jueves, abril 26, 2012

Análisis Forense de metadatos: Ejemplos ejemplares

Uno de los capítulos del libro de Análisis Forense en Windows se centra en la evaluación y análisis de cada uno de los tipos de archivos que aparezcan en la franja temporal de interés en el caso. Para ello, tras generar el Time-Line de documentos modificados, creados, borrados, impresos, etcétera, es necesario pararse a evaluar qué información puede extraerse de cada uno de ellos. Esa fue la motivación principal que nos llevó a crear MetaShield Forensics y generar un time-line dinámico generado sólo con los metadatos descubiertos en un fichero. 

Para ilustrar la importancia de los metadatos en un caso forense, recolecté una serie de incidentes de todo tipo en los que los metadatos son parte protagonista de la historia, y los usé para impartir una charla sobre Análisis Forense de Metadatos.

Ejemplo 1: Word bytes Tony Blair in the butt:

Tony Blair presentó un documento y afirmó que no lo habían editado. La información de los metadatos demostró como personal de su equipo lo había copiado, editado, etcétera.


Ejemplo 2: El programa electoral del PP

Se publicó en PDF. El análisis de los metadatos mostraba un título del que se había copiado el documento y que los datos de la persona que había publicado el documento. Un becario de las FAES.


Ejemplo 3: La ministra de la SGAE

Desde Security By Default analizaron los documentos de la sociedad DAMA, donde trabajaba la ministra Sinde. En los documentos se pudo leer que el propietario de las licencias era la SGAE, lo que dejaba a las claras la relación entre Dama y SGAE.


Ejemplo 4: La piratería de software en una empresa

Analizando los metadatos de los documentos se pueden sacar versiones de software utilizadas internamente. Si la compañía no tiene esas licencias puede ser un escándalo. Yo revisé con FOCA el software de la SGAE.


Ejemplo 5: El pliego de condiciones del ayuntamiento de Leganés

Un pliego de condiciones de un concurso fue adjudicado a una empresa. Cuando se analizaron los metadatos del documento que recogía las condiciones del concurso se pudo comprobar que el creador del mismo pertenecía a la empresa que ganó el concurso.


Ejemplo 6: El pliego de condiciones del Plan de Movilidad del Valle de Egüés

Más de lo mismo. El pliego de condiciones había sido escrito por personal de la empresa adjudicataria del mismo, y un documento en Word guardó estos datos en la creación.


Ejemplo 7: El hacker anonymous

El caso de Alex Tapanaris saltó a las noticias. En pleno momento de popularidad de anonymous, una de las notas de prensa de AnonOps mostraba en los metadatos un nombre Alex Tapanaris. Ese nombre apuntaba a un diseñador gráfico, del que analizando los metadatos de su web se podía leer un nickname t4pan. De ahí, a dar con su persona y acabar detenido fue cuestión de poco tiempo.


Ejemplo 8: La foto del alijo de Maria

No eran muchas bolsas, pero que apareciera una foto con droga en la que se publicaba la ubicación GPS de donde se estaba guardando fue muy gracioso.


Ejemplo 9: El escote de la novia del hacker

Caso similar con una fotografía de la novia de un defacer en Facebook que contenía información GPS de dónde se había tomado, y llevó al FBI a detenerlo.


Ejemplo 10: El asesinato como suicidio

Este no es un caso real, sino una prueba de concepto que se usa para recalcar la resolución de un asesinato mirando las fechas de modificación de un documento. Si la nota de suicidio está modificada después de la hora de la muerte es, por lo menos, sospechoso.


Ejemplo 11: La operación Aurora y las cadenas de texto en el malware

Los analistas de malware buscan siempre los metadatos y las cadenas en los binarios. Esa información puede llevar, como cuenta Mikko Hypponen a detener a un criminal en rusia por su matrícula, o conocer que Google estaba bajo un APT con nombre propio: Operación Aurora.  Por supuesto, las cadenas de texto que aparecieron en Stuxnet dieron mucho que hablar a la hora de determinar el origen del ataque.


