MetaShield 3.0: Control de fugas de información DLP en documentos ofimáticos en entornos empresariales

Ayer fue el día elegido para presentar al público MetaShield 3.0, una familia de productos que hemos creado en Eleven Paths para dotar a las empresas de una solución que permita gestionar el control la información que va los metadatos de los documentos ofimáticos de toda una organización gestionando todos los puntos de fuga de datos. No es una revisión más de nuestro sistema de eliminación de metadatos, información oculta y datos perdidos en documentos, es una solución de gestión para grandes empresas.

Figura 1: Familia de productos de MetaShield 3.0

Dentro de la nueva familia de productos en MetaShield 3.0 hay tres elementos fundamentales para entender cómo se ha diseñado todo el sistema, que son la consola centralizada de administración, los motores de limpieza de metadatos, información oculta y datos perdidos, y las soluciones de interceptación de documentos para aplicar la política de control de fugas de información dentro de la estrategia DLP (Data Loss Prevention) que se haya establecido. Vamos a verlos caso a caso.

MetaShield 3.0 Console

La pieza fundamental de esta solución empresarial es MetaShield 3.0 Console. Desde aquí se definen toda la política DLP que se va a aplicar al control de metadatos, información oculta y datos perdidos de la empresa.

Figura 2: Dahsboard de MetaShield 3.0 Console

Es una solución de administración web desde la que se pueden gestionar los siguientes elementos:

- Plantillas (Templates): Una template es una configuración de qué es lo que se quiere hacer con cada uno de los metadatos que aparezcan. Por ejemplo, una Template podría definir que se borrasen todos los metadatos, información oculta y datos perdidos a excepción de los campos Autor y Compañía que queremos re-escribir. Además, podemos añadir campos extras para, por ejemplo, poner información legal de la compañía.

Figura 3: Configuración de una Template

- Perfiles (Profiles): Un perfil es la configuración completa de una política aplicada a todos los tipos de documentos que se quiera. La idea es que por cada tipo de documento se puede configurar una Plantilla distinta, y el Profile es la configuración de todas y cada una de las Templates asociadas a todos y cada uno de los tipos de documentos.

Figura 4: Configuración de Profiles

- Motores de limpieza (Engines): La solución permite que una compañía decida si los motores de limpieza los quiere tener en el mismo equipo o distribuidos por la red para controlar la carga y la distribución de software. Desde aquí se controlan todos los motores de limpieza de la red y su configuración. 

- Equipos e Instancias: Por cada equipo se pueden tener instalados diferentes herramientas de MetaShield 3.0 para aplicar la configuración de la política DLP en las herramientas que monitorizan los clientes de Outlook, de Internet Information Services, SharePoint, Windows o File Servers. A cada una de esas instancias - o a todas a la vez - se les va a asignar un Perfil (Profile) completo desde la consola centralizada.

Figura 5: Configuración de políticas de equipos e instancias de MetaShield

Con esta herramienta el administrador de la política DLP de la compañía puede gestionar la configuración de toda una red de equipos clientes y servidores desde un único punto central y forzarla a toda la empresa.

MetaShield 3.0 Engine

El motor de limpieza de metadatos, información oculta y datos perdidos de MetaShield 3.0 es un servicio independiente que funciona con un API REST al que se le puede pedir localmente o de forma remota que limpie, cambie o añada metadatos a todos los documentos que soporta.

Figura 6: Configuración de MetaShield 3.0 Engine

Su configuración se gestiona desde la consola de administración a la que esté subyugado. Esta disociación del motor y la herramienta de interceptación de documentos permite una mayor flexibilidad a todos niveles, e integrar nuestras soluciones de limpieza de documentos en otras arquitecturas como Linux, Apache, Mac OS X o WAFs que pueden interceptar el documento y pedir al engine que le de servicio remotamente.

MetaShield 3.0 for IIS

Este es el primer producto que creamos, y en esta evolución ha mejorado su arquitectura. Como se puede ver en la imagen, el Engine sigue siendo de lo más rápido y garantizar que un documento sale de tu empresa con la política DLP que tú hayas definido es cuestión de unos milisegundos nada más, tal y como se puede ver en la siguiente imagen.

