Mostrando entradas con la etiqueta iWork. Mostrar todas las entradas
Mostrando entradas con la etiqueta iWork. Mostrar todas las entradas

viernes, mayo 29, 2015

MetaShield 3.0: Control de fugas de información DLP en documentos ofimáticos en entornos empresariales

Ayer fue el día elegido para presentar al público MetaShield 3.0, una familia de productos que hemos creado en Eleven Paths para dotar a las empresas de una solución que permita gestionar el control la información que va los metadatos de los documentos ofimáticos de toda una organización gestionando todos los puntos de fuga de datos. No es una revisión más de nuestro sistema de eliminación de metadatos, información oculta y datos perdidos en documentos, es una solución de gestión para grandes empresas.

Figura 1: Familia de productos de MetaShield 3.0

Dentro de la nueva familia de productos en MetaShield 3.0 hay tres elementos fundamentales para entender cómo se ha diseñado todo el sistema, que son la consola centralizada de administración, los motores de limpieza de metadatos, información oculta y datos perdidos, y las soluciones de interceptación de documentos para aplicar la política de control de fugas de información dentro de la estrategia DLP (Data Loss Prevention) que se haya establecido. Vamos a verlos caso a caso.

MetaShield 3.0 Console

La pieza fundamental de esta solución empresarial es MetaShield 3.0 Console. Desde aquí se definen toda la política DLP que se va a aplicar al control de metadatos, información oculta y datos perdidos de la empresa.

Figura 2: Dahsboard de MetaShield 3.0 Console

Es una solución de administración web desde la que se pueden gestionar los siguientes elementos:
- Plantillas (Templates): Una template es una configuración de qué es lo que se quiere hacer con cada uno de los metadatos que aparezcan. Por ejemplo, una Template podría definir que se borrasen todos los metadatos, información oculta y datos perdidos a excepción de los campos Autor y Compañía que queremos re-escribir. Además, podemos añadir campos extras para, por ejemplo, poner información legal de la compañía.
Figura 3: Configuración de una Template
- Perfiles (Profiles): Un perfil es la configuración completa de una política aplicada a todos los tipos de documentos que se quiera. La idea es que por cada tipo de documento se puede configurar una Plantilla distinta, y el Profile es la configuración de todas y cada una de las Templates asociadas a todos y cada uno de los tipos de documentos.
Figura 4: Configuración de Profiles
- Motores de limpieza (Engines): La solución permite que una compañía decida si los motores de limpieza los quiere tener en el mismo equipo o distribuidos por la red para controlar la carga y la distribución de software. Desde aquí se controlan todos los motores de limpieza de la red y su configuración. 
- Equipos e Instancias: Por cada equipo se pueden tener instalados diferentes herramientas de MetaShield 3.0 para aplicar la configuración de la política DLP en las herramientas que monitorizan los clientes de Outlook, de Internet Information Services, SharePoint, Windows o File Servers. A cada una de esas instancias - o a todas a la vez - se les va a asignar un Perfil (Profile) completo desde la consola centralizada.
Figura 5: Configuración de políticas de equipos e instancias de MetaShield

Con esta herramienta el administrador de la política DLP de la compañía puede gestionar la configuración de toda una red de equipos clientes y servidores desde un único punto central y forzarla a toda la empresa.

MetaShield 3.0 Engine

El motor de limpieza de metadatos, información oculta y datos perdidos de MetaShield 3.0 es un servicio independiente que funciona con un API REST al que se le puede pedir localmente o de forma remota que limpie, cambie o añada metadatos a todos los documentos que soporta.

Figura 6: Configuración de MetaShield 3.0 Engine

Su configuración se gestiona desde la consola de administración a la que esté subyugado. Esta disociación del motor y la herramienta de interceptación de documentos permite una mayor flexibilidad a todos niveles, e integrar nuestras soluciones de limpieza de documentos en otras arquitecturas como Linux, Apache, Mac OS X o WAFs que pueden interceptar el documento y pedir al engine que le de servicio remotamente.

MetaShield 3.0 for IIS

Este es el primer producto que creamos, y en esta evolución ha mejorado su arquitectura. Como se puede ver en la imagen, el Engine sigue siendo de lo más rápido y garantizar que un documento sale de tu empresa con la política DLP que tú hayas definido es cuestión de unos milisegundos nada más, tal y como se puede ver en la siguiente imagen.