Ejemplo 12: El ataque dirigido por pendrive

Uno de los usos clásicos de FOCA es el de pintar un mapa interno de la organización para conocer el software que usa cada empleado, con qué servidores trabaja y plantear un ataque dirigido. Hay que tener en cuenta que el Pentagono reconoció un ataque mediante pendrive como uno de los peores.


Ejemplo 13: El ataque dirigido con ingenio

Que los metadatos dan mucha información del personal interno de la organización es conocido y clave para preparar ataques de ingeniería social. En este caso, conocer quién crea un documento PDF podría ser utilizado para engañar al webmaster y colar un PDF con malware como una nueva versión del documento.


Ejemplo 14: El caso de la CENATIC y el apoyo al SW Libre

Que la CENATIC, organismo de referencia en el uso del Software Libre, publicara un documento escrito con Mac OS X y Apple Keynote, no habló muy bien de ser la referencia en el uso de software de fuentes abiertas.


Ejemplo 15: La guía de instalación de Linux... escrita en Word

Algo similar ocurrió/ocurre con la Guía de Instalación de Linux, en la que en el título se podría ver a las claras cómo era un documento escrito con Microsoft Word. ¿Tendrían la licencia?


Ejemplo 16: Seguir los pasos de personas por los metadatos de sus fotografías

Las redes sociales permiten publicar fotografías desde dispositivos móviles. Estos últimos vienen incorporados con un GPS y en las fotos quedan guardados. Usando programas como FOCA o  Creepy es posible seguir los movimientos de personas desde los datos de sus redes sociales.

- Creppy Data
- Cómo localizar a usuarios de flickr y Twitter a través de sus fotos
- Follow and meet Steve Wozniak

Ejemplo 17: Ocultando una webshell en los metadatos

La idea es que una fotografía del sistema puede llegar a contener una webshell completa de un servidor web vulnerado, lo que haría muy difícil su localización. Estos ejemplos muestran como:

- Ocultando el backdoor PHP Weevely en los metadatos de un JPG
- Backdoors web en imágenes: mejorando la técnica

Ejemplo 18: El dato del déficit en la Comunidad de Madrid

Desde la Comunidad de Madrid se aseguró que se comunicó el dato de déficit de la Comunidad el viernes, “en cuanto fue definitivo”. Sin embargo los metadatos reflejaban que el documento se creó 4 días antes.

- La Comunidad de Madrid conocía la desviación del déficit cuatro días antes de anunciarlo

Ejemplo 19: El malware Flame y los metadatos

Flame saltó a la luz de la prensa como un ciber arma, o un software para ataques dirigidos. Uno de los módulos de Flame está centrado totalmente en los metadatos, buscando incluso los datos GPS de las fotografías para ubicar la posición del equipo infectado.

- A Flame le importan los metadatos

Ejemplo 20: La trama Gurtel y las facturas falsas en Excel de Orange Market

La Unidad de Delitos Económicos y Fiscales (UDEF) que investiga la trama Gurtel, acreditó que 200.000 € en tres facturas hechas en Excel eran falsas porque, a pesar de tener meses de distancia entre unas y otras, en los metadatos todas se pudo ver que habían sido creadas con con una diferencia de 3 minutos entre ellas.

- La financiación ilegal de Francisco Camps y los metadatos en el caso Gurtel

Ejemplo 21: La filtración del ERE del PSOE por la Ministra de Empleo

El PSOE presentó un Expediente de Regulación de Empleo en el Ministerio de Empleo, y enseguida acabó en la portada de el diario La Razón. Después se descubrió que la filtración había sido generada por la propia Ministra de Empleo y su vocal-asesora, que aparecía como autora del documento doc adjunto.

- La filtración del ERE del PSOE filtrada por la Ministra de Empleo

Ejemplo 22: Recuperar cámaras digitales robadas por medio de los metadatos

Stolen Camera Finder es un servicio que permite localizar cámaras robadas por medio de los metadatos que estas graban en fotografías que se publican en Internet. Si el ladrón ha publicado alguna foto hecha con esta cámara y ha publicado la foto sin limpiar los metadatos, puede ser encontrada.

