Ojo al dato con el Metadato

El viernes pasado, apareció la noticia de un hacker identificado por el FBI, tras haber publicado junto a los datos robados, una fotografía de su novia; más bien de sus pechos; con un cartel alusivo al hackeo; supongo que jactándose de su hazaña.

El FBI, tras analizar la imagen publicada, pudo observar que el individuo en cuestión, no había sido lo suficientemente cuidadoso y no borró los metadatos que van asociados a la imagen, antes de publicarla. A partir de estos metadatos, el FBI pudo saber que la imagen se había hecho con un iPhone y que este había guardado además de otros muchos datos, los datos de geolocalización del teléfono en el momento de realizar la fotografía.

Siguiendo las pistas proporcionadas por la imagen, localizaron cerca de Melbourne, a la señorita de la foto, que figuraba como novia del hacker en su perfil de Facebook.

La noticia apareció en diversos medios, con titulares más o menos "graciosos", como el que yo vi, que rezaba "Hacker acusado gracias a las fotos de los pechos de su novia". Quizá y como prueba definitiva, el FBI comparó los pechos que aparecían en la foto, con los originales de la novia del hacker :-).

Es curioso la cantidad de información, en forma de metadatos, que se asocian a la mayoría de los ficheros, como un documento de Word, un PDF, una imagen, etc. y por lo general, nunca nos preocupamos por revisar o eliminar esta información antes de publicar o enviar un fichero. También es verdad, que en la mayoría de los casos, nos despreocupamos de este aspecto, sencilla y llanamente porque ni estamos cometiendo un delito, ni es información sensible, que pueda tener interés para quien la recibe o la intercepta. Pero no siempre es así.

Además de su uso en los análisis de informática forense, en los procesos de recogida de evidencias; conocido como Information Gathering; el uso de los metadatos es usado también por los "chicos malos", para obtener información acerca de un objetivo, como nombres de usuario, sistema operativo, etc. y que servirán posteriormente para realizar un ataque a ese objetivo.

Hay otros casos en los que pasar inadvertida la información de los metadatos asociados a un documento en el momento de publicarlo, ha puesto en entredicho la veracidad del documento, ha revelado información adicional, que no se pretendía mostrar o información acerca del verdadero autor del documento. En estos casos, sobre todo cuando esos documentos son publicados por organismos oficiales, han supuesto situaciones muy embarazosas y difíciles de explicar, como le ocurrió en 2003 al gobierno británico, cuando publicó como propio un documento acerca de la seguridad de las infraestructuras en Irak y que en realidad era obra de un un investigador del "Monterey Institute of International Studies" y como en el chiste, con error tipográfico incluido, como indicaba el Dr. Glen Rangwala, descubridor del fiasco.

 

La extracción de metadatos de un fichero es muy sencilla y existen numerosos programas, open source y comerciales, para todas las plataformas, que permiten ver, cambiar o liminar estos metadatos.

La mayoría de las cámaras y programas de edición de imagen, utilizan formatos de compresión JPG e incluyen información en forma de metadatos siguiendo el formato EXIF.

Una buena herramienta, libre, que permite leer, escribir y editar metadatos de un gran número de tipos de ficheros y de formatos de metadatos, es ExifTool. Esta herramienta se basa en una librería de PERL y se utiliza en modo línea de comando, aunque existen aplicaciones en forma de ejecutable para Windows y OSX. 

Un ejemplo real de metadatos de una imagen, obtenidos con ExifTool:

ExifTool Version Number         : 8.87
File Name                       : foto2.jpg
Directory                       : .
File Size                       : 1676 kB
File Modification Date/Time     : 2012:04:15 18:23:44+02:00
File Permissions                : rw-r--r--
File Type                       : JPEG
MIME Type                       : image/jpeg
Exif Byte Order                 : Big-endian (Motorola, MM)
Make                            : Apple
Camera Model Name               : iPhone 4
Orientation                     : Horizontal (normal)
X Resolution                    : 72
Y Resolution                    : 72
Resolution Unit                 : inches
Software                        : 4.1
Modify Date                     : 2010:11:09 17:27:50
Y Cb Cr Positioning             : Centered
Exposure Time                   : 1/15
F Number                        : 2.8
Exposure Program                : Program AE
ISO                             : 100
Exif Version                    : 0221
Date/Time Original              : 2010:11:09 17:27:50
Create Date                     : 2010:11:09 17:27:50
Components Configuration        : Y, Cb, Cr, -
Shutter Speed Value             : 1/15
Aperture Value                  : 2.8
Metering Mode                   : Average
Flash                           : Auto, Did not fire
Focal Length                    : 3.9 mm
Subject Area                    : 1295 967 699 696
Flashpix Version                : 0100
Color Space                     : sRGB
Exif Image Width                : 2592
Exif Image Height               : 1936
Sensing Method                  : One-chip color area
Exposure Mode                   : Auto
White Balance                   : Auto
Scene Capture Type              : Standard
Sharpness                       : Hard
GPS Latitude Ref                : North
GPS Longitude Ref               : West
GPS Time Stamp                  : 17:27:40.45
GPS Img Direction Ref           : True North
GPS Img Direction               : 102.1856287
Compression                     : JPEG (old-style)
Thumbnail Offset                : 844
Thumbnail Length                : 10027
Image Width                     : 2592
Image Height                    : 1936
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:0 (2 2)
Aperture                        : 2.8
GPS Latitude                    : 43 deg 15' 42.60" N
GPS Longitude                   : 2 deg 55' 40.80" W
GPS Position                    : 43 deg 15' 42.60" N, 2 deg 55' 40.80" W
Image Size                      : 2592x1936
Shutter Speed                   : 1/15
Thumbnail Image                 : (Binary data 10027 bytes, use -b option to extract)
Focal Length                    : 3.9 mm
Light Value                     : 6.9