Figura 7: MetaShield 3.0 for IIS

En el cálculo de los tiempos se tiene en cuenta todo el proceso que toma la limpieza de los archivos, desde que se accede a él hasta que se retorna limpio al cliente.

MetaShield 3.0 for File Servers

Esta es una solución que permite monitorizar las carpetas de un servidor para garantizar que todos los documentos quedan con la política DLP de la empresa. Para ello, se utilizan "watchers" en el sistema de ficheros y cada vez que un documento es creado o modificado, éste es enviado al Engine para que le aplique la Template que le corresponde según el Profile que le hayan configurado a MetaShield 3.0 for FileServer.

Figura 8: MetaShield 3.0 for File Servers

Además, esta herramienta gestiona la configuración de carpetas de Backup para guardar las configuraciones originales de los documentos - si se desean conservar - en otra ubicación.

MetaShield 3.0 for Outlook

Este es quizá uno de los más cómodos y deseados, basta con activarlo y a partir de ese momento cada correo electrónico que lleve adjuntos, cuando se de a enviar, enviará los ficheros al Engine, los limpiará y saldrán por el correo electrónico con la política DLP que se haya establecido.

Figura 9: MetaShield 3.0 for Outlook

En esta captura se puede ver el proceso de limpieza de los archivos, pero no es necesario ni que se muestre esa pantalla, por lo que el proceso sería totalmente transparente al usuario.

MetaShield 3.0 Client

Esta es la solución de EndPoint que permite a los usuarios algo tan sencillo como seleccionar un documento y con el botón derecho del ratón acceder a la opción de Clean del documento ... y ya está.

Figura 10: MetaShield 3.0 for Clients

Una vez que el documento esté limpio ya se puede copiar en pendrives, enviar por un webmail, firmar digitalmente - por eso de no firmar digitalmente las fugas de información de tu empresa - o lo que se desee hacer con él, pero con la política DLP establecida.

MetaShield 3.0 for SharePoint, MetaShield Forensics, MetaShield Analyzer y PoCs

Además de estas soluciones, están la versión de MetaShield 3.0 for SharePoint y las versiones Stand Alone de todos los productos - sin la consola de administración - , la solución para los equipos de seguridad de las empresas MetaShield 3.0 Forensics y la versión web que tienes disponible online y que te permite ver si un documento tiene metadatos MetaShield Analyzer. Si quieres más información, tienes todos los productos en la nueva Web de MetaShield 3.0 y si quieres probar estos productos, ponte en contacto con nosotros y vemos como armar un piloto.

Saludos Malignos!

Publicado por Chema Alonso a las 10:24 a. m. 1 comentarios

Etiquetas: , , , , , , , , , , , ,

miércoles, mayo 01, 2013

Forensic FOCA y las pistas de passwords en Apple iWork

Los documentos de Apple iWork, además de todos los metadatos que tienen, cuentan con la posibilidad de proteger el documento con una contraseña. Para que el usuario pueda recordar qué contraseña estableció es posible añadir una pista, que le haga recordar cuál fue la clave elegida para proteger ese documento en concreto.

Figura 1: Password hint en un documento de Apple iWork

Por supuesto, la pista recordatorio no se cifra, ya que de otra manera sería imposible verla sin tener la contraseña, así que basta con descomprimir el fichero y buscar el lugar exacto donde se almacena dentro del documento.

Figura 2: Password hint en el fichero

En la nueva versión de Forensic FOCA en la que estamos trabajando hemos añadido todos los metadatos de documentos Apple iWork y alguna cosa más de las que ya os hablaré más adelante, y, por supuesto, hemos añadido la extracción de las pistas de las contraseñas.

Figura 3: Password hint en Forensics FOCA

Si quieres saber más de la Forensic FOCA, te recuerdo que hicimos un vídeo-tutorial que puedes ver en unos minutos, o leerte el post que está publicado aquí sobre cómo crear un time-line con metadatos. Además puedes bajarte una versión de evaluación y probar los ejemplos ejemplares en el análisis forense de metadatos y entender en su máxima expresión la importancia de utilizar aplicaciones de limpieza de metadatos como MetaShield Protector }:).