- Stolen Camera Finder: Buscar cámaras digitales robadas por medio de los metadatos

Ejemplo 23: La huida de John McAfee

El fundador de la compañía McAfee se encontraba escondido tras huir de las fuerzas de seguridad, que lo habían declarado "Person of Interest", pero invitó a un periodista a entrevistarle. Se publicó una fotografía en el que estaban los dos... con la información GPS, lo que dejaba a las claras que estaba en Guatemala. Luego intentó justificarlo, pero fue un FAIL.

- John McAfee y los metadatos de un iPhone 4S

Ejemplo 24: Las declaraciones de renta de D. Mariano Rajoy

Tras el escándalo de los papeles del ex-contable del PP, Luis Barcenas, en los que supuestamente D. Mariano Rajoy recibió sobres con dinero B, el presidente del gobierno anunció la publicación de sus declaraciones de Renta y Patrimonio. Cuando fueron publicadas estas no estaban limpias de metadatos y en alguna se mostraban modificaciones un par de horas antes de publicarse.

- Metadatos en la declaración de la renta de D. Mariano Rajoy

Ejemplo 25: Metadatos en justificantes de banca online

Mucho documentos PDF que se ofrecen en aplicaciones web se crean de forma dinámica mediante el uso de componentes. En algunos justificantes de banca online se puede leer el software que se utiliza en ellos.

- Metadatos en justificantes de banca online

Ejemplo 26: Los metadatos en la contabilidad filtrada del Partido Popular

El 8 de Julio de 2013 se filtraron en Internet todos los archivos digitalizados en formato PDF con los documentos que componen la contabilidad del Partido Popular desde el año 1990 al año 2013. Más de 400 documentos en formato PDF que no habían sido limpiados de metadatos. Aquí tienes el análisis con la Forensic FOCA.

- Análisis Forense de los metadatos en la contabilidad filtrada del Partido Popular

Ejemplo 27: El documento confidencial en el caso de la Infanta

Según la revista Interviú, en un documento confidencial que utilizó la defensa de la Infanta para preparar su comparecencia ante el juez, se podía comprobar por medio de los metadatos que éste había sido creado directamente por el propio fiscal anti-corrupción, lo que demostraría que el fiscal ayudaba a la Infanta.

- Los metadatos del documento de Intreviú en el caso Noos

Ejemplo 28: Los metadatos en las empresas líderes de DLP y del IBEX 35

Como parte de un par de estudios, se decidió mirar si las empresas líderes en proyectos de DLP (Data Loss Prevention) según el cuadrante de Gartner y las empresas del IBEX 35 estaban teniendo cuidado con la fuga de metadatos en los documentos publicados en la web. La respuesta fue abrumadoramente no.

- Los metadatos en las empresas líderes en DLP y en el IBEX 35

Ejemplo 29: Los metadatos en el SMS del supuesto pasajero del avión de Malaysia Airlines 370

En Internet apareció un supuesto mensaje SMS enviado por un pasajero que iba en el vuelo perdido de Malaysia Airlines 370. Dicho mensajes llevaba una fotografía negra con la ubicación EXIF de dónde se había tomado y en la que apuntaba a una base militar americana. Todo parece indicar que es una broma de mal gusto, pero aquí está explicado.

- La historia de los metadatos en el mensaje del pasajero del avión perdido de Malaysia Airlines 370 que vino en iPhone 5

Ejemplo 30: El asesino en serie BTK fue descubierto por los metadatos

En una de las cartas que envió el asesino en serie preguntó si podrían seguir el origen en el que había sido utilizado un disquete, a lo que la Policía contesto que no era posible hacer eso. Confiado, el 16 de Febrero de 2005, BTK Killer envió un sobre a una cadena de televisión en el que puso un disquete. Dentro del disquete de 3 1/2" y 1.44 MB se pudo recuperar un fichero borrado en formato Microsoft Word que se le había pasado a BTK Killer por no hacer un borrado seguro de los documentos. El archivo recuperado .DOC tenía metadatos, y se pudieron obtener datos suficientes para poner sobre la mesa un nuevo sospechoso que a la postre sería el asesino.

