Hoje, falaremos de algo que a maioria n\u00e3o sabe muito sobre ou pensa: metadados \u2013 informa\u00e7\u00f5es sobre um arquivo em vez de expostas nele. Metadados podem tornar um documento digital comum em informa\u00e7\u00e3o comprometedora.<\/p>\n
Metadados<\/strong><\/h3>\nVamos come\u00e7ar com um pouco de teoria. A lei norte americana define tr\u00eas categorias de metadados:<\/p>\n
\n- Metadados de aplicativos s\u00e3o adicionados a um arquivo usado para criar um documento. Esse tipo de metadado mant\u00e9m as edi\u00e7\u00f5es feitas pelo usu\u00e1rio, incluindo registros de mudan\u00e7as e coment\u00e1rios.<\/li>\n
- Metadados de sistema incluem o nome do autor, do arquivo e tamanho, mudan\u00e7as, entre outros.<\/li>\n
- Metadados embedados podem ser formulas em c\u00e9lulas do Excel, hyperlinks, e arquivos associados. Metadados EXIF s\u00e3o t\u00edpicos de arquivos gr\u00e1ficos<\/a> tamb\u00e9m pertencem a essa categoria.<\/li>\n<\/ol>\n
Eis um exemplo cl\u00e1ssico de problemas que o comprometimento de metadados pode trazer: o relat\u00f3rio de 2003 do governo do Reino Unido a respeito da suposta arma de destrui\u00e7\u00e3o em massa do Iraque. A vers\u00e3o .doc<\/em> do relat\u00f3rio inclui metadados sobre os autores (ou, precisamente, as pessoas que fizeram as dez \u00faltimas edi\u00e7\u00f5es). Essa informa\u00e7\u00e3o levantou algumas bandeiras sobre qualidade, autenticidade e credibilidade do relat\u00f3rio.<\/p>\nDe acordo com a BBC<\/a>, devido a quantidade de metadados associada ao documento, o governo escolheu o uso da vers\u00e3o .pdf<\/em> do relat\u00f3rio, pois continha menos metadados.<\/p>\nUm arquivo de US$ 20 milh\u00f5es<\/strong><\/h3>\nOutra situa\u00e7\u00e3o inquietante envolvendo metadados envolvia um cliente de Venable, empresa de advocacia americana, ainda em 2015<\/a>. A Venable foi contactada pela empresa cujo vice presidente tinha se demitido\u00a0recentemente. Logo depois da sa\u00edda, a firma perdeu um contrato com uma ag\u00eancia governamental para um competidor \u2013 que trabalhava\u00a0com o antigo vice presidente.<\/p>\nA empresa acusou o antigo VP de usar segredos empresariais para vencer a licita\u00e7\u00e3o. Em sua defesa, o antigo VP e sua nova firma apresentaram uma proposta similar preparada para um governo estrangeiro. Alegaram que o projeto fora criado antes para outro cliente antes do contrato nos Estados Unidos, de modo que n\u00e3o violou o acordo de n\u00e3o-competi\u00e7\u00e3o.<\/p>\n
Mas os acusados esqueceram de notar que havia evid\u00eancias de anormalidade. Metadados de sistema mostraram que o arquivo foi salvo antes de ser impresso, o que, segundo um especialista, seria imposs\u00edvel. Os tra\u00e7os de data e hora da \u00faltima impress\u00e3o permanecem gravados nos metadados, sendo salvos no documentos apenas quando \u00e9 salvo. Quando um documento\u00a0\u00e9 impresso e n\u00e3o \u00e9 salvo depois, a nova data de impress\u00e3o n\u00e3o ser\u00e1 salva nos metadados.<\/p>\n
Outra prova de falsifica\u00e7\u00e3o de documentos foi a data de sua cria\u00e7\u00e3o no servidor corporativo. O documento foi criado depois do processo. Al\u00e9m disso, os r\u00e9us foram acusados de adulterar evid\u00eancias, ao alterar os arquivos .olm (extens\u00e3o do Microsft Outlook para Macs).<\/p>\n
As evid\u00eancias em metadados foram o suficiente para que o tribunal decidisse a favor dos requerentes, ganhando indeniza\u00e7\u00e3o de US$ 20 milh\u00f5es com alguns outros milh\u00f5es em san\u00e7\u00f5es.<\/p>\n