Saludos Malignos!

Publicado por Chema Alonso a las 7:03 a. m. 0 comentarios

Etiquetas: , , , , ,

martes, noviembre 08, 2011

Metadatos e información oculta en Apple iWork (4 de 4)

************************************************************************************************
************************************************************************************************

Esta última parte de la serie se centra en los metadatos y la información oculta que se encuentra dentro del fichero maestro index.xmlindex.apxl de los documentos .pages, .numbers y .key. Me gustaría recordar que por información oculta entendemos todo aquel dato que tiene relación directa con el usuario que crea el equipo y que la aplicación de manipulación del documento no permite editar mediante el uso de alguna opción. 

Objeto Metadata

Dentro de los ficheros maestros, que recordemos están creados en formato XML, hay un objeto específico para los metadatos. Es decir, para los datos que el usuario puede manipular con la aplicación de Apple iWork concreta. Curiosamente, casi todos los documentos disponibles en Internet aparecen con este objeto vacío, lo que hace pensar que el usuario, explícitamente, ha eliminado esta información, - a pesar de que luego aparezcan en los archivos Preview.pdf -.

Figura 13: Objeto Metadata

Como se puede ver, en el caso de que no se haya limpiado de metadatos el documento, es posible acceder a la información habitual en metadatos, entre la que se encuentran los autores del documento. No existe una herramienta especial de limpieza de metadatos, solo existe el inspector de documentos, donde el autor escribe o no esos datos.

Figura 14: Metadatos en Inspector de Documentos

Información Oculta

Dentro de la parte de información oculta, podemos encontrar un montón de objetos dentro de los archivos maestros con información jugosa, como rutas locales, versiones de sistema operativo, impresoras configuradas en el equipo o fechas de versiones. Vamos a ello:

Rutas locales en atributos path

Dentro de muchos de los atributos, como son imágenes incrustadas, plantillas, gráficos, etcétera, es posible encontrar el atributo path, con información relativa a rutas locales de la máquina del usuario que creo el documento.

Figura 15: Atributo path con ruta local y displayname con ruta interna al documento

Versiones y fechas del documento

Para gestionar la lista de versiones, es posible encontrar un objeto llamado version-history, en el que se identifican todas las versiones que se han creado del documento.

Figura 16: Elemento Version-history

Además, hay dos objetos concretos como son LastModifiedDateProperty y CreationDateProperty, que identifican cuándo se modificó por última vez el documento y cuándo se creo.

Figura 17: Fecha de última modificación

Figura 18: Fecha de creación
Evidentemente, cualquier información relativa a fechas en un documento es de suma importancia tanto para un análisis forense, ya que permitiría establecer una línea temporal de los hechos, como para un pentester, ya que le permitiría discernir que información es "fresca y jugosa" de la "caducada".

Información de impresoras

Dentro de los documentos, dependiendo de la aplicación que lo creó, hay un objeto llamado doc-info o print-info, que guardan el nombre de la impresora que el usuario tiene configurada.

Figura 19: Información de impresora en doc-info
Figura 20: Información de impresora en print-info

Versión del sistema operativo

Una de los objetos que contiene información más jugosa sobre la máquina del usuario es el que contiene la versión concreta de la versión del sistema operativo.

Figura 21: Documento creado desde un Mac OS X Leopard

Control de Cambios

Como en casi todas las herramientas de edición de documentos hoy en día, también es posible activar el control de cambios, para saber qué usuarios han ido modificando el documento a lo largo de su vida. Así, si este está activo, será posible acceder a esta información a través del objeto: change-tracking

Figura 22: Control de cambios

Conclusión

Este tipo de datos son los más significativos, pero los documentos maestros tienen mucha más información que la que pensaba al principio y, visto lo visto, parece que no hay una buena solución de limpieza de metadatos e información oculta en la aplicación, ya que, a pesar de encontrar el objeto metadatos vacío, es posible encontrar un montón de información dentro de él.

