14 Ноября, 2011

Обновление утилиты для извлечения метаинформации - FOCA

Андрей Комаров
Сравнительно недавно произошло обновление известной утилиты для извлечения метаинформации из популярных форматов электронных документов - http://www.informatica64.com/foca/ .

Поддерживаются следующие форматы: .doc .ppt .pps .xls .docx .pptx .ppsx .xlsx .sxw .sxc .sxi .odt.ods .odg .odp .pdf .wpd .svg .svgz .jpg.

Очень часто, в ходе тестов на проникновение, использование выявленной метаинформации из корпоративного документооборота или почтовой переписки, позволяет определить:

- имя машины;
- локальные и сетевые пути хранения документов;
- имена пользователей (логины).

Кроме того, анализ подобной информации позволяет прямо или косвенно подтвердить авторство документа, а так же место его разработки. Прямым подтверждением для этого является инцидент 2005 года, с документом "National Security Council's "Our National Strategy for Victory in Iraq", одна из страниц которого содержала инициалы одного из профессоров университета Duke (США), выступавшего за продолжение военных действий в Ираке.

После данного инцидента, АНБ США разработало специальный документ, указывающей на необходимость отслеживания включенной метаинформации в электронные документы "Hidden Data and Metadata in Adobe PDF Files:Publication Risks and Countermeasures" ( http://www.nsa.gov/ia/_files/app/pdf_risks.pdf ).
или введите имя

CAPTCHA