Figura 7: MetaShield 3.0 for IIS

En el cálculo de los tiempos se tiene en cuenta todo el proceso que toma la limpieza de los archivos, desde que se accede a él hasta que se retorna limpio al cliente.

MetaShield 3.0 for File Servers

Esta es una solución que permite monitorizar las carpetas de un servidor para garantizar que todos los documentos quedan con la política DLP de la empresa. Para ello, se utilizan "watchers" en el sistema de ficheros y cada vez que un documento es creado o modificado, éste es enviado al Engine para que le aplique la Template que le corresponde según el Profile que le hayan configurado a MetaShield 3.0 for FileServer.

Figura 8: MetaShield 3.0 for File Servers

Además, esta herramienta gestiona la configuración de carpetas de Backup para guardar las configuraciones originales de los documentos - si se desean conservar - en otra ubicación.

MetaShield 3.0 for Outlook

Este es quizá uno de los más cómodos y deseados, basta con activarlo y a partir de ese momento cada correo electrónico que lleve adjuntos, cuando se de a enviar, enviará los ficheros al Engine, los limpiará y saldrán por el correo electrónico con la política DLP que se haya establecido.

Figura 9: MetaShield 3.0 for Outlook

En esta captura se puede ver el proceso de limpieza de los archivos, pero no es necesario ni que se muestre esa pantalla, por lo que el proceso sería totalmente transparente al usuario.

MetaShield 3.0 Client

Esta es la solución de EndPoint que permite a los usuarios algo tan sencillo como seleccionar un documento y con el botón derecho del ratón acceder a la opción de Clean del documento ... y ya está.

Figura 10: MetaShield 3.0 for Clients

Una vez que el documento esté limpio ya se puede copiar en pendrives, enviar por un webmail, firmar digitalmente - por eso de no firmar digitalmente las fugas de información de tu empresa - o lo que se desee hacer con él, pero con la política DLP establecida.

MetaShield 3.0 for SharePoint, MetaShield Forensics, MetaShield Analyzer y PoCs

Además de estas soluciones, están la versión de MetaShield 3.0 for SharePoint y las versiones Stand Alone de todos los productos - sin la consola de administración - , la solución para los equipos de seguridad de las empresas MetaShield 3.0 Forensics y la versión web que tienes disponible online y que te permite ver si un documento tiene metadatos MetaShield Analyzer. Si quieres más información, tienes todos los productos en la nueva Web de MetaShield 3.0 y si quieres probar estos productos, ponte en contacto con nosotros y vemos como armar un piloto.

Saludos Malignos!

Vídeo Tutoriales de MetaShield Protector (Español e Inglés)

Uno de los productos que hemos evolucionado en Eleven Paths ha sido la familia MetaShield Protector. Inicialmente era una solución sólo para limpiar metadatos en documentos publicados en servidores web de Microsoft Internet Information Services (IIS), pero ahora es una familia con 5 productos distintos: MetaShield for IIS, MetaShield for SharePoint, MetaShield for File Servers, MetaShield Forensics - la antigua Forensic Foca evolucionada - y MetaShield for Client.

Para que podáis conocer en un espacio corto de tiempo cómo funcionan los diferentes productos, hemos creado estos vídeo-tutoriales de solo unos minutos de duración. Están narrados en Español y subtitulados en Inglés.

MetaShield for IIS

Este fue el primer producto de la familia, consiguió ya el premio de Red Seguridad al producto de seguridad más innovador en el año 2009, y sirve para, entre otras muchas cosas, aplicar el Esquema Nacional de Seguridad. Su función es evitar las fugas de datos a través de documentos ofimáticos publicados en la web, que hemos visto que afectan incluso a las empresas centradas en productos DLP (Data Loss Prevention) y las del IBEX 35.


Figura 1: MetaShield Protector for IIS

MetaShield for SharePoint

Al igual que el producto anterior, este funciona sobre servicios SharePoint (Windows SharePoint Services, Microsoft SharePoint 2010 y Microsoft SharePoint 2013. Este vídeo explica su funcionamiento.

  Figura 2: MetaShield Protector for SharePoint
MetaShield for FileServers

Esta es una versión nueva, centrada en monitorizar carpetas en servidores de ficheros. Cada vez que un archivo es creado en una de las carpetas monitorizadas, MetaShield for File Servers eliminará todos los metadatos que tenga el archivo y establecerá unos valores personalizados por una plantilla.


