Dados ocultos em arquivos podem ser reveladores

Os vazamentos de dados mais perigosos são aqueles que as pessoas não ficam sabendo.

Chamando Capitão Óbvio… pode entrar, Capitão Óbvio: qual ameaça de TI é mais perigosa para empresas, MPEs, governos e usuários comuns?

A resposta, claro: vazamentos de dados. Agora: quais vazamentos são mais difíceis de prevenir? E a resposta: aqueles que as pessoas não ficam sabendo.

Hoje, falaremos de algo que a maioria não sabe muito sobre ou pensa: metadados – informações sobre um arquivo em vez de expostas nele. Metadados podem tornar um documento digital comum em informação comprometedora.

Metadados

Vamos começar com um pouco de teoria. A lei norte americana define três categorias de metadados:

  1. Metadados de aplicativos são adicionados a um arquivo usado para criar um documento. Esse tipo de metadado mantém as edições feitas pelo usuário, incluindo registros de mudanças e comentários.
  2. Metadados de sistema incluem o nome do autor, do arquivo e tamanho, mudanças, entre outros.
  3. Metadados embedados podem ser formulas em células do Excel, hyperlinks, e arquivos associados. Metadados EXIF são típicos de arquivos gráficos também pertencem a essa categoria.

Eis um exemplo clássico de problemas que o comprometimento de metadados pode trazer: o relatório de 2003 do governo do Reino Unido a respeito da suposta arma de destruição em massa do Iraque. A versão .doc do relatório inclui metadados sobre os autores (ou, precisamente, as pessoas que fizeram as dez últimas edições). Essa informação levantou algumas bandeiras sobre qualidade, autenticidade e credibilidade do relatório.

De acordo com a BBC, devido a quantidade de metadados associada ao documento, o governo escolheu o uso da versão .pdf do relatório, pois continha menos metadados.

Um arquivo de US$ 20 milhões

Outra situação inquietante envolvendo metadados envolvia um cliente de Venable, empresa de advocacia americana, ainda em 2015. A Venable foi contactada pela empresa cujo vice presidente tinha se demitido recentemente. Logo depois da saída, a firma perdeu um contrato com uma agência governamental para um competidor – que trabalhava com o antigo vice presidente.

A empresa acusou o antigo VP de usar segredos empresariais para vencer a licitação. Em sua defesa, o antigo VP e sua nova firma apresentaram uma proposta similar preparada para um governo estrangeiro. Alegaram que o projeto fora criado antes para outro cliente antes do contrato nos Estados Unidos, de modo que não violou o acordo de não-competição.

Mas os acusados esqueceram de notar que havia evidências de anormalidade. Metadados de sistema mostraram que o arquivo foi salvo antes de ser impresso, o que, segundo um especialista, seria impossível. Os traços de data e hora da última impressão permanecem gravados nos metadados, sendo salvos no documentos apenas quando é salvo. Quando um documento é impresso e não é salvo depois, a nova data de impressão não será salva nos metadados.

Outra prova de falsificação de documentos foi a data de sua criação no servidor corporativo. O documento foi criado depois do processo. Além disso, os réus foram acusados de adulterar evidências, ao alterar os arquivos .olm (extensão do Microsft Outlook para Macs).

As evidências em metadados foram o suficiente para que o tribunal decidisse a favor dos requerentes, ganhando indenização de US$ 20 milhões com alguns outros milhões em sanções.

Arquivos ocultos

Arquivos de Microsoft Office oferecem diversas ferramentas para a coleta de dados privados. Por exemplo, notas de rodapé podem incluir informações não destinadas a uso público. A ferramenta de revisão do Word também pode ser usada para fins de espionagem. Por meio de certas funções, é possível fazer com que mudanças desapareçam da tela, porém, permanecerão no arquivo, a espera de alguém mais observador.

Além disso, existem notas em slides em apresentações de Power Point, colunas escondidas no Excel, e mais.

Finalmente, tentativas de esconder dados sem saber como fazê-lo adequadamente tendem a não funcionar. Um grande exemplo aqui são documentos jurídicos publicados pela CBSLocal, referindo-se ao caso do Estados Unidos contra Rod Blagojevic, ex-governador de Illinois. Essa apelação a corte foi necessária para que fosse pedida a intimação de Barack Obama, datando de 2010. Algumas partes do texto estão escondidas em caixas pretas. Contudo, se você copiar e colar o bloco em um editor de texto dá para ler o conteúdo completo.