También hay que recordar el riesgo que supone la creación de archivos PDF a partir de estas aplicaciones utilizando herramientas de terceros, que, como sucedió con el caso del PDF de la Cenatic apoyando el SW Libre en la educación, puede mostrar datos de la aplicación Apple iWork que lo creo. Esto es así, porque cuando se genera un PDF desde Apple iWork hay una nueva sección de configuración de metadatos que no tiene nada que ver con los metadatos originales de la figura 13.

Figura 23: Metadatos de PDF generado desde impresión de documentos

Por último, tras ver la información que se puede extraer de este tipo de documentos, intentaremos añadir un módulo a MetaShield Protector, nuestra solución que evita la fuga de datos a través de documentos publicados en aplicaciones web, y al mismo tiempo añadiremos estos tipos de documentos a FOCA, nuestra herramienta que recopila fugas de información por medio de documentos publicados en servidores web que no han tomado protecciones. Ironía de la vida.
  
************************************************************************************************
************************************************************************************************

Publicado por Chema Alonso a las 7:24 a. m. 1 comentarios

Etiquetas: , , , , , ,

viernes, noviembre 04, 2011

Metadatos e información oculta en Apple iWork (3 de 4)

************************************************************************************************
************************************************************************************************

Carpeta thumbs y archivos incrustados

Dentro de un fichero de Apple iWork es posible encontrar dos tipos de archivos de recursos. Estos ficheros son vídeos, imágenes, otros documentos incrustados, etc... y se encuentran en dos ubicaciones distintas. Unos se encuentran en la carpeta raíz del documento y otros dentro de la carpeta thumbs, y tienen características totalmente diferentes.

Figura 9: jb_at_logo_high.png es incrustado y PageCapThumbV2-12-1.tiff un thumbnail

Los primeros, lo que se encuentran en la raíz el documento son archivos incrustados que permanecen inalterados. Estos archivos no han sido modificados por la aplicación, así que mantienen los metadatos originales. Pueden ser vídeos, imágenes, o archivos de audio, y cada uno de ellos merece un análisis de metadatos distinto. Pueden ofrecer información que pertenezca al usuario o no, es decir. Pueden ser fotos o vídeos descargados de Internet, pero también fotografías y vídeos tomados por el teléfono móvil del creador de archivo. En cualquier caso merecen un análisis de metadatos detallado e independiente.

Por otro lado, se encuentran los archivos de la carpeta Thumbs, que son ficheros gráficos modificados o creados por la propia aplicación, lo que implica que cualquier rastro de información que tengan dependen de la máquina donde se creó el documento. Así, si se copia algo en el portapapeles y se pega al documento, al carecer de un fichero de soporte, la aplicación creará un fichero en la carpeta Thumbs. Esto es algo que también realiza el paquete Microsoft Office.

En resumen, hay dos lecturas claras desde el punto de vista de los metadatos:

- Primera: Los archivos incrustados mantienen los metadatos de la fuente original, es decir, que si tenían metadatos antes, seguirán teniéndolos.

- Segunda: Los arhivos dentro de la carpeta Thumbs no vendrán con metadatos, pero sí que han sido modificados o creados directamente desde la máquina del usuario que crea el documento.

El perfil de color y los documentos gráficos

Los perfiles de color ICC son algo muy curioso, y desde hace mucho tiempo muy cuidado en Apple, lo que lo hace muy interesante y útil en el análisis de documentos creados en este tipo de plataformas. Un perfil ICC se utiliza para configurar la forma en que una paleta de colores debe ser representada en un determinado dispositivo. El objetivo es aplicar las correcciones en la visualización del color original para que los detalles de representación del color origen en el dispositivo destino sean los más parecidos.

Así, si un monitor tiene demasiada luz y puede hacer que un morado parezca rosa, se aplica un perfil corrector en la visualización del color para que siga viendo morado en ese monitor. Así, en los equipos de Apple, igual que en máquinas de fotos, tabletas, o teléfonos móviles se añade la información del perfil de color que se utilizó para visualizar o tomar la foto, para ayudar a entender mejor lo que se quería representar.

