¿Se puede rastrear el origen de un archivo? Si es así, ¿cómo puedo desinfectarlo?

8

Si copié un archivo de mi PC a una unidad flash USB recién formateada, llevé el archivo a una PC pública y a una conexión a Internet pública, creé desde allí un nuevo correo electrónico, creé una nueva cuenta en un servidor de carga, cargué el archivo, compartí un archivo enlace de descarga para este archivo en la web y una persona u organización anónima después de que descargó el archivo, ¿podría esta persona u organización rastrear este archivo?

Además, ¿qué pasa si este archivo es un archivo PDF no mío que tomé de otra persona, cómo puedo hacer que este archivo no se pueda rastrear?

Edd
fuente
Digamos que este archivo será una hoja de Excel o un archivo de Word creado personalmente y puedo crearlo en la PC de otra persona
Edd
y ¿qué pasa con un archivo PDF no-mía que tomé de otra persona
Edd
pero ¿podría hacer que este archivo PDF sea rastreable para mí si lo cargara con estas precauciones
Edd
¿Qué pasa si tengo un software antivirus
Edd
1
@Edd Respuesta actualizada (nuevamente). Vuelva a consultar periódicamente para obtener nuevas actualizaciones;)
DavidPostill

Respuestas:

18

¿Se puede rastrear el origen de un archivo? Si es así, ¿cómo puedo desinfectarlo?

La respuesta corta es que depende:

  • Si el archivo contiene su nombre, dirección, número de teléfono y número de seguro social , no sería muy difícil rastrearlo hasta usted ...

  • Muchas aplicaciones dejan información de identificación de algún tipo, conocida como Metadatos , en archivos además de los datos visibles obvios en el archivo mismo.

  • Los metadatos generalmente se pueden eliminar de los archivos (el método de eliminación depende del tipo de archivo).

  • La carga de un archivo enviará solo la secuencia de datos primaria y dejará atrás las secuencias de datos alternativas y los metadatos residentes del sistema de archivos.

  • Como señaló Andrew Morton, algunas organizaciones hacen pequeños cambios gramaticales (u otros) en cada copia de un documento antes de que se distribuya.

    Al hacer esto, las copias se pueden rastrear a individuos particulares si la copia es robada (o transmitida). Esto, por supuesto, es muy difícil de vencer.

  • Siga leyendo para obtener más información sobre el tipo de datos confidenciales y ocultos que se pueden asociar con diferentes tipos de archivos y cómo limpiarlos (desinfectarlos).


¿Son seguros los archivos de texto sin formato?

Como lo señaló Uwe Ziegenhagen , incluso los archivos de texto sin formato de Windows (así como cualquier otro tipo de archivo) en un sistema de archivos NTFS pueden contener metadatos, en forma de flujos de datos alternativos . Consulte también Cómo usar flujos de datos alternativos NTFS .

Las secuencias de datos alternativas permiten asociar archivos con más de una secuencia de datos. Por ejemplo, un archivo como text.txt puede tener un ADS con el nombre de text.txt: secret.txt (del formulario nombre de archivo: anuncios) al que solo se puede acceder conociendo el nombre ADS o mediante programas especializados de exploración de directorios.

Las secuencias alternativas no son detectables en el tamaño del archivo original, pero se pierden cuando se elimina el archivo original (es decir, text.txt), o cuando el archivo se copia o se mueve a una partición que no admite ADS (por ejemplo, una partición FAT, un disquete o un recurso compartido de red). Si bien ADS es una característica útil, también puede consumir fácilmente espacio en el disco duro si se desconoce si se olvida o no se detecta.

Esta característica solo es compatible si los archivos están en una unidad NTFS.

Cuadro de diálogo Abrir archivo UltraEdit de origen .


