Mastodon

Quante informazioni state esponendo con un Copia-e-Incolla?


Inutile negare che alcuni programmi di Microsoft, se usati assieme, facilitino la vita di tutti i giorni in ufficio, del resto sono pensati per quello. Ma spesso può capitare che i programmi siano troppo solerti e che non ci si renda conto che quello che viene copiato e, soprattutto, incollato non è solamente il testo formattato che vediamo, ma anche alcune informazioni note con il termine tecnico di metadati e informazioni circa il nostro PC

Un cliente mi ha mandato una mail composta con Outlook Express in cui aveva fatto un copia e incolla di un testo creato con Word. Il sorgente HTML di una mail composta in questo modo può rivelare alcune informazioni che vogliamo restino private o che potrebbero essere utilizzate come elementi di social engineering per portare degli attacchi alla nostra organizzazione.

Di seguito mostro alcuni elementi che potrebbero essere contenuti in una mail inviata con il metodo appena descritto; ovviamente i dati veri sono stati omessi o modificati per proteggere l’innocente. Mi limito qui ad analizzare la parte HTML del messaggio, va da sé che non è l’unica fonte di informazioni che dovrebbero restare riservate, in quanto anche gli header del messaggio  potrebbero contenere informazioni preziose per i malintenzionati.

Subito dopo il tag TITLE c’è un tag BASE