos de Novell nunca terminarán la migración a Linux…)

Limpiando con OpenOffice

Una vez analizado lo abrimos con OpenOffice y configuramos las opciones de seguridad en el menú Herramientas/Opciones/OpenOffice.org/Seguridad. Seleccionamos las opciones para que nos avise si hay metadatos o información oculta y además para que elimine cualquier información personal.



Imagen 2: Opciones de seguridad

Si cerramos el documento y lo volvemos a analizar obtendremos que, este documento sigue como estaba y continúa guardando toda su información. Claro, no hemos grabado, así que no vale. Hay que grabarlo, para lo que accedemos al menú guardar como y lo grabamos con otro nombre o en otra ubicación. Volvemos a analizarlo.

¡Anda! ¡Mira tú que cosas!

Al volver a analizarlo vemos que es como en una boda, hay algo nuevo, algo viejo y algo de prestado.


Imagen 3: Nuevo conjunto de metadatos e información oculta

Lo nuevo, se ha borrado el nombre del usuario (debe ser la información personal); lo viejo, ha mantenido la información de correo electrónico (porque es parte del archivo) y metadatos personalizados del documento y lo de prestado, se ha actualizado la información de la impresora, el sistema operativo y la versión del producto con mi información (menos mal que no tengo una impresora de red que si no se hubiera grabado la ruta a mi servidor interno sin yo saberlo!).

Cucaerosol

Como esto no puede ser, hay que limpiarlo del tirón con el Cucaerosol, que los mata bien muertos, así que… le pasamos OOMetaExtractor al fichero y lo volvemos a analizar.


Imagen 4: Borrando los metadatos bien borrados

Y si volvemos a analizar el documento nos encontramos que todo está bien limpio, como debe de ser.


Imagen 5: ODT limpio de metadatos e información oculta

Conclusiones

OO no limpia bien los metadatos y lo que es peor, crea falsa sensación de seguridad al creer que los estás limpiando e incluso alguno malo podría utilizar esta característica de actualización de impresoras para enviarte un documento y sacar información de la red interna.

Saludos Malignos!

7 comentarios:

  1. Buenas Maligno!!

    Para estas cosas tenías que poner al final un "TACHAAAAN!!!" al más puro estilo Tamariz ;-)

    Aprovecho que es la primera vez que escribo por aquí para decirte que me parece muy interesante el blog, me parece un buen sitio para los que, como yo, somos unos profanos que nos intentamos meter en este mundillo ;-)

    ResponderEliminar
  2. Pues yo no he visto la version full que imagino que tendra mas opciones que la version web.

    Con esto tambien se podria pillar a los malos no? Los que se dedican a mandar cartas tipo nigerianos,etc,etc

    ResponderEliminar
  3. No veas lo que hace una foquita de nada... y eso que es la pequeña.

    Muy interesante la entrada. Por cierto, a ver cuando os dejáis caer por Málaga, pero para una charla en condiciones ;) ;)

    Saludos.

    ResponderEliminar
  4. Hola maligno!!! te conocí en Bs As a traves del diario de mayor tirada.(Clarìn) Me acuerdo q la nota hablaba de q las cosas no estabn tan bien en Argentina..(en materia seguridad) En fin.. fue genial porq desd ese momento te sigo y aprendo desd tu blog. Me dedico a la informática y esty tratand de llevar adelat un pequeña empresa de servicios informáticos.
    Espero seguir el contacto contigo para que vuelvas a la Argentina!!!
    Se te necesita por estos lares maligno!!!!!

    ResponderEliminar
  5. ¿Para cuando la FOCA Full Edition en plan libre?
    Así se pueden procesar documentos confidenciales sin tener que enviarlos a la web ...

    ResponderEliminar
  6. Jur jur, si ya lo dice el saber popular: no te fíes ni de tu sombra.

    De todas formas, difundir documentos odt o doc editables nunca me ha parecido una idea muy buena. Y más con la de conversores a PDF que hay en día.

    ResponderEliminar
  7. Otra de Magia Borras, pero con güindous:

    Ingredientes:

    - 1 particion con güindous xp jom edision.
    - 1 particion con linux.
    - 1 particion fat32 para intercambiar archivos.

    Todo juntito en la misma maquina.

    Proceso:
    pues nada arrancas güindous y lo hibernas, vuelves a arrancar la maquina, pero esta vez con linux,
    te creas un documento que te cagas, uno super importante que te lleve toda la tarde hacerlo, y lo salvas en la particion fat32 para usarlo en güindous, si quieres también mueves a esa particion archivos importantes que no quieras perder....

    apagamos la maquina y reiniciamos nuevamente con güindous, y atencion...

    TACHAN!!! como esos archivos no estaban cuando güindows se fue a dormir, te los borra, y no están, caput, desaparecieron, nada por aqui, nada por allá con dos cojones y un palito....

    Ni David Copperfield...

    ResponderEliminar