Figura 3: MetaShield Protector for FileServers
MetaShield for Clients

Esta es la versión para los equipos Microsoft Windows de escritorio. Basta con hacer clic con el botón derecho sobre el archivo y se accederá a las opciones de borrar metadatos de todos los documentos. Si tienes una estrategia de seguridad en el endpoint con antimalware, además de seguir la recomendación de evitar que se usen las herramientas de esteganografía, es perfecto añadir el despliegue de esta solución en los puestos de trabajo.


Figura 4: MetaShield Protector for Client
MetaShield Forensic

Esta es la antigua Forensic Foca evolucionada. En aquellos casos en los que es fundamental hacer un estudio forense de lo que ha pasado en un equipo, el análisis de los metadatos es clave. En el artículo de Análisis Forense de Metadatos: Ejemplos ejemplares, hay una lista de casos en los que han generado mucha información.


Figura 5: MetaShield Forensics
Si quieres más información de alguno de estos productos, puedes ponerte en contacto con Eleven Paths, y ya sabes que FOCA hace un análisis completo de los metadatos de un sitio web para hacer un buen pentesting y que aún está disponible la versión online de FOCA donde puedes analizar los documentos de un solo archivo.

Saludos Malignos!

MetaShield Protector, el ENS, el IBEX 35 y los líderes DLP

En el año 2008 publicamos la primera versión de FOCA. En aquel momento era una herramienta centrada en buscar fugas de información de empresas a través de los metadatos, la información oculta y los datos perdidos que contenían los archivos públicos de una organización.

Durante varios años evolucionamos la herramienta y las capacidades de la misma, además de impartir cientos de charlas sobre lo importante que era tener cuidado con estas fugas de información. Entre ellas, conferencias en BlackHat Europe 2009 y Defcon 17 con "Tactical Fingerprinting using metadata, hidden info and lost data" y Defcon 18 con "FOCA 2: The FOCA strikes back", además de estar en el BlackHat USA Arsenal de 2010, donde se contaba la demo de cómo, por ejemplo, se podría hacer un ataque dirigido a la Agencia de Misiles Americana usando metadatos.

Figura 1: Metadatos en la Missile Defense Agency

A lo largo del año 2009 comenzamos a crear MetaShield Protector, un software que evitaba la fuga de información en documentos publicados en servidores web Internet Information Services, y en gestores documentales de la familia SharePoint, y nos concedieron el Premio Red Seguridad al producto más innovador en seguridad de ese año.

También ese mismo año, el gobierno empujaba el Esquema Nacional de Seguridad, que sería aprobado al siguiente con una parte del mismo dedicada a las recomendaciones de seguridad respecto de los metadatos, para evitar riesgos asociados a una mala gestión de los mismos.

Figura 2: Programa CLEAR para detectar fugas por metadatos

Visto todos estos movimientos, parecía bastante evidente que las fugas de información por culpa de los metadatos en los documentos públicos tenían los días contados. Esto se podría esperar aún más cuando incluso el gobierno de los Estados Unidos había decidido crear el programa CLEAR para eliminar las fugas de información de las webs, y tenía en cuenta los metadatos.

Nada más lejos de la realidad.

Desde que comenzamos la andadura de Eleven Paths, decidimos comprobar cuántas empresas estaban teniendo cuidado con los metadatos, así que evaluamos diferentes entornos y se hicieron muchos informes internos con datos sectoriales relativos a las fugas de información.

Uno de los informes está referido al número de empresas españolas que cotizan en bolsa dentro del IBEX 35, para ver cuántas de ellas estaba teniendo una política de limpieza de documentos públicos, tal y como recomienda el Esquema Nacional de Seguridad y las buenas prácticas de seguridad.

La prueba fue bastante sencilla, y consistió en descargar documentos publicados en el sitio web del domino principal de la empresa y comprobar si era posible o no obtener datos de ellas. La conclusión fue que de todas ellas fue posible obtener información a través de los metadatos, es decir, que ninguna estaba teniendo una protección o política de seguridad que contemplara estas fugas de información.