Ver y eliminar flujos de datos alternativos

Notas:

  • Cualquier archivo en un sistema de archivos NTFS puede tener una secuencia de datos alternativa adjunta (no solo archivos de texto).
  • Para obtener más información sobre los posibles problemas de seguridad asociados con las secuencias de datos alternativas, vea Amenaza oculta: secuencias de datos alternativas

El Bloc de notas y Word pueden usarse (desde la línea de comandos) para abrir y leer flujos de datos alternativos. Consulte esta respuesta sobre flujos de datos alternativos NTFS de nishi para obtener más información.

UltraEdit puede abrir flujos de datos alternativos desde el propio programa.

AlternateStreamView se puede usar para eliminar flujos de datos alternativos:

AlternateStreamView es una pequeña utilidad que le permite escanear su unidad NTFS y encontrar todas las secuencias alternativas ocultas almacenadas en el sistema de archivos.

Después de escanear y encontrar las secuencias alternativas, puede extraer estas secuencias en la carpeta especificada, eliminar las secuencias no deseadas o guardar la lista de secuencias en un archivo de texto, HTML, CSV o XML.

ingrese la descripción de la imagen aquí

Fuente AlternateStreamView por Nirsoft


¿Qué hay de las imágenes?

Como señaló Scott , las imágenes también pueden contener datos ocultos (un archivo, mensaje, otra imagen o un video, usando esteganografía :

La esteganografía incluye el ocultamiento de información dentro de los archivos de la computadora. En esteganografía digital, las comunicaciones electrónicas pueden incluir codificación esteganográfica dentro de una capa de transporte, como un archivo de documento, archivo de imagen, programa o protocolo.

Los archivos multimedia son ideales para la transmisión esteganográfica debido a su gran tamaño. Por ejemplo, un remitente puede comenzar con un archivo de imagen inofensivo y ajustar el color de cada centésimo píxel para que corresponda con una letra del alfabeto, un cambio tan sutil que es poco probable que alguien que no lo busca específicamente lo note.

Fuente de esteganografía

Esto, por supuesto, es muy difícil de eliminar.

Consulte también Esteganografía: una técnica de ocultación de datos y software de estenografía


¿Qué pasa con las hojas de cálculo de Excel o documentos de Word?

Por defecto, los documentos de Office contienen información personal:

  • Esta información se puede eliminar, consulte el siguiente enlace.

Palabra:

  • Considere usar un archivo de texto plano , creado con el bloc de notas u otro editor, en lugar de un documento de Word

Hoja de cálculo:

  • Considere usar un archivo CSV , creado con Excel y guardado como CSV, o cree un CSV directamente con otro programa como el bloc de notas.

Los documentos de Word pueden contener los siguientes tipos de datos ocultos e información personal:

  • Comentarios, marcas de revisión de cambios rastreados, versiones y anotaciones de tinta

    Si colaboró ​​con otras personas para crear su documento, su documento podría contener elementos como marcas de revisión de cambios rastreados, comentarios, anotaciones de tinta o versiones. Esta información puede permitir que otras personas vean los nombres de las personas que trabajaron en su documento, los comentarios de los revisores y los cambios que se realizaron en su documento.

  • Documentar propiedades e información personal

    Las propiedades del documento, también conocidas como metadatos, incluyen detalles acerca de su documento, como autor, tema y título. Las propiedades del documento también incluyen información que los programas de Office mantienen automáticamente, como el nombre de la persona que guardó un documento más recientemente y la fecha en que se creó. Si utilizó funciones específicas, su documento también podría contener tipos adicionales de información de identificación personal (PII), como encabezados de correo electrónico, información de envío para revisión, notas de ruta y nombres de plantillas.

  • Encabezados, pies de página y marcas de agua.

    Los documentos de Word pueden contener información en encabezados y pies de página. Además, es posible que haya agregado una marca de agua a su documento de Word.

  • Texto oculto

    Los documentos de Word pueden contener texto con formato de texto oculto. Si no sabe si su documento contiene texto oculto, puede usar el Inspector de documentos para buscarlo.