Figura 10: Espacio de color RGB sin perfil de color y sin canal alpha

En los documentos gráficos que aparecen en la carpeta thumbs, al igual que el archivo thumbnail.jpg de la carpeta QuickLook, aparecen los perfiles de color, tal y como se puede ver en la figura superior. Estos deberían ser los mismos si el documento se ha creado dentro desde una misma máquina sin que el usuario haya tocado la configuración del perfil de la misma. Si son distintos, es que el documento se ha modificado en varias máquinas o se ha cambiado la configuración en el periodo de creación de documento -algo poco probable- 

Figura 11: Perfil de color adaptado para ser visualizado en un iMac

Además, en algunos entornos, como se puede ver en la figura superior, el nombre del perfil puede ser lo suficientemente claro como para dar información detallada de dónde se hizo un determinado documento, en este caso en una máquina iMac.

Archivos con extensión chrtshr

Uno de los tipos de archivos incrustados que pueden llamar la atención en los documentos de Apple son los ficheros con extensión .chrtshr, pero desde el punto de vista de metadatos tienen poco que ofrecer ya que son solo datos para la generación de gráficos, por lo que serán muy comunes en ficheros .numbers.

Los archivos maestros: index.xml e index.apxl

En los documentos Apple iWork, el último, pero no por ello menos importante, es el archivo maestro. Este, en los formatos de .pages y .numbers se llamará index.xml,  mientras que en Apple Keynote, es decir, en los ficheros .key aparece con el nombre de index.apxl - en las primeras versiones de Apple Keynote se utiliza presentation.apxl-,  aunque realmente es también un fichero en formato XML.

Figura 12: Fichero index.apxl de un archivo .key

Dependiendo del tipo de documento, estos archivos maestros tendrán una especificación XML distinta, y utilizarán distintos esquemas de nombres, por lo que la información que vamos a encontrar en cada uno de ellos será totalmente distinta, produciéndose además el mismo efecto que en otros paquetes ofimáticos, en los que unas aplicaciones dejan más información oculta que otras, como veremos en la última parte de esta serie.

************************************************************************************************
************************************************************************************************

Publicado por Chema Alonso a las 7:25 a. m. 4 comentarios

Etiquetas: , , , , , ,

miércoles, noviembre 02, 2011

Metadatos e información oculta en Apple iWork (2 de 4)

************************************************************************************************
************************************************************************************************

Antes de comenzar a ver un poco los ficheros que forman un documento de Apple iWork, es necesario comprender que estos tienen similitudes y diferencias, basadas sobre todo, en como se ha ido construyendo el paquete.

El primero de los programas que apareció fue Apple Keynote en el año 2003, de forma independiente. No fue hasta el año 2005 que apareció la primera versión de Apple iWork'05, con solo dos aplicaciones: Apple Keynote versión 2.0 y Apple Pages versión 1.0. No fue hasta Apple iWork'08 que no se incluyó en el paquete la primera versión de Apple Numbers, la hoja de cálculo.

Figura 5: Historial de versiones de Apple iWork en Wikipedia

La versión de Apple iWork'08 es la primera que vino ya con el formato de documento que vamos a analizar. Anteriormente Apple Keynote y Apple Pages utilizaban un formato binario, pero con la llegada de ODF y OOXML, Apple decidió seguir un formato basado en un archivo XML con documentos vinculados y todos comprimidos en un único fichero. No hay que olvidar que Apple estuvo en el comité de OOXML y desde el principio mostró su apoyo también a ODF.... aunque al final tirase por la vía del medio y crease su propio formato de documento - cosas de Apple, supongo -.

Fuera de este artículo queda el análisis de los ficheros de Apple iWork 1.5 para iPad, que ya veremos en otro, y los ficheros binarios previos a Apple iWork'08.

El fichero BuildVersionHistory.plist

Uno de los ficheros que se encuentra en todos los documentos de Apple iWork'08 y 09 el BuildVersionHitory.plist. Este fichero está codificado en el formato Property List (.plist) tan común en los entornos Apple. Para hacerlo visible es necesario descargarse una utilidad para Windows como Plist Editor para Windows - gratuita - o utilizar en Mac OS X la herramienta que viene con el entorno de desarrollo /Developer/Applications/Utilities/Property List Editor.app

Figura 6: Plist Editor para Windows

En sistemas Mac OS X, para visualizar el contenido no es necesario utilizar ninguna herramienta, ya que la visualización de ficheros .plist está integrada en Finder, con lo que basta con seleccionarlo y ver en la previsualización del mismo el contenido.