Arquivos ocultos<\/strong><\/h3>\nArquivos de Microsoft Office oferecem diversas ferramentas para a coleta de dados privados. Por exemplo, notas de rodap\u00e9 podem incluir informa\u00e7\u00f5es n\u00e3o destinadas a uso p\u00fablico. A ferramenta de revis\u00e3o do Word tamb\u00e9m pode ser usada para fins de espionagem. Por meio de certas fun\u00e7\u00f5es, \u00e9 poss\u00edvel fazer com que mudan\u00e7as desapare\u00e7am da tela, por\u00e9m,\u00a0permanecer\u00e3o no arquivo, a espera de algu\u00e9m mais observador.<\/p>\n
Al\u00e9m disso, existem notas em slides em apresenta\u00e7\u00f5es de Power Point, colunas escondidas no Excel, e mais.<\/p>\n
Finalmente, tentativas de esconder dados sem saber como faz\u00ea-lo adequadamente tendem a n\u00e3o funcionar. Um grande exemplo aqui s\u00e3o documentos jur\u00eddicos<\/a> publicados pela CBSLocal, referindo-se ao caso do Estados Unidos contra Rod Blagojevic, ex-governador de Illinois. Essa apela\u00e7\u00e3o a corte foi necess\u00e1ria para que fosse pedida a intima\u00e7\u00e3o de Barack Obama, datando de 2010. Algumas partes do texto est\u00e3o escondidas em caixas pretas. Contudo, se voc\u00ea copiar e colar o bloco em um editor de texto d\u00e1 para ler o conte\u00fado completo.
\n![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2017\/03\/06135706\/office-docs-metadata-1.png\")
<\/p>\nArquivos dentro de arquivos<\/strong><\/h3>\nDados de arquivos externos embutidos em um documento s\u00e3o uma hist\u00f3ria completamente diferente.<\/p>\n
Para apresentar um exemplo real, pesquisamos em alguns documentos em sites governamentais e decidimos pelo relat\u00f3rio fiscal do Departamento de Educa\u00e7\u00e3o dos EUA\u00a0de 2010.<\/p>\n
Baixamos o arquivo e desabilitamos a prote\u00e7\u00e3o de apenas leitura (que n\u00e3o demandava senha). H\u00e1 um gr\u00e1fico aparentemente normal na p\u00e1gina 41. Alteramos os dados do gr\u00e1fico, abrindo o arquivo fonte de Excel embutido contendo todos os arquivos fonte.<\/p>\n
Nem \u00e9 preciso dizer que esses arquivos podem conter qualquer coisa, incluindo muita informa\u00e7\u00e3o privada; seja quem for que publicou o documento deve ter pensado que os dados n\u00e3o eram acess\u00edveis.<\/p>\n
Colhendo metadados<\/strong><\/h3>\nO processo de coleta de metadados de um documento pertencente a uma organiza\u00e7\u00e3o de interesse pode ser automatizado com softwares como ElevenPaths FOCA (Fingerprinting Organizations with Collected Archives).<\/p>\n
O FOCA pode encontrar e baixar formatos de documentos requeridos (por exemplo, .docx e .pdf), analisar seus metadados, e encontrar diversas informa\u00e7\u00f5es sobre a organiza\u00e7\u00e3o, como informa\u00e7\u00f5es relacionadas aos softwares usados, nomes de usu\u00e1rio e mais.<\/p>\n
Temos de dar um aviso s\u00e9rio, aqui: as an\u00e1lises de sites com essa ferramenta, mesmo para pesquisa, podem ser vistas com maus olhos por donos de sites ou at\u00e9 ser qualificada como cibercrime.<\/p>\n
Peculiaridades de documentos<\/strong><\/h3>\nAqui temos algumas peculiaridades de metadados que nem todos os especialistas de TI est\u00e3o familiarizados. Veja o sistema NFTS usado pelo Windows.<\/p>\n