  • Propiedades del servidor de documentos

    Si su documento se guardó en una ubicación en un servidor de administración de documentos, como un sitio de Document Workspace o una biblioteca basada en Microsoft Windows SharePoint Services, el documento podría contener propiedades de documentos adicionales o información relacionada con la ubicación de este servidor.

  • Datos XML personalizados

    Los documentos pueden contener datos XML personalizados que no están visibles en el documento mismo. El Inspector de documentos puede encontrar y eliminar estos datos XML.

Nota:

  • El Inspector de documentos de Word no detectará texto o imágenes de color blanco con esteganografía (un archivo, mensaje, imagen o video oculto)

Fuente Eliminar datos ocultos e información personal inspeccionando documentos


¿Qué sucede si uso un archivo PDF, obtenido de otra persona?

Los PDF no son seguros:

  • Pueden contener virus, consulte ¿Puede un archivo PDF contener un virus?

  • Pueden contener JavaScript. Si el JavaScript fuera a "llamar a casa" cada vez que se abriera el PDF, podría haber un buen rastro, incluida su dirección IP.

  • Los archivos PDF también pueden contener información oculta:

    El PDF también se ha utilizado con frecuencia como formato de distribución para los archivos creados originalmente en Microsoft Office porque los datos y metadatos ocultos se pueden desinfectar (o eliminar) durante el proceso de conversión.

    A pesar de este uso común de documentos PDF, los usuarios que distribuyen estos archivos a menudo subestiman la posibilidad de que puedan contener datos o metadatos ocultos. Este documento identifica los riesgos que pueden asociarse con los documentos PDF y brinda orientación que puede ayudar a los usuarios a reducir la divulgación no intencional de información confidencial.

Fuente de datos y metadatos ocultos en archivos PDF de Adobe:
Riesgos de publicación y contramedidas
, un documento escrito por la NSA


¿Cómo puedo verificar el archivo PDF para asegurarme de que no contiene información confidencial?

Puede seguir los consejos de la NSA para desinfectar su PDF.

  • He resumido los pasos básicos que debe seguir.
  • Las instrucciones detalladas paso a paso con capturas de pantalla están disponibles en el siguiente enlace.

Este documento describe los procedimientos para desinfectar documentos PDF para publicación estática. La desinfección a los fines de este documento significa eliminar datos ocultos y contenido dinámico que no está destinado a publicación (por ejemplo, el nombre de usuario del autor o los comentarios de edición provisionales incrustados en el archivo pero que no están visibles en ninguna página).

Los datos ocultos incluyen:

  • Metadatos

  • Contenido incrustado y archivos adjuntos

  • Guiones

  • Capas ocultas

  • Índice de búsqueda incrustado

  • Datos interactivos almacenados del formulario

  • Revisando y comentando

  • Página oculta, imagen y datos de actualización

  • Texto e imágenes oscurecidos

  • Comentarios PDF (no mostrados)

  • Datos sin referencia

...

Procedimiento detallado de desinfección

  1. Sanitize Source File

    Si la aplicación que generó el archivo fuente tiene una utilidad de desinfección, debe aplicarse antes de convertir a PDF.

  2. Configurar ajustes de seguridad

    • Asegúrese de que todas las actualizaciones de Acrobat aplicables se hayan descargado e instalado
    • Deshabilitar JavaScript
    • Verifique que la configuración del administrador de confianza esté configurada adecuadamente
  3. Ejecutar verificación previa

    Preflight asegura que el contenido del archivo sea compatible con la versión de destino y aplica 'arreglos' según sea necesario.

  4. Ejecute el Optimizador de PDF

    • Si el archivo PDF contiene otros archivos adjuntos, aparece un mensaje de advertencia. Haga clic en 'Aceptar' para continuar. Los archivos adjuntos se eliminarán durante la optimización de PDF.
    • Las etiquetas de documentos representan un riesgo de datos ocultos. Este procedimiento (específicamente la opción marcada para 'Descartar etiquetas de documento') los elimina del PDF desinfectado.
  5. Ejecute la utilidad Examinar documento

    • Esto ayuda a encontrar texto oculto detrás de los objetos, así como cualquier otra área que podría haberse perdido en los pasos anteriores.