- El asesino en serie BTK fue descubierto por los metadatos

Ejemplo 31: Asesino descubierto por los metadatos de recarga del smartphone

Un homicida alegaba que estaba durmiendo a la hora en que su mujer fue asesinada. Para justificar mejor su coartada, a la mañana siguiente envió mensajes de texto a su esposa para dejar claro que él no sabía nada de nada. Sin embargo, el análisis forense del smartphone reveló que mientras que él decía que estaba durmiendo, realmente había conectado el terminal al cargar la batería. Acto consciente que no hace nadie dormido.

- Asesino condenado por los metadatos de cargar el smartphone

Ejemplo 32: Sé donde vive tu gato

Proyecto online geoposiciona fotos de gatos en las rede sociales, dejando al descubierto dónde vive cada uno de los dueños de los mininos.

- Más de 20.000 fotos de gatos revelan dónde viven sus dueños en España.

Ejemplo 33: Los clientes de FinFisher

En este caso se consiguió hackear un servidor de la empresa Gamma, responsable del desarrollo de FinFisher, un troyano vendido a gobiernos para realizar intrusiones en equipos bajo autorización judicial. Al recuperar los datos del servidor hackeado se pudo saber el nombre de algunos clientes por los nombres que aparecían en los metadatos de los ficheros adjuntos de algunos documentos.

- Se filtra el código y lo clientes de FinFisher

Ejemplo 34: El ministro Montoro, los metadatos en el informe de Hacienda

Se filtra a los medios de comunicación un argumentario desde el Ministerio de Economía y Hacienda pedido por el juez que investiga al PP para saber si es delito o no lo que ha hecho el Partido Popular. Supuestamente ese argumentario habría sido hecho por un asesor personal del Ministro Montoro - del Partido Popular -.

- El ministro Montoro, los metadatos en el informe de Hacienda y las conspiraciones en tiempo de Elecciones

Ejemplo 35: Un bombardeo de un cuartel general de ISIS por un selfie

Según un comandante de las fuerzas aéreas del ejercito de los Estados Unidos, se pudo localizar la ubicación de un cuartel general de ISIS gracias a la información que se extrajo de un selfie de uno de los miembros del grupo publicado en Internet. Todo apunta a que fueron los metadatos, pero no se confirmó o desmintió el origen de la información.

- Un cuartel general de ISIS descubierto por un selfie en Internet.

Limpieza de Metadatos en Microsoft Office, OpenOffice, Apple iWork y fotos

Todos estos incidentes de seguridad son la muestra de porqué en el Esquema Nacional de Seguridad se habla de tomar medidas claras y contundentes para evitar las fugas de información por metadatos, y esta fue la motivación por la que creamos MetaShield Protector.

MetaShield Protector for Outlook: Limpieza automática de metatados

Si quieres saber más de los metadatos en documentos, además de recomendarte el Libro de Análisis Forense en Windows, puedes leer los siguientes artículos, donde se habla de los riesgos y de las herramientas de limpieza de cada tipo de documento.

- MetaShield 3.0: Cómo funciona la limpieza de metadatos en la empresa
  Vídeo Tutoriales de MetaShield Protector 
- Libro de Pentesting con FOCA
- Metadatos en documentos Microsoft Office
- Metadatos e información oculta en documentos OpenOffice
- Metadatos e información oculta en documentos Apple iWork
- Limpieza de metadatos en fotografías desde Mac OS X

Saludos Malignos!

7 comentarios:

  1. hola maligno queria invitarte a dar una conferencia en un intituto de me maxico en cuanto nos saldria llevarte aya para que dieras la conferencia sera un honor tenerte por aya contestas pronto..........

    ResponderEliminar
  2. Anónimo 1, comienza por escribir sin faltas...

    ResponderEliminar
  3. Puta, zorra, tetas!!!

    ResponderEliminar
  4. Ya sólo falta el libro con todo esto...Triunfa seguro

    ResponderEliminar
  5. ¿Y como se pudo saber que el servidor web de la Free Software Fundation era un Ubuntu?

    ResponderEliminar
  6. Pregunta: no se pueden obtener metadatos de fotos de facebook cierto?

    ResponderEliminar