Fato 1. <\/strong>Se voc\u00ea deleta um arquivo de uma pasta e imediatamente salvar um novo arquivo com um mesmo nome na mesma pasta, a data de cria\u00e7\u00e3o ser\u00e1 a mesma do arquivo deletado.<\/p>\nFato 2. <\/strong>Al\u00e9m de outros metadados, o NTFS mant\u00eam os dados dos arquivos acessados por \u00faltimo. Contudo, se voc\u00ea abrir o arquivo e verificar a data do \u00faltimo acesso nas propriedades do arquivo, a data permanece a mesma.<\/p>\nVoc\u00ea pode pensar que essas peculiaridades s\u00e3o bugs, mas s\u00e3o na verdade a ess\u00eancia do documento. No primeiro caso, estamos falando do tunneling<\/a>, necess\u00e1rio para habilitar compatibilidade retroativa. Por defini\u00e7\u00e3o, esse efeito dura 15 segundos, durante o qual um novo arquivo recebe uma nova etiqueta de tempo associada com o arquivo anterior (que foi registrado). Na verdade, o intervalo normal \u00e9 longo ao ponto de que passei pelo tunneling duas vezes em uma semana fazendo meu trabalho.<\/p>\nO segundo caso tamb\u00e9m est\u00e1 documentado: a partir do Windows 7, a Microsoft desabilitou o processo de modo a favorecer a performance. Voc\u00ea pode habilitar essa fun\u00e7\u00e3o no registro<\/a>. Contudo, uma vez habilitada, voc\u00ea n\u00e3o pode reverter o processo para corrigir o problema, o arquivo do sistema n\u00e3o mant\u00e9m as datas corretas (o que foi comprovado por um editor de disco comum).<\/p>\nEsperamos que especialistas em investiga\u00e7\u00e3o de computadores estejam cientes dessas peculiaridades.<\/p>\n
Inclusive, metadados de arquivos podem ser alterados usando o sistema operacional ou aplicativos nativos juntamente com um software especial. Isso significa que voc\u00ea n\u00e3o pode confiar em metadados como evid\u00eancia em um julgamento a menos que esteja acompanhado por outros registros.<\/p>\n
Metadados: seguran\u00e7a <\/strong><\/h3>\nUma fun\u00e7\u00e3o embutida no Microsoft Office chamada Inspecionar Documento (Arquivo \u2192 Informa\u00e7\u00e3o \u2192 Inspecionar Documento no Word 2016) <\/em>mostra ao usu\u00e1rio os dados contidos no arquivo. At\u00e9 certo ponto, esses dados podem ser deletados sob demanda \u2013 por\u00e9m isso n\u00e3o funciona para dados embutidos (como no relat\u00f3rio do Departamento de Educa\u00e7\u00e3o citado acima). Usu\u00e1rio devem ser cuidados ao inserir gr\u00e1ficos e diagramas.<\/p>\n
Eis um exemplo cl\u00e1ssico de problemas que o comprometimento de metadados pode trazer: o relat\u00f3rio de 2003 do governo do Reino Unido a respeito da suposta arma de destrui\u00e7\u00e3o em massa do Iraque. A vers\u00e3o .doc<\/em> do relat\u00f3rio inclui metadados sobre os autores (ou, precisamente, as pessoas que fizeram as dez \u00faltimas edi\u00e7\u00f5es). Essa informa\u00e7\u00e3o levantou algumas bandeiras sobre qualidade, autenticidade e credibilidade do relat\u00f3rio.<\/p>\n De acordo com a BBC<\/a>, devido a quantidade de metadados associada ao documento, o governo escolheu o uso da vers\u00e3o .pdf<\/em> do relat\u00f3rio, pois continha menos metadados.<\/p>\n Outra situa\u00e7\u00e3o inquietante envolvendo metadados envolvia um cliente de Venable, empresa de advocacia americana, ainda em 2015<\/a>. A Venable foi contactada pela empresa cujo vice presidente tinha se demitido\u00a0recentemente. Logo depois da sa\u00edda, a firma perdeu um contrato com uma ag\u00eancia governamental para um competidor \u2013 que trabalhava\u00a0com o antigo vice presidente.