Figura 3: Totales de fugas de información en empresas del IBEX 35

La segunda prueba se nos presentó cuando dimos con uno de los cuadrantes mágicos de Gartner, en concreto con el de los líderes en Data Loss Prevention, lo que nos dio un buen grupo de análisis a tener presente. La prueba era más que evidente, sobre todo después de que hubiera leído hace tiempo un artículo sobre algo similar en el que no sé porqué me dio a mí en la nariz que la prueba parecía haberse hecho con nuestra FOCA.

Figura 4: Cuadrante Mágico de Gartner de empresas líderes en DLP

Uno de nuestros compañeros decidió ir a las webs de las empresas líderes en Data Loss Prevention, descargar los documentos públicos y pasarlos por la FOCA, para ver cuáles estaban teniendo cuidado con la fuga de información por culpa de metadatos. La sorpresa es que ninguno de los líderes tenía cuidado alguno de los metadatos.

Figura 5: Resumen de fugas de datos en metadatos por empresas líderes en DLP

Para evitar que el mensaje se distorsionara, evitamos usar nombres asociados a cantidades concretas, pero lo que nos dejaron claras estas pruebas fue que aún el mercado no ha tomado conciencia de todos los riesgos asociados a los metadatos, y por supuesto decidimos seguir trabajando en mejorar nuestros productos de seguridad de este área.

Figura 6: Gráfica resumen por empresas y tipos de datos extraídos

Mejoramos MetaShield for IIS e hicimos una nueva versión de MetaShield for SharePoint, construimos una herramienta que limpia los metadatos de los documentos almacenados en carpetas de un servidor de ficheros, ya sean locales o de red al que hemos llamado MetaShield for File Servers, a la antigua Forensic FOCA la hemos evolucionado al producto que actualmente llamamos MetaShield Forensics y sacamos al mercado una herramienta que bautizamos como MetaShield for Client que pudiera instalar cualquier persona en su equipo para limpiar los metadatos con un solo clic.

Figura 7: Familia de productos MetaShield Protector

Por supuesto, la herramienta Faast también tiene entre sus objetivos la extracción de los metadatos de los documentos públicos para crear inteligencia en el proceso de pentesting persistente, tal y como lo hace FOCA, porque al final, visto lo visto, sigue siendo una fuente de información sensible que hay que tener en cuenta. Y en el interín han pasado más de cinco años, y parece que todo sigue igual. Aún la gente sigue preguntando ¿qué dices le pasó a Tony Blair con los metadatos de un documento? Meta-sorprendente.

Saludos Malignos!

Metadatos en (los otros) ficheros de Microsoft Excel

Los metadatos son un problema de fuga de información que afecta a muchas empresas, de hecho, haciendo una pequeña prueba con las empresas líderes en protección contra fuga de información según el cuadrante mágico de Gartner, pudimos ver que a ellas también les afectaba de manera especialmente sensible en algunos casos.

Figura 1: Fugas de información en empresas líderes en DLP según Gartner

Por eso decidimos continuar evolucionando nuestras herramientas de protección y dentro de las mejoras continuas que estamos introduciendo a la familia de productos de MetaShield Protector para controlar los metadatos decidimos ir a las fugas por los ficheros ofimáticos menos comunes. Hace unas semanas os hablaba de los metadatos perdidos en los archivos perdidos de Microsoft Office y hoy quiero hablaros de Los Otros.

Figura 2: Ficheros XLSB de Microsoft Excel

Los Otros no son nada más que el resto de formatos de ficheros nativos que soporta una aplicación ofimática, y para ejemplarizarlo he elegido Microsoft Excel, que cuenta con la siguiente lista de formatos nativos:

.xl - Hoja de cálculo de Excel
.xla – Complemento de Excel
.xlb – Barra de herramientas de Excel
.xlc - Grafico de Excel
.xld – Base de datos de Excel
.xlk - Copia de seguridad de Excel
.xll - Complemento de Excel
.xlm – Macro de Excel
.xls – Hoja de cálculo de Excel
.xlsb – Hoja de cálculo binario de Excel
.xlshtml – Hoja de cálculo de Excel para Internet formato HTML
.xlsm – Hoja de cálculo de Excel con Macros habilitadas
.xlt – Plantillas de Excel
.xlv – Modulo de Visual Basic de Excel
.xlw – Espacio de trabajo de Excel
.xlw – Libro de Excel

Cuando se hace un hacking con buscadores persiguiendo todos los archivos ofimáticos, estos deben ser buscados también cuando se hace uso del comando ext:, ya que si no nos quedaríamos sin muchas fugas de información que podrían dar información jugosa.