Figura 7: BuildVersionHistory.plist visto en la previsualización de Finder en Mac OS X

Como puede verse en la imagen, el contenido de este fichero es una lista de versiones y fechas de edición del documento lo nos da una línea temporal para ubicar este documento.

Vista previa en la carpeta QuickLook: Preview.pdf y Thumbnail.jpg

Con el objeto de obtener un vistazo rápido del contenido de un documento, por ejemplo cuando se visualiza con Finder en un sistema Mac OS X, cada archivo de Apple iWork contiene, dentro de la carpeta QuickLook los ficheros de previsualización del documento. Es decir, el contenido sería equivalente al thumbnail que se guarda en los metadatos Exif de una fotografía. Esa previsualización está almacenada en un un archivo llamado Thumbnail.jpg que muestra la primera página del documento.

Sin embargo, si el fichero es un de tipo .pages, en esta carpeta por, defecto, encontraremos también una previsualización del documento pero en formato PDF de lo mismo. Esto, va a traernos cosas bastantes curiosas, especialmente en el fichero PDF, ya que la previsualización se realiza con el driver de creación de documentos PDF y la configuración por defecto del mismo que tenga la máquina en la que se está trabajando. Así, tal y como se puede ver en la figura siguiente, puede aparecer información muy jugosa como el usuario del sistema, el software utilizado para crear el documento, y, en este caso, la versión en concreto del sistema operativo: Mac OS X 10.6.4 Snow Leopard

Figura 8: Metadatos en el fichero Preview.pdf dentro de la carpeta QuickLook de un documento Pages

Como se puede ver, tenemos en este caso un documento creado el 25 de Enero de 2011 actualizado a Mac OS X 10.6.4 Snow Leopard, con lo que sabemos que esa máquina no tiene instaladas los parches de seguridad de Mac OS X 10.6.5 que salieron el 11 de Noviembre de 2010 y Mac OS X 10.6.6 que salieron el 6 de Enero de 2011, y que entre ambos suman una buena cantidad de fallos de seguridad.

En el archivo Thumbnail.jpg se obtiene poca información relativa a metadatos, pero sí que hay una cosa bastante curiosa a tener en cuenta que puede dar información muy útil para completar la información de la máquina desde la que se creó este documento, pero lo veremos en la parte siguiente del artículo.


************************************************************************************************
************************************************************************************************

Publicado por Chema Alonso a las 8:22 a. m. 2 comentarios

Etiquetas: , , , , , , ,

martes, noviembre 01, 2011

Metadatos e información oculta en Apple iWork (1 de 4)

************************************************************************************************
************************************************************************************************

Ya hace tiempo le dediqué varias entradas a unos artículos realizados con mi amigo Enrique Rando sobre Metadatos e Información Oculta en documentos Microsoft Office y Metadatos e Información Oculta en Documentos OpenOffice. Toda esa información se convirtió en conocimiento que metimos en las primeras versiones de FOCA.

Ahora, con la salida de la FOCA 3, hemos ido atesorando una serie de ideas y nuevas funciones a introducir en próximas versiones, y en especial en la versión de la FOCA que saldrá creada para analistas forenses, en lugar de para pentesters. Entre las cosas que hemos hablado, por supuesto, están las de añadir nuevos formatos de documentos soportados por el módulo de metadatos y, entre ellos se encuentran los que vienen en los ficheros de datos del paquete ofimático iWork de Apple, que es de lo que trata este artículo.

Figura 1: Apple iWork

El paquete Apple iWork está formado por tres aplicaciones principales, que son Pages, Numbers y Keynote, o lo que es lo mismo, un procesador de textos, una hoja de cálculo y un editor de presentaciones. Es capaz de trabajar con otros formatos de datos para realizar funciones concretas, pero en este artículo se van a tratar solo los formatos principales.

Las extensiones de los ficheros y los buscadores

Los documentos de estas tres aplicaciones tienen unas extensiones muy fácilmente reconocibles. El editor de textos, Pages, utiliza la extensión .pages para sus ficheros. Numbers, que es la hoja de cálculo, trabaja con ficheros con extensión .numbers, mientras que el editor de presentaciones, Keynote, utiliza ficheros terminados en .key.