<\/p>\n A empresa acusou o antigo VP de usar segredos empresariais para vencer a licita\u00e7\u00e3o. Em sua defesa, o antigo VP e sua nova firma apresentaram uma proposta similar preparada para um governo estrangeiro. Alegaram que o projeto fora criado antes para outro cliente antes do contrato nos Estados Unidos, de modo que n\u00e3o violou o acordo de n\u00e3o-competi\u00e7\u00e3o.<\/p>\n Mas os acusados esqueceram de notar que havia evid\u00eancias de anormalidade. Metadados de sistema mostraram que o arquivo foi salvo antes de ser impresso, o que, segundo um especialista, seria imposs\u00edvel. Os tra\u00e7os de data e hora da \u00faltima impress\u00e3o permanecem gravados nos metadados, sendo salvos no documentos apenas quando \u00e9 salvo. Quando um documento\u00a0\u00e9 impresso e n\u00e3o \u00e9 salvo depois, a nova data de impress\u00e3o n\u00e3o ser\u00e1 salva nos metadados.<\/p>\n Outra prova de falsifica\u00e7\u00e3o de documentos foi a data de sua cria\u00e7\u00e3o no servidor corporativo. O documento foi criado depois do processo. Al\u00e9m disso, os r\u00e9us foram acusados de adulterar evid\u00eancias, ao alterar os arquivos .olm (extens\u00e3o do Microsft Outlook para Macs).<\/p>\n As evid\u00eancias em metadados foram o suficiente para que o tribunal decidisse a favor dos requerentes, ganhando indeniza\u00e7\u00e3o de US$ 20 milh\u00f5es com alguns outros milh\u00f5es em san\u00e7\u00f5es.<\/p>\n Arquivos de Microsoft Office oferecem diversas ferramentas para a coleta de dados privados. Por exemplo, notas de rodap\u00e9 podem incluir informa\u00e7\u00f5es n\u00e3o destinadas a uso p\u00fablico. A ferramenta de revis\u00e3o do Word tamb\u00e9m pode ser usada para fins de espionagem. Por meio de certas fun\u00e7\u00f5es, \u00e9 poss\u00edvel fazer com que mudan\u00e7as desapare\u00e7am da tela, por\u00e9m,\u00a0permanecer\u00e3o no arquivo, a espera de algu\u00e9m mais observador.<\/p>\n Al\u00e9m disso, existem notas em slides em apresenta\u00e7\u00f5es de Power Point, colunas escondidas no Excel, e mais.<\/p>\n Finalmente, tentativas de esconder dados sem saber como faz\u00ea-lo adequadamente tendem a n\u00e3o funcionar. Um grande exemplo aqui s\u00e3o documentos jur\u00eddicos<\/a> publicados pela CBSLocal, referindo-se ao caso do Estados Unidos contra Rod Blagojevic, ex-governador de Illinois. Essa apela\u00e7\u00e3o a corte foi necess\u00e1ria para que fosse pedida a intima\u00e7\u00e3o de Barack Obama, datando de 2010. Algumas partes do texto est\u00e3o escondidas em caixas pretas. Contudo, se voc\u00ea copiar e colar o bloco em um editor de texto d\u00e1 para ler o conte\u00fado completo. Dados de arquivos externos embutidos em um documento s\u00e3o uma hist\u00f3ria completamente diferente.<\/p>\n Para apresentar um exemplo real, pesquisamos em alguns documentos em sites governamentais e decidimos pelo relat\u00f3rio fiscal do Departamento de Educa\u00e7\u00e3o dos EUA\u00a0de 2010.<\/p>\n Baixamos o arquivo e desabilitamos a prote\u00e7\u00e3o de apenas leitura (que n\u00e3o demandava senha). H\u00e1 um gr\u00e1fico aparentemente normal na p\u00e1gina 41. Alteramos os dados do gr\u00e1fico, abrindo o arquivo fonte de Excel embutido contendo todos os arquivos fonte.<\/p>\n Nem \u00e9 preciso dizer que esses arquivos podem conter qualquer coisa, incluindo muita informa\u00e7\u00e3o privada; seja quem for que publicou o documento deve ter pensado que os dados n\u00e3o eram acess\u00edveis.