Arquivos dentro de arquivos

Dados de arquivos externos embutidos em um documento são uma história completamente diferente.

Para apresentar um exemplo real, pesquisamos em alguns documentos em sites governamentais e decidimos pelo relatório fiscal do Departamento de Educação dos EUA de 2010.

Baixamos o arquivo e desabilitamos a proteção de apenas leitura (que não demandava senha). Há um gráfico aparentemente normal na página 41. Alteramos os dados do gráfico, abrindo o arquivo fonte de Excel embutido contendo todos os arquivos fonte.

Nem é preciso dizer que esses arquivos podem conter qualquer coisa, incluindo muita informação privada; seja quem for que publicou o documento deve ter pensado que os dados não eram acessíveis.

Colhendo metadados

O processo de coleta de metadados de um documento pertencente a uma organização de interesse pode ser automatizado com softwares como ElevenPaths FOCA (Fingerprinting Organizations with Collected Archives).

O FOCA pode encontrar e baixar formatos de documentos requeridos (por exemplo, .docx e .pdf), analisar seus metadados, e encontrar diversas informações sobre a organização, como informações relacionadas aos softwares usados, nomes de usuário e mais.

Temos de dar um aviso sério, aqui: as análises de sites com essa ferramenta, mesmo para pesquisa, podem ser vistas com maus olhos por donos de sites ou até ser qualificada como cibercrime.

Peculiaridades de documentos

Aqui temos algumas peculiaridades de metadados que nem todos os especialistas de TI estão familiarizados. Veja o sistema NFTS usado pelo Windows.

Fato 1. Se você deleta um arquivo de uma pasta e imediatamente salvar um novo arquivo com um mesmo nome na mesma pasta, a data de criação será a mesma do arquivo deletado.

Fato 2. Além de outros metadados, o NTFS mantêm os dados dos arquivos acessados por último. Contudo, se você abrir o arquivo e verificar a data do último acesso nas propriedades do arquivo, a data permanece a mesma.

Você pode pensar que essas peculiaridades são bugs, mas são na verdade a essência do documento. No primeiro caso, estamos falando do tunneling, necessário para habilitar compatibilidade retroativa. Por definição, esse efeito dura 15 segundos, durante o qual um novo arquivo recebe uma nova etiqueta de tempo associada com o arquivo anterior (que foi registrado). Na verdade, o intervalo normal é longo ao ponto de que passei pelo tunneling duas vezes em uma semana fazendo meu trabalho.

O segundo caso também está documentado: a partir do Windows 7, a Microsoft desabilitou o processo de modo a favorecer a performance. Você pode habilitar essa função no registro. Contudo, uma vez habilitada, você não pode reverter o processo para corrigir o problema, o arquivo do sistema não mantém as datas corretas (o que foi comprovado por um editor de disco comum).

Esperamos que especialistas em investigação de computadores estejam cientes dessas peculiaridades.

Inclusive, metadados de arquivos podem ser alterados usando o sistema operacional ou aplicativos nativos juntamente com um software especial. Isso significa que você não pode confiar em metadados como evidência em um julgamento a menos que esteja acompanhado por outros registros.

Metadados: segurança

Uma função embutida no Microsoft Office chamada Inspecionar Documento (Arquivo → Informação → Inspecionar Documento no Word 2016) mostra ao usuário os dados contidos no arquivo. Até certo ponto, esses dados podem ser deletados sob demanda – porém isso não funciona para dados embutidos (como no relatório do Departamento de Educação citado acima). Usuário devem ser cuidados ao inserir gráficos e diagramas.

O Adobe Acrobat possui funcionalidade similar de remover dados de arquivos. De qualquer forma, sistemas seguros devem conseguir prevenir vazamentos. Por exemplo, nós temos o módulo DLP (Data Loss Prevention) no Kaspersky Total Security for Business, Kaspersky Security para servidores de e-mail, e Kaspersky Security para plataformas colaborativas. Esses produtos podem filtrar credenciais de metadados restringindo mudanças nos registros, comentários e objetos embutidos.

Claro, o método ideal (leia-se missão quase impossível) para prevenir vazamentos inteiramente é ter uma equipe responsável, consciente e bem treinada.

Dicas

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.