Iniziamo con un po\u2019 di teoria! La legge statunitense parla di tre categorie di metadati:<\/p>\n Ecco un esempio del tipo di problema che pu\u00f2 generare la compromissione dei metadati: il report del 2003 elaborato dal governo britannico riportava la presenza di armi di distruzione di massa nel territorio iracheno. La versione .doc del report includeva dei metadati sugli autori (o per essere pi\u00f9 precisi, le persone che hanno introdotto le ultime 10 modifiche). Queste informazioni hanno lanciato qualche campanello d\u2019allarme sulla qualit\u00e0, autenticit\u00e0 e credibilit\u00e0 del report.<\/p>\n Secondo un aggiornamento della BBC<\/a> che ha seguito il caso, per via dei metadati, il governo ha deciso di usare la versione .pdf perch\u00e9 contiene meno metadati.<\/p>\n Un\u2019altra interessante rivelazione sui metadati emerge da un episodio risalente al 2015 che vede protagonista un cliente di Venable, uno studio legale statunitense<\/a>. Venable \u00e8 stata contattata da un\u2019azienda il cui vice-presidente si era appena dimesso. Poco dopo le sue dimissioni, l\u2019azienda aveva perso un contratto con un ente governativo, guadagnato per\u00f2 da un\u2019azienda della concorrenza che, curiosamente, collaborava con l\u2019ex vice-presidente.<\/p>\n L\u2019azienda ha accusato l\u2019ex vice-presidente di aver rivelato segreti commerciali, sostenendo che era in questo modo che si era guadagnato il cliente. A sua difesa, l\u2019imputato e la nuova azienda hanno fornito come prova una proposta commerciale simile preparata per un ente estero. Sostenevano che l\u2019offerta era stata creata per un altro cliente prima<\/em> del contratto in questione e che per questa ragione non violava l\u2019accordo di non-concorrenza con il querelante.<\/p>\n Purtroppo per\u00f2 gli imputati non si sono accorti che i metadati contenuti nelle loro prove riportavano irregolarit\u00e0 in seno alla marca temporale. I metadati di sistema mostravano che il file era stato salvato per l\u2019ultima volta prima di essere stampato, il che come sostiene un esperto non poteva succedere. La marca temporale dell\u2019ultima stampa appartiene ai metadati delle app e viene salvata nel documento solo quando il file stesso viene salvato. Se un documento viene stampato e non viene pi\u00f9 salvato, la nuova data di stampa non viene salvata nei metadati.<\/p>\n Un\u2019altra prova della falsificazione del documento riguardava la data della sua creazione sul server aziendale. Il documento era stato creato dopo che il caso era arrivato in tribunale. Inoltre, gli imputati erano stati accusati di aver falsificato la marca temporale dell\u2019ultima modifica nei file .olm (estensione usata da Microsoft Outlook per i file Mac).<\/p>\n La prova dei metadati era sufficiente per la corte che deliber\u00f2 in favore dei querelanti obbligando gli accusati a risarcire i primi con 20 milioni di dollari e a pagare altri milioni in sanzioni.<\/p>\n I file di Microsoft Office offrono una serie di strumenti che possono essere usati per raccogliere dati privati. Per esempio, le note a pi\u00e8 di pagina possono includere informazioni aggiuntive non pensate per uso pubblico. Il sistema di revisione di Word pu\u00f2 essere usato a mo\u2019 di spia. Se selezionate \u201cfinali: mostra commenti\u201d (o \u201cnessun commento\u201d o l\u2019equivalente in base alla versione di Word), le modifiche di cui si stava tenendo traccia scompartiranno dallo schermo, ma rimarranno nel file in attesa di quale lettore curioso.<\/p>\n Inoltre, si possono aggiungere note e commenti alle slide nelle presentazioni Power Point, esistono colonne nascoste nei documenti di Excel e molto altro.<\/p>\n Infine aggiungiamo che il tentativo di nascondere i dati senza sapere bene come farlo tende a non funzionare. Un buon esempio di questo \u00e8 un documento della corte<\/a> pubblicato su CBSLocal e riguardante il caso \u201cStati Uniti contro Rod Blagojevic\u201d, ex governatore dell\u2019Illinois. Si tratta di una mozione datata 2010 che richiedeva alla corte di emettere un mandato di comparizione per Barack Obama.<\/p>\n Alcune parti del documento sono state cancellate. Comunque, se copiate e incollate una parte del testo in un editor di testo potrete leggere il testo nella sua interezza.<\/p>\n Il neretto in un PDF pu\u00f2 essere utile per cancellare informazioni in un documento che verr\u00e0 stampato, ma questa misura pu\u00f2 essere facilmente bypassata in un formato digitale.<\/p><\/div>\n \u00a0<\/p>\n I dati provenienti da file esterni incorporati in un documento sono tutta un\u2019altra storia.<\/p>\n Per mostrarvi un esempio reale, abbiamo cercato qualche documento su siti web .gov e abbiamo selezionato ed esaminato un report sulle tasse per l\u2019esercizio finanziario 2010 del Dipartimento dell\u2019Educazione Statunitense.<\/p>\n Abbiamo scaricato il file e disabilitato la protezione di sola lettura (che non richiedeva password). A pagina 41, c\u2019\u00e8 un grafico all\u2019apparenza normale. Abbiamo selezionato \u201ccambia dati\u201d nel menu contestuale del grafico e si \u00e8 aperto un file sorgente di Microsoft Excel incorporato che conteneva tutti i dati sorgente.