Como analisar documentos com o FOCA em dez passos (ou menos)

Cada vez que criamos um documento no escritório, salvamos muito mais informação do que pensamos, independente de que esse arquivo seja um texto feito no Microsoft Word, uma apresentação feita no PowerPoint ou uma planilha criada no Excel, arquivos PDF e até imagens se encaixam nessa regra. Existe um conteúdo adicional gravado nos arquivos que recebe o nome de metadados e podem conter dados como, por exemplo, o nome do autor, data de criação do documento, modificação e título. Ainda que isso já seja bastante informações, uma análise mais profunda nos permitiria extrair dados adicionais, não só dos documentos, mas do ambiente em que eles foram criados.

É possível extrair senhas, nomes de usuário, nomes de pastas, nomes de servidores, impressoras, edições realizadas no documento e muito mais, tudo isso partindo de um arquivo comum de escritório! Esse tipo de informação põe em risco não só a privacidade, mas a segurança digital da empresa e pode ser utilizada por um cibercriminoso para analisar a infraestrutura de TI para planejar um ataque (em uma técnica chamada “fingerprinting”). No caso de imagens, a informação mais relevante que pode ser obtida é a localização geográfica da fotografia, criando um itinerário realizado pelo usuário. Os metadados são mais importantes do que parecem à primeira vista, não? Talvez o caso mais emblemático de análise de metadados seu deu com Tony Blair, primeiro ministro britânico, no documento Word que, teoricamente, provava a existência de armas de destruição em massa no Iraque. Uma revisão dos metadados indicou revisões e comentários no documento e pôde provar que a informação era falsa.

O FOCA é uma ferramenta gratuita criada pela ElevenPaths muito eficaz na análise de metadados, seja em um documento único ou em toda a organização. O FOCA é uma ferramenta de código aberto, disponível para download no repositório GitHub da ElevenPaths. Nesse post veremos como é simples extrair dados de um documento e também como obter informações de metadados de toda a organização através de um passo-a-passo.

Extração de metadados de um ou vários arquivos locais

Passo 1: após baixar e executar o FOCA, clicamos na opção “Metada” [1] e, com o botão direito do mouse clicamos na área [2] indicada na imagem e, finalmente, em “Add file” [3] (se desejado, podemos adicionar o conteúdo completo de uma pasta de arquivos selecionando a opção “Add folder”), selecionando o arquivo que será analisado. Também é possível arrastar e soltar arquivos ou pastas diretamente nessa área.

Passo 2: depois que o arquivo é carregado, clicamos sobre ele com o botão direito do mouse [4] e selecionamos a opção “Extract Metadata” [5]:

Passo 3: para visualizar os resultados, vamos nos concentrar na parte esquerda do painel onde aparecerá na seção “Metada” o nome e o formato do arquivo aberto (nesse caso um .docx chamado “Test1) [6]. Clicando sobre ele, podemos ver à direita um resumo de todos os metadados extraídos [7]:

Extraindo todos os metadados de uma organização

Passo 1: será necessário criar um projeto. Para isso, clicamos no menu “Project” e selecionamos “New Project” [1]:

Passo 2: podemos usar o menu [2] “Select Project” para abrir projetos salvos anteriormente, ao criar um projeto desde zero, deixamos essa opção em branco. Em “Project Name” daremos o nome do projeto [3]. O campo “Domain website” [4] permite introduzir o URL que desejamos auditar, se houver domínio alternativos onde queremos que o FOCA também procure arquivos, podemos adiciona-los em “Alternative domains” [5]. Os arquivos baixados (logo veremos esse passo) serão armazenado na pasta definida no campo “Folder where save documents” [6]. Finalmente, clicamos em “Create” [7] para criar o nosso projeto.

Passo 3: nesse ponto voltamos à tela “Metadata”. O primeiro passo será marcar motores de busca em “Search Engines” [8] (no exemplo, usaremos os três). Na seção “Extensions” temos a opção de selecionar o tipo de arquivo que queremos buscar em nosso projeto [9]. Depois de clicar em “Search all”, será mostrado ao longo do tempo (definido pela quantidade de arquivos localizados na URL do projeto) uma lista similar a que podemos ver na imagem abaixo [10].

Passo 4: para analisar o arquivo (ou arquivos) obtidos na análise, o processo é similar a abrir um arquivo único. Dessa vez, porém, temos que realizar um passo prévio: o download. Para isso, clicamos sobre o arquivo com o botão direito do mouse [11] (é possível selecionar vários arquivos mantendo a tecla “Shift” pressionada) e selecionamos a opção “Download” como mostrado na etapa [12]. Podemos também baixar todos os arquivos da lista clicando em “Download All”.

Passo 5: quando o download for concluído, veremos um ponto à direita na coluna “Download”, além da data e hora em que o arquivo foi baixado. Agora podemos extrair os metadados clicando em “Extract Metadata” [13] e depois analisar seu conteúdo [14] clicando em “Analize Metadata”:

Passo 6: finalmente obtemos o resultado mostrado na imagem abaixo (ocultamos por motivos de privacidade as informações) onde se pode claramente notar o nome do computador em que o arquivo foi criado [15], dados dos servidores [16], nome dos usuários [17], o tipo do software [18] e também informações gerais sobre a criação do arquivo, como data etc.

No vídeo a seguir mostramos em detalhe mais informações sobre o FOCA e opções de funcionamento:

Além disso, nesse livro publicado pela editora 0xWord, é possível encontrar em detalhe todas as funcionalidades e possibilidades de uso do FOCA:

É importante utilizar um software como o FOCA para auditar tanto arquivos pessoais como corporativos. Dessa forma pode-se ter uma visão sobre o conteúdo que estamos tornando público de maneira involuntária, evitando vazamentos de dados. Se você precisa de uma solução profissionais, lembre-se que a ElevenPaths oferece o Metashield Protector, uma solução com várias ferramentas para analisar, proteger e filtrar metadados de arquivos.