<\/p>\n O processo de coleta de metadados de um documento pertencente a uma organiza\u00e7\u00e3o de interesse pode ser automatizado com softwares como ElevenPaths FOCA (Fingerprinting Organizations with Collected Archives).<\/p>\n O FOCA pode encontrar e baixar formatos de documentos requeridos (por exemplo, .docx e .pdf), analisar seus metadados, e encontrar diversas informa\u00e7\u00f5es sobre a organiza\u00e7\u00e3o, como informa\u00e7\u00f5es relacionadas aos softwares usados, nomes de usu\u00e1rio e mais.<\/p>\n Temos de dar um aviso s\u00e9rio, aqui: as an\u00e1lises de sites com essa ferramenta, mesmo para pesquisa, podem ser vistas com maus olhos por donos de sites ou at\u00e9 ser qualificada como cibercrime.<\/p>\n Aqui temos algumas peculiaridades de metadados que nem todos os especialistas de TI est\u00e3o familiarizados. Veja o sistema NFTS usado pelo Windows.<\/p>\n Fato 1. <\/strong>Se voc\u00ea deleta um arquivo de uma pasta e imediatamente salvar um novo arquivo com um mesmo nome na mesma pasta, a data de cria\u00e7\u00e3o ser\u00e1 a mesma do arquivo deletado.<\/p>\n Fato 2. <\/strong>Al\u00e9m de outros metadados, o NTFS mant\u00eam os dados dos arquivos acessados por \u00faltimo. Contudo, se voc\u00ea abrir o arquivo e verificar a data do \u00faltimo acesso nas propriedades do arquivo, a data permanece a mesma.<\/p>\n Voc\u00ea pode pensar que essas peculiaridades s\u00e3o bugs, mas s\u00e3o na verdade a ess\u00eancia do documento. No primeiro caso, estamos falando do tunneling<\/a>, necess\u00e1rio para habilitar compatibilidade retroativa. Por defini\u00e7\u00e3o, esse efeito dura 15 segundos, durante o qual um novo arquivo recebe uma nova etiqueta de tempo associada com o arquivo anterior (que foi registrado). Na verdade, o intervalo normal \u00e9 longo ao ponto de que passei pelo tunneling duas vezes em uma semana fazendo meu trabalho.<\/p>\n O segundo caso tamb\u00e9m est\u00e1 documentado: a partir do Windows 7, a Microsoft desabilitou o processo de modo a favorecer a performance. Voc\u00ea pode habilitar essa fun\u00e7\u00e3o no registro<\/a>. Contudo, uma vez habilitada, voc\u00ea n\u00e3o pode reverter o processo para corrigir o problema, o arquivo do sistema n\u00e3o mant\u00e9m as datas corretas (o que foi comprovado por um editor de disco comum).<\/p>\n Esperamos que especialistas em investiga\u00e7\u00e3o de computadores estejam cientes dessas peculiaridades.<\/p>\n Inclusive, metadados de arquivos podem ser alterados usando o sistema operacional ou aplicativos nativos juntamente com um software especial. Isso significa que voc\u00ea n\u00e3o pode confiar em metadados como evid\u00eancia em um julgamento a menos que esteja acompanhado por outros registros.<\/p>\n Uma fun\u00e7\u00e3o embutida no Microsoft Office chamada Inspecionar Documento (Arquivo \u2192 Informa\u00e7\u00e3o \u2192 Inspecionar Documento no Word 2016) <\/em>mostra ao usu\u00e1rio os dados contidos no arquivo. At\u00e9 certo ponto, esses dados podem ser deletados sob demanda \u2013 por\u00e9m isso n\u00e3o funciona para dados embutidos (como no relat\u00f3rio do Departamento de Educa\u00e7\u00e3o citado acima). Usu\u00e1rio devem ser cuidados ao inserir gr\u00e1ficos e diagramas.<\/p>\nUm arquivo de US$ 20 milh\u00f5es<\/strong><\/h3>\n
Arquivos ocultos<\/strong><\/h3>\n
\n<\/p>\nArquivos dentro de arquivos<\/strong><\/h3>\n
Colhendo metadados<\/strong><\/h3>\n
Peculiaridades de documentos<\/strong><\/h3>\n
Metadados: seguran\u00e7a <\/strong><\/h3>\n