Figura 3: Metadatos en un fichero .XLL analizado con FOCA Online como XLS 

Yo me he parado a ver cómo son todos esos ficheros y he sacado alguna cosa curiosa sobre cada uno de estos tipos que os resumo en esta lista.

- XLA: No tiene metadatos, es código y se puede ver información sólo en los comentarios de los programas VBA y en los nombres de las variables.

- XLB: Sin metadatos, es un archivo de código binario.

- XLC: Codificación binaria. Mismos metadatos que un XLS. 

- XLD: Formato XML sin metadatos.

- XLK: Formato binario. Mismos metadatos que un XLS.

- XLL: Formato binario. Mismos metadatos que un XLS.

- XLM: Codificación OOXML. Mismos metadatos que un XLSX.

- XLS: El formato nativo.

- XLSB: Formato binario. Mismos metadatos que XLS.

- XLSHTML: Codificación HTML.

- XLSM: Codificación OOXML. Mismos metadatos que XMLX.

- XLT: Codificación binaria. Mismos metadatos que XLS.

- XLV: Codificación binaria. Mismos metadatos que XLS.

- XLW: Codificación binario. Mismos metadatos que XLS.

Como se puede ver, casi todos los formatos ofrecen metadatos que pueden ser extraídos con las herramientas como FOCA Online, o MetaShield Forensics, solo hay que buscarlos de ellos cuando se esté realizando la fase de footprinting y fingerprinting de un pentesting y preocuparse de ellos cuando se esté realizando un proceso de Data Loss Prevention. En la familia MetaShield Protector hemos creado una versión para IIS, otra para SharePoint, otra para File Servers y otra para usar en los clientes Windows. Cuando tenga un poco más de tiempo os paso un resumen similar de "Los Otros" de Microsoft Word y Power Point.

Saludos Malignos!

Revisiones e información oculta en ficheros Excel OOXML

Como sabéis, estamos trabajando bastante en la nueva gama de productos MetaShield Protector, y la verdad es que están apareciendo muchos pequeños detalles nuevos que antes no teníamos contemplados, como los archivos perdidos de Microsoft Office, las pitas del los documentos Apple iWork, la no existencia de limpiar documentos en Microsoft Office 2011 para Mac o esta pequeña historia que os voy a contar sobre las revisiones de documentos y la información oculta en los ficheros de Excel OOXML.

OOXML

El formato de fichero OOXML es que Microsoft introdujo en la versión de Microsoft Office 2007, que se estandarizó como estándar ISO en la versión Microsoft Office 2010 y que es el formato nativo también en la versión Microsoft Office 2008 para Mac, Microsoft Office 2011 para Mac y Microsoft Office 2013.

Este formato de archivo está compuesto por un conjunto de carpetas y documentos escritos en XML, junto con ficheros de recursos tales como imágenes o material multimedia comprimidos. Basta con descomprimir el fichero con cualquier herramienta de descompresión y se podrá acceder a todo su contenido.

Se reconocen - principalmente, aunque ya os contaré alguna cosa más en el futuro - por tener las extensiones acabadas en x. Es decir, en las aplicaciones principales serían extensión xlsx para Microsoft Excel, docx para Microsoft Word y pptx para Microsoft Power Point.

Las Revisiones en Microsoft Excel

La Revisión de documentos en Microsoft Office permite que el propio documento almacene los cambios que se van haciendo en un determinado documento a lo largo de su edición. Esto hará que el archivo vaya guardando un histórico de cambios con la información de cuándo, qué y quién de todos y cada uno de las modificacioes que se han realizado. Para ello, hay que activar el uso compartido del documento, tal y como se puede ver en esta captura de Microsoft Excel 2011 para Mac.

Figura 1: Activar uso compartido de este documento

El número de cambios que se irán almacenando en una carpeta llamada xl/revisions dentro del archivo comprimido en formato xlsx está definido por las siguientes opciones que se pueden ver. Esto, es del todo similar en las versiones de Microsoft Office para Mac y Microsoft Office para Windows.