Para realizar las pruebas era necesario disponer de ficheros públicos creados con diferentes versiones de este paquete, y desde equipos distintos con distintas configuraciones, así que lo más socorrido es tirar de los buscadores. Encontrar estos ficheros a través de los buscadores no es fácil del todo, ya que la extensión .pages se utiliza en muchas páginas web en Internet y, por ejemplo, la extensión .key es muy utilizada en la distribución de claves públicas PGP, por lo que es difícil reconocerlos a a la primera a través de los buscadores.

La solución fue tirar un poco de Hacking con Buscadores, y sacar partido al conocimiento que de cómo funcionan estos tenemos.

Encontrando ficheros iWork a través de Google y Bing

Los formatos de fichero que utiliza Apple iWork están basados en una estructura similar a ODF y OOXML, es decir, una estructura de carpetas y archivos comprimidos en un único fichero. Esta compresión se realiza con compresión PK, por lo que, como ya vimos en el artículo de "Cuatro Cosas que BING hace mejor que Google", este último, es decir, salvo que tenga implementado un indexador como hace con ODF u OOXML, como Google no descomprime ficheros PK, no será capaz de ver el contenido de estos ficheros.

Tras varias pruebas, es fácil comprobar que Google directamente ignora el contenido generado con Apple iWork, así que si una web espera que sean indexados por las palabras que aparecen en sus documentos Pages, Numbers o Keynote se llevará un chasco. Si eres el responsable SEO de una empresa, no publiques contenido en Apple iWork.

Conociendo esto, descubrir ficheros en Google de estos formatos es más sencillo, solo hay que buscar documentos con estas extensiones, es decir, .pages, .numbers y .key que no cuenten con ninguna descripción en los resultados, es decir, que no hayan sido indexados. No todos serán los ficheros que buscan, pero si son ficheros de Apple iWork cumplirán esta regla.

Figura 2: Archivo Apple iWork Numbers visto en Google

En el caso de Bing sucede algo igual y algo distinto. Sucede igual que Bing ignora el formato de estos ficheros, es decir, que no indexa el resultado de los ficheros Apple iWork porque no implementa un filtro que interpretación del documento, pero se comporta distinto a Google porque éste sí es capaz de indexar el contenido de ficheros comprimidos con PK, por lo que basta con buscar archivos comprimidos que tengan algún fichero estándar en todos los documentos Apple iWork, como por ejemplo archivos .plist y se obtendrá una buena cantidad de documentos de pruebas.

Figura 3: Archivos pages descubiertos con un poco de Bing Hacking usando filetype

La estructura de los ficheros de Apple iWork

Como ya se ha dicho antes, los tres tipos de ficheros de las aplicaciones Apple iWork, es decir, los documentos .pages, .numbers y .key, mantienen una misma estructura. Los tres son contenedores comprimidos que contiene los siguientes elementos comunes:

- Fichero Index: Es el documento maestro del archivo. Donde está el contenido. Cambia la extensión dependiendo de la aplicación. Se verá más adelante.

- Fichero BuildVersionHistory.plist: Historial de versiones del documento.

- Carpeta QuickLook: Contiene los archivos de pre-visualización.

- Carpeta thumbs: Miniaturas creadas por la aplicación de imagenes incrustadas.

- Archivos incrustados: Archivos originales incrustados sin modificar en el documento.

Figura 4: Visualización interna de un fichero .pages

No tienen exactamente la misma estructura de ficheros, y los ficheros utilizan esquemas XML distintos, pero esa visualización de la Figura 4 de un documento .pages es más o menos la misma en todos los archivos de Apple iWork. Y todos esos ficheros contenidos tienen información bastante como vamos a ir viendo por partes.

************************************************************************************************
************************************************************************************************

Publicado por Chema Alonso a las 10:00 a. m. 0 comentarios

Etiquetas: , , , , , ,

Suscribirse a: Entradas (Atom)

Entrada destacada

+300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial

Hace un mes comencé a recuperar en un post mi interés en los últimos años, donde he publicado muchos artículos en este blog , y he dejado mu...

Entradas populares