Como analisar documentos com FOCA em dez passos (ou menos)

Fran Ramirez     26 de junho de 2019

    

Toda vez que criamos um documento de escritório , como um processador de texto (por exemplo, Microsoft Word), uma apresentação (PowerPoint), uma planilha (Excel), um PDF ou mesmo imagens, eles armazenam muitas informações por padrão. mais informações do que pensamos . Há um conteúdo adicional embutido nos arquivos que recebe o nome de metadados e pode conter dados como o nome do autor, a data de criação/modificação ou até mesmo o título do documento. Embora isso já ofereça informações suficientes, uma análise mais profunda pode extrair ainda mais dados que vão além dos citados, dando, por exemplo, conteúdo muito importante sobre a infraestrutura onde foi criado.

Por exemplo, é possível extrair senhas, nomes de usuários, nomes de pastas, nomes de servidores, impressoras, edições feitas, etc. tudo isso em um simples arquivo de escritório . Essas informações podem colocar em sério risco, além de nossa privacidade, a integridade de nossa empresa ou organização, pois oferecem muitos dados importantes que um possível cibercriminoso pode usar para analisar nossa infraestrutura (essa técnica é chamada de " impressão digital ") e então lance algum tipo de ataque baseado nisso. No caso das imagens, a informação mais relevante que se pode obter é a localização geográfica de onde a fotografia foi tirada, oferecendo dados, por exemplo, de um itinerário que fizemos.Metadados são mais importantes do que aparenta. Talvez o caso mais marcante tenha sido o de Tony Blair e o documento do Word que teoricamente provava que o Iraque tinha armas de destruição em massa, mas uma revisão dos metadados trouxe à tona muito conteúdo, como críticas e comentários que provavam que a informação era falsa.

FOCA é uma ferramenta gratuita criada pela ElevenPaths que é muito útil na análise de metadados , seja de um documento ou até mesmo de uma organização inteira. O FOCA é de código aberto e está disponível para download no repositório GitHub ElevenPaths . Vamos ver como é fácil extrair todos os dados de um documento de escritório e também obter os relatórios de metadados de uma organização inteira em poucos passos simples.

Extração de metadados de um ou mais arquivos locais

Passo 1: Uma vez aberto o FOCA, basta marcar a opção “ Metadados ” [1]  e em seguida, com o botão direito do mouse, clicar na área [2] indicada na imagem e finalmente em “ Adicionar arquivo ” [ 3 ]  (se quisermos analisar o conteúdo de uma pasta completa, usaremos a opção “ Adicionar pasta ”) selecionamos o arquivo cujos metadados queremos analisar (também é possível arrastar o arquivo ou a pasta diretamente):

Passo 2: uma vez carregado o arquivo, clicaremos nele com o botão direito do mouse [4] e depois selecionaremos a opção “ Extrair Metadados ” [5] :

Passo 3: para visualizar os resultados, vamos olhar para a parte esquerda do painel onde aparecerá o nome e formato do arquivo na seção “ Metadados ” (neste caso um .docx chamado “ Teste1”) [6] . Clicando nele, podemos ver à direita um resumo de todos os metadados extraídos [7] :

Extraindo todos os metadados de uma organização

Passo 1: O primeiro passo será definir um projeto. Para eles, vamos para a seção “ Projeto ” e selecionamos “ Novo projeto ” [1] :

Passo 2: Usaremos a seção [2] “ Selecionar Projeto ” se já criamos um projeto e queremos reutilizá-lo, no caso de criar um do zero, deixaremos esta opção vazia. Em “ Nome do projeto ” daremos o nome do projeto [3] . “ Site de domínio ” [4] nos permite inserir a URL que vamos auditar. Se houver outros domínios alternativos onde queremos que o FOCA também procure arquivos, é possível adicioná-los em “ Domínios alternativos ” [5] . Os arquivos que estamos baixando (mais tarde veremos o procedimento) serão armazenados na pasta que está definida em “ Pasta onde salvar documentos” [6] . Por fim, clicaremos em “ Criar ” [7] para definir nosso projeto.

Passo 3: Neste momento estaremos de volta na tela “ Metadados ” . O primeiro dos passos será marcar os motores de busca como “ Search Engines ” [8] (no exemplo, marcamos os três). Na seção “ Extensões ” temos a opção de selecionar ou não o tipo de arquivo que queremos buscar em nosso projeto [9] . Após pressionar “ Pesquisar tudo ”, após um tempo (que será definido pelo número de arquivos localizados na URL do projeto) aparecerá uma lista semelhante à que podemos ver no ponto [10] .

Passo 4: para analisar o arquivo ou arquivos obtidos da análise, o processo é semelhante ao que realizamos na seção anterior para um único arquivo. Mas desta vez temos que dar um passo anterior, que é baixá-lo. Para eles, clicamos com o botão direito sobre o arquivo [11] (podemos também selecionar vários arquivos mantendo pressionada a tecla "Shift" (que queremos analisar e depois a opção " Download " conforme mostrado no ponto [12] ( se quisermos baixar todos, pressionaremos a opção “ Baixar tudo ”).

Passo 5 : uma vez baixado, veremos um ponto à direita e também a data e hora do download. Agora vamos proceder à extração dos metadados com “ Extract Metadata ” [13] e depois vamos analisá-los [14] com “ Analyze Metadata ”:

Passo 6 : finalmente, obtemos a saída mostrada na imagem a seguir (ocultamos o conteúdo por motivos de privacidade) onde pode ser visto claramente que obtivemos o nome do computador onde foi criado [15] , server data [ 16] , o nome de dois usuários [17] , o tipo de software [18] e também informações gerais sobre o documento como a data de criação, etc.

O vídeo a seguir mostra em detalhes mais informações sobre FOCA, opções e operação:

E este livro publicado pela editora 0xWord oferece em detalhes como aproveitar todas as opções e possibilidades do FOCA:

É importante usar softwares como o FOCA para auditar arquivos pessoais e de uma organização , e assim obter uma visão geral do conteúdo que estamos implantando involuntariamente com esse tipo de arquivo e evitar vazamentos de dados ou informações . Se você precisa de uma solução profissional, lembre-se que a ElevenPaths oferece o Metashield Protector , uma solução empresarial com diversas ferramentas voltadas para análise, proteção e filtragem de metadados.

O grande desafio da computação em nuvem segura: usar dados criptografados sem descriptografá-los (II)Estes são nossos CSEs ElevenPaths na Espanha

• CÍBER SEGURANÇA
• PROTEGER

CIBERSEGURANÇA PARA EMPRESASCIBERSEGURANÇA PARA TODOSSELOFERRAMENTAS DE CIBERSEGURANÇAAPENAS HACKERS

Fran Ramirez

Engenheiro/Licenciado em Sistemas Informáticos, Técnico Superior em Electrónica Digital e Mestre em Segurança das TIC. Pesquisador de segurança informática na equipe Ideas Locas CDCO da Telefónica.