Figura 2: Opciones de guardado de cambios en el documento OOXML

Una vez que están aplicados, el usuario puede activar que se vean las partes que han sido modificadas, síntoma principal de la existencia de las revisiones dentro del documento, y por tanto de la información que había antes de que se hicieran los últimos retoques.

Figura 3: Resaltar los cambios en el documento Excel OOXML

Así, por ejemplo, si un usuario ha añadido un valor a una celda, borrado un dato o modificado el valor de cualquier elemento, se pueden ver unas pequeñas marcas en todas ellas. 

Figura 4: Las celdas con cambios aparecen marcadas con un triángulo

La aplicación de las revisiones y la información oculta

Una vez que el documento está en versión final, basta con irse al menú correspondiente y seleccionar Aceptar o Rechazar Cambios para tomar una decisión sobre qué debe prevalecer en la versión final de la hoja de cálculo que se está editando.

Figura 5: Aceptar o Rechazar cambios en Microsoft Excel 2011 para Mac

Se elige el tipo de cambios que desean ser revisados en este momento, pudiendo dejarse cambios sin revisar para más tarde.

Figura 6: Selección de cambios a validar o no

Una vez se comienza este proceso, se podrán aprobar o rechazar uno a uno o todos a la vez, todos lo cambios del documento.

Figura 7: Aprobación o Rechazo de un cambio. Se puede hacer para todos.

Cuando esto ha terminado, es cuando puede quedar pendiente la información oculta. Si se selecciona otra vez la opción de resaltar cambios, se obtendrá un mensaje de error que alerta de que no hay cambios que aplicar o rechazar, dejándose de ver esa marca en las celdas que han sido manipuladas.

Figura 8: No hay cambios pendientes. No se muestra ninguna alerta visual.

Si un usuario inexperto guarda el documento en Microsoft Excel 2011 para Mac, con la opción de Eliminar datos personales al guardar, puede caer en la falsa sensación de que no hay ninguna información que pueda extraerse del archivo, y por lo tanto enviarlo a su destinatario.

Sin embargo, si hubiera tenido la opción de Inspeccionar Documento que está disponible en Microsoft Excel 2007, 2010 y 2013 para Windows, podría haberse dado cuenta de que hay coas que no están bien, y que además no se borran de forma tan sencilla, pues como puede verse, la opción de limpiar esos datos no se encuentra en el panel.

Figura 9: Inspector de documentos en Microsoft Office 2013 para Windows

Si analizamos el fichero manualmente con un descompresor, podremos ver que aún estando las revisiones aplicadas, el fichero contiene todos los cambios que se han hecho en ese archivo desde el momento en que se activaron las Revisiones.

Figura 10: Revisiones en un fichero XLSX aún compartido

¿Cómo solucionarlo?

Pues la opción es simple, a pesar de no ser demasiado intuitiva, ya que cuando se aplican las revisiones debería preguntar automáticamente si se quiere dejar de hacer un uso compartido del documento, pero no lo hace. Para ello hay que ir manualmente al mismo menú en el que se activaron las revisiones, donde ahora aparecerá la información de las veces que se ha editado, y quitar su uso compartido.

Figura 11: Hay que dejar de compartir el documento para borrar las revisiones

Eso disparará una alerta anunciando que las revisiones van a ser eliminadas y que el historial de cambios va a ser eliminado, que es justo lo que queremos cuando vamos a enviar un documento a un cliente, proveedor o persona ajena a la organización.

Figura 12: La opción eliminará la información de cambios definitivamente

Si ahora se analiza el archivo manualmente, se podrá ver que las revisiones han dejado de estar dentro del archivo xlsx, y ya no se puede extraer de ellas ninguna información útil o comprometedora del dueño del documento.

Figura 13: La carpeta de revisiones ha desaparecido

¿Qué se debería hacer?

En Microsoft Office para Mac es fundamental que se introduzca la opción de Inspeccionar Documento, para eliminar la posibilidad de dejar rutas a plantillas o versiones de software - por poner algún ejemplo - dentro de ellos. Además, se tendría una alerta de que hay información de revisiones cuando se terminan de aplicar pero no se descomparte el fichero, o al menos borrar los cambios aplicados, ya que no tiene sentido almacenarlos.