Fuente de datos y metadatos ocultos en archivos PDF de Adobe:
Riesgos de publicación y contramedidas
, un documento escrito por la NSA


¡Pero tengo un software antivirus!

Incluso el software antivirus no está garantizado para atrapar todo. Ver exploit de día cero :

Una vulnerabilidad de día cero (también conocida como hora cero o día 0) es una vulnerabilidad de software informático no revelada previamente que los piratas informáticos pueden explotar para afectar negativamente a programas informáticos, datos, computadoras adicionales o una red.

Se conoce como un "día cero" porque una vez que se conoce la falla, el autor del software tiene cero días para planificar y aconsejar cualquier mitigación contra su explotación (por ejemplo, aconsejando soluciones o emitiendo parches)

Fuente día cero


¿Qué pasa con mi unidad USB? ¿Debo preocuparme por eso?

No puede garantizar que su unidad flash USB sea segura.

Los periféricos USB, como las unidades de memoria USB, se pueden reprogramar para robar el contenido de cualquier cosa escrita en la unidad y difundir el código de modificación del firmware a cualquier PC que toque. El resultado neto podría ser un virus autorreplicante que se propaga a través de unidades de memoria USB, al igual que los virus rudimentarios que se propagaron por disquete hace décadas.

Fuente ¿Por qué su dispositivo USB es un riesgo de seguridad?

DavidPostill
fuente
2
Incluso los archivos de texto sin formato (Windows) pueden contener metadatos, la palabra clave aquí es "secuencias de datos alternativas". Los editores más sofisticados como Ultraedit pueden acceder a estos flujos de datos alternativos. Más información aquí: support.microsoft.com/en-us/kb/105763
Uwe Ziegenhagen el
1
@UweZiegenhagen Gran punto. Gracias, agregaré a la respuesta.
DavidPostill
3
Además, se podrían realizar ligeros cambios gramaticales en el archivo para cada persona a la que se distribuyó originalmente. En realidad, esto se hace para (algún nivel de) documentos secretos.
Andrew Morton el
@ AndrewMorton Otro buen punto. Mi respuesta está creciendo ...
DavidPostill
1
Muy completo, y muy aterrador. Disculpe mientras me pongo el sombrero de papel de aluminio y reviso la lámpara en busca de dispositivos para escuchar. En serio, ... (Continúa)
Scott
3

Depende del tipo de archivo. Por ejemplo, todas las aplicaciones de Microsoft Office (Word, Excel, etc.) almacenan la siguiente información en el archivo:

  • nombre de la computadora (donde se guardó el archivo)
  • nombre del autor (de forma predeterminada, nombre de la persona en la que está registrado Microsoft Office, pero esto se puede cambiar fácilmente)
  • fecha en que se acreditó el archivo
  • fecha en que se guardó el archivo por última vez

La información anterior generalmente se denomina metadatos de archivo.

Si guarda el documento como un archivo de texto sin formato, es decir, document.TXT (se abre con el Bloc de notas), no se guardarán metadatos.

Tratar con cuidado :)

Sarga
fuente
A nivel local, un estudiante sintió curiosidad al ver que un memo de 5 líneas escrito en Word era de unos 500 KiB. Lo abrieron y, a través de "deshacer", pudieron leer algunos meses de notas.
vonbrand
@vonbrand, ¿no sería eso Seguimiento de cambios? AFAIK, Word no guarda el historial de deshacer en los archivos que se están editando.
Serge
fue hace mucho tiempo, y claramente la secretaria estaba trabajando en un conjunto limitado de comandos aprendidos de memoria (tal vez incluso encontrados por prueba y error).
vonbrand