Los chicos de Informática 64, especialistas en estos temas, han desarrollado una herramienta muy interesante, llamada "FOCA" (Fingerprinting Organizations with Collected Archives); de la cual tienen versiones, FOCA Free, FOCA Pro y Forensic FOCA, con diferentes capacidades.

La versión free, que es la que he revisado, entre otras cosas, es capaz de recorrerse una web en busca de documentos o ficheros de diferentes tipos, descargar y extraer los metadatos de estos documentos, mostrando información relativa al sitio y sus documentos. Del análisis de los metadatos de los ficheros encontrados y de una forma bastante cómoda, se muestran datos de usuarios, carpetas, impresoras, software, Emails, sistema operativo, passwords y servidores, si es que están incluidos estos datos, obviamente.

Como decía en el título del post, ojo con lo que publicamos, aunque sea de forma inconsciente, nunca se sabe quien lo va a utilizar ni con que propósito.

El rastreo de iPhone y Android

Hace unos días se conocía que los iPhone e iPad  de Apple guardaban un registro de las posiciones de los usuarios (más bien de sus teléfonos) y que por si fuera poco, esos datos se registraban en un archivo sin protección. Unos días más tarde, conocemos por un artículo en The Wall Street Journal, que Google hace lo mismo con sus teléfonos Android .

El tema ha creado bastante revuelo desde que se ha conocido. Corea del Sur ha pedido explicaciones a Google y el senador de EE.UU. Al Franken, ha hecho lo propio con Apple, escribiendo una carta a Steve Jobs, en la que le pide respuestas a una serie de preguntas sobre el tema.

En el caso de Apple, se disculpan diciendo que los datos de localización solo se registran cuando el usuario utiliza una aplicación que requiere localización, después los datos se envían encriptados cada 12 horas a Apple. 

En el caso de Android, la información se recoge cada pocos segundos y se envía varias veces por hora a los servidores de Google, con la diferencia de que en este caso, los datos se relacionan con el identificador único del teléfono. Google se disculpa diciendo que lo hace bajo el consentimiento del usuario.

Google y Apple, no pierden tiempo en tomar posiciones en los servicios de localización y coger su trozo de pastel en este mercado, en el que según Gartner, alcanzará los 8,3 billones (US) de dólares .

A mi personalmente, no me apetece que alguien pueda saber donde he estado en los últimos meses, aunque es por el mismo motivo por el que no tengo un perfil de Facebook donde publico las fotos de mis últimas vacaciones.

Como de todo tiene que haber en este mundo, hay quién a todo esto le encuentra la gracia y lejos de molestarles el asunto, se divierten revisando sus itinerarios y como no podía ser de otra forma, publicándolos en Facebook o cualquier otra red social, nada nuevo teniendo en cuenta el éxito de Foursquare o Facebook Places.

Al poco de conocerse la noticia de que los iPhone guardaban los datos de localización en un archivo desprotegido, estaba disponible la aplicación iPhone Tracker, una aplicación de código abierto, que permite visualizar los sitios en los que se ha estado en los últimos meses, desde que comenzó la grabación de los datos.

Si los datos de geolocalización son de fácil acceso y a eso le sumamos que los ataques dirigidos cada vez son más frecuentes y precisos, no será de extrañar que ya esté en circulación algún tipo de malware específico para iPhone, encaminado a saber donde han estado ciertas personas en los últimos meses.

En el caso de iPhone, también existe una aplicación llamada Untrackerd que borra constantemente el archivo donde se guardan estos controvertidos datos.