En segundo lugar, el proceso de aplicar cambios y descompartir debería estar más enlazado. Si no se desea que un proceso de aplicar revisiones implique el descompartir, se tendría que dar al menos esa opción como alerta.

Por último, cuando salen las alertas en Microsoft Office para Windows en el cuadro de resultados de Inspeccionar Documentos, debería estar también la opción de descompartir el documento, porque no es fácil para los usuarios.

Como esto no se hace habitualmente, te invito a que busques Revisiones en ficheros de Excel entre los documentos que te han enviado o simplemente que están publicados en Internet, para que te des cuenta de que esta opción no está ayudando a proteger a los usuarios correctamente.

Saludos Malignos!

Limpiar metadatos en Microsoft Office 2011 para Mac

En la versión de Microsoft Office 2013 para Windows existe una opción muy útil para evitar problemas con metadatos, información oculta y datos perdidos. Esa opción, que se llama Inspeccionar Documento y está dentro del menú Preparar, avisa de absolutamente cualquier dato que pueda irse junto con tu documento, además de dar la posibilidad de eliminarlos con un solo clic.

Figura 1: Opción de Inspeccionar Documento en Microsoft Office 2007 para Windows

Por el contrario, en Microsoft Office 2011 para Mac ese menú no está disponible, y lo único que existe es una opción en las Preferencias / Seguridad de cada aplicación - en este caso Word - para que se eliminen los datos personales al guardar el documento.

Figura 2: Opciones de Privacidad en Microsoft Office 2011 para Mac

Al ver esto, rápidamente me acordé de que esta era exactamente la misma opción que había en OpenOffice.org y que tan mal funcionaba, razón por la que acabamos creando el proyecto Open Source de OOMetaExtractor para limpiar correctamente este tipo de documentos ODF.

Figura 3: OOMetaExctrator para limpiar metadatos en documentos ODF

Para probar el funcionamiento de esta opción en Microsoft Office 2011 para Mac decidí utilizar el famoso documento de Tony Blair que tantos quebraderos de cabeza le propinó por culpa de los metadatos. En esta primera imagen se puede ver el documento original Blair.doc analizado por MetaShield Forensics - la antigua Forensic FOCA - con sus respectivos metadatos, información oculta y datos perdidos.

Figura 4: Documento Blair.doc original analizado con MetaShield Forensics

Ahora se hace una copia de este documento, y se guarda con Microsoft Office para Mac 2011 con la opción de eliminar datos personales al guardar.

Figura 5: Guardamos con Microsoft Office 2011 para Mac para limpiar la información oculta

Y de nuevo volvemos a pasarlo por MetaShield Forensics donde se puede observar que no todos los metadatos han sido eliminados. Entre la lista de datos aparece - en este caso - la plantilla que se está utilizando, la versión de software con que se manipuló el documento, y la fecha de impresión original, que como veis es anterior a la fecha de creación del documento dejando una muestra clara de esta manipulación realizada.

Figura 6: Documento Blair.doc limpiado con Microsoft Office 2011 para Mac

Para comprobar como debería funcionar esta opción correctamente, en este tercer caso utilizamos MetaShield Client, una versión para los sistemas operativos Windows que permite eliminar todos los metadatos de cualquier documento ofimático (PDF, Microsoft Office binarios, OOXML, ODF, etcétera) utilizando las opciones del botón derecho.

Figura 7: Limpiando el documento Blair.doc con MetaShield Client

Una vez limpio con MetaShield Client, utilizamos la herramienta MetaShield Forensics para ver qué información aparece, y como podéis ver sale limpio como la patena.

Figura 8: Análisis de Blair.doc con MetaShield Forensics tras ser limpiado con MetaShield Client

Al final, los metadatos pueden revelar mucha información, y en cualquier Análisis Forense Digital pueden resultar cruciales para responder a algunas preguntas. En el caso de Microsoft Office 2011 para Mac no parece tener mucho sentido que estando esta opción de Inspeccionar documento de serie desde Microsoft Office 2007 para Windows, no la hayan incorporado para solucionar el problema de raíz también en sus versiones para Mac OS X.

Saludos Malignos!