|
Figura 1: Fugas de información en empresas líderes en DLP según Gartner |
Por eso decidimos continuar evolucionando nuestras herramientas de
protección y dentro de las mejoras continuas que estamos introduciendo a
la familia de productos de
MetaShield Protector
para controlar los metadatos decidimos ir a las fugas por los
ficheros
ofimáticos menos comunes. Hace unas semanas os hablaba de los
metadatos perdidos en los archivos perdidos de Microsoft Office y hoy quiero hablaros de
Los Otros.
|
Figura 2: Ficheros XLSB de Microsoft Excel |
Los Otros no son nada más que el resto de formatos de
ficheros nativos que soporta una aplicación ofimática, y para
ejemplarizarlo he elegido
Microsoft Excel, que cuenta con la siguiente lista de formatos nativos:
.xl - Hoja de cálculo de Excel
.xla – Complemento de Excel
.xlb – Barra de herramientas de Excel
.xlc - Grafico de Excel
.xld – Base de datos de Excel
.xlk - Copia de seguridad de Excel
.xll - Complemento de Excel
.xlm – Macro de Excel
.xls – Hoja de cálculo de Excel
.xlsb – Hoja de cálculo binario de Excel
.xlshtml – Hoja de cálculo de Excel para Internet formato HTML
.xlsm – Hoja de cálculo de Excel con Macros habilitadas
.xlt – Plantillas de Excel
.xlv – Modulo de Visual Basic de Excel
.xlw – Espacio de trabajo de Excel
.xlw – Libro de Excel
Cuando se hace un
hacking con buscadores persiguiendo todos los archivos ofimáticos, estos deben ser buscados también cuando se hace uso del comando
ext:, ya que si no nos quedaríamos sin muchas fugas de información que podrían dar información jugosa.
|
Figura 3: Metadatos en un fichero .XLL analizado con FOCA Online como XLS |
Yo me he parado a ver cómo son todos esos ficheros y he sacado alguna
cosa curiosa sobre cada uno de estos tipos que os resumo en esta lista.
- XLA: No tiene metadatos, es código y se puede ver
información sólo en los comentarios de los programas VBA y en los
nombres de las variables.
- XLB: Sin metadatos, es un archivo de código binario.
- XLC: Codificación binaria. Mismos metadatos que un XLS.
- XLD: Formato XML sin metadatos.
- XLK: Formato binario. Mismos metadatos que un XLS.
- XLL: Formato binario. Mismos metadatos que un XLS.
- XLM: Codificación OOXML. Mismos metadatos que un XLSX.
- XLS: El formato nativo.
- XLSB: Formato binario. Mismos metadatos que XLS.
- XLSHTML: Codificación HTML.
- XLSM: Codificación OOXML. Mismos metadatos que XMLX.
- XLT: Codificación binaria. Mismos metadatos que XLS.
- XLV: Codificación binaria. Mismos metadatos que XLS.
- XLW: Codificación binario. Mismos metadatos que XLS.
Como se puede ver, casi todos los formatos ofrecen metadatos que pueden ser extraídos con las herramientas como
FOCA Online, o
MetaShield Forensics, solo hay que buscarlos de ellos cuando se esté realizando la fase de
footprinting y
fingerprinting de un
pentesting y preocuparse de ellos cuando se esté realizando un proceso de
Data Loss Prevention. En la familia
MetaShield Protector hemos creado una versión para
IIS, otra para
SharePoint, otra para
File Servers y otra para usar en los clientes
Windows. Cuando tenga un poco más de tiempo os paso un resumen similar de "
Los Otros" de
Microsoft Word y
Power Point.
http://www.elladodelmal.com
Chema Alonso