<\/p>\n Questo \u00e8 un report in formato Word contenente un Excel con i dati sorgente usati per il grafico e altri grafici.<\/p><\/div>\n \u00a0<\/p>\n Va da s\u00e9 che questi file incorporati potrebbero contenere di tutto, tra cui un sacco di informazioni private e personali; chiunque abbia pubblicato questo documento dovr\u00e0 aver pensato che i dati fossero inaccessibili.<\/p>\n Il processo di estrapolazione dei metadati da un documento appartenente a un ente di interesse potrebbe essere automatizzato con l\u2019aiuto di un software come FOCA (Fingerprinting Organizations with Collected Archives) di ElevenPaths.<\/p>\n FOCA pu\u00f2 trovare e scaricare numerosi tipi di documenti con vari formati (per esempio, .docx e .pdf), pu\u00f2 analizzare i metadati e scoprire un sacco di altre cose come il software lato server usato, username e molto altro.<\/p>\n Su questo punto dobbiamo lanciare un avvertimento: analizzare siti web con questo genere di tool, anche a scopo di ricerca, verr\u00e0 preso seriamente in considerazione dai proprietari del sito web o persino classificato come crimine informatico.<\/p>\n Ora vi presentiamo alcune peculiarit\u00e0 che possono sorprendere anche gli esperti IT. Prendiamo per esempio i file di sistema NTFS usati da Windows.<\/p>\n Fatto n\u00ba1<\/strong>: se cancellate un file da una cartella e salvate immediatamente un nuovo file con lo stesso nome e nella stessa cartella, la data di creazione sar\u00e0 la stessa di quella del file che avrete cancellato.<\/p>\n Fatti n\u00ba2<\/strong>: oltre ai metadati, NTFS mantiene i dati dell\u2019ultimo accesso al file. Comunque se aprite il file e poi controllate la marca temporale dell\u2019ultimo accesso nelle propriet\u00e0 del file, i dati rimangono gli stessi.<\/p>\n Potreste pensare che queste peculiarit\u00e0 siano solo dei bug, ma non sono altro che funzionalit\u00e0 documentate. Nel primo caso, stiamo parlando del tunneling<\/a> che \u00e8 richiesto per abilitare la retrocompatibilit\u00e0 del software. Di default, questo effetto dura circa 15 secondi, tempo durante il quale ai nuovi file viene assegnata la marca temporale associata ai file precedenti (potete cambiare l\u2019intervallo nelle impostazioni di sistema o disabilitare completamente le capacit\u00e0 di tunneling nel registro). Di fatto, per me l\u2019intervallo predeterminato \u00e8 stato sufficiente perch\u00e9 mi ha permesso, per ben due volte in una settimana, di scoprire il tunneling in un modo del tutto casuale, mentre stavo facendo il mio lavoro.<\/p>\n Anche il secondo caso \u00e8 documentato: a partire da Windows 7, per motivi imputabili alla performance, Microsoft ha disabilitato la marca temporale automatica dell\u2019ultimo accesso. Potete abilitare questa funzionalit\u00e0 nel registro<\/a>. Comunque, una volta abilitato, non \u00e8 possibile invertire il processo per correggere il problema; il file di sistema non salva le corrette marche temporali (come \u00e8 dimostrato dal disk editor di basso livello).<\/p>\n Speriamo che gli esperti della polizia scientifica siano consapevoli di queste particolarit\u00e0.<\/p>\n Ad ogni modo, i metadati possono essere alterati usando un OS predeterminato, native app (app sviluppate per una particolare piattaforma o dispositivo) e software speciali. Questo significa che potete fare affidamento sui metadati come prova in un tribunale a meno che non vengano accompagnati da cose come servizi di mailing e log del server.<\/p>\n Una funzionalit\u00e0 integrata di Microsoft Office nota come Controllo documento (per Word 2016, File \u2192 Informazioni \u2192 Controlla documento<\/em>) mostra a un utente i dati contenuti in un file. Questi dati possono essere cancellati su richiesta, ma fino ad un certo punto, dato che non \u00e8 possibile per i dati incorporati (come nel caso del report del Dipartimento dell\u2019Educazione citato sopra). Gli utenti dovrebbero fare pi\u00f9 attenzione quando inseriscono grafici e diagrammi.<\/p>\n![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2017\/03\/05233710\/metadata-office-files-featured.jpg\")
Oggi vi parleremo di qualcosa che le persone conoscono poco o a cui in genere non si pensa molto: oggi tratteremo di metadati<\/em>, ovvero le informazioni sui<\/em> file, e non le informazioni contenute al loro interno. Se vengono allo scoperto, i metadati possono trasformare un normale documento digitale in una seria fuga di dati.<\/p>\nI metadati nei documenti<\/h3>\n
\n
\n
\n
Un file (falsificato) da 20 milioni di dollari<\/strong><\/h3>\n
File nascosti<\/strong><\/h3>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2017\/03\/05233709\/office-docs-metadata-1.png\")
File dentro file<\/strong><\/h3>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2017\/03\/05233708\/office-docs-metadata-2.png\")
Collezionando metadati<\/strong><\/h3>\n
Stranezze documentate<\/strong><\/h3>\n
Metadati: sicurezza<\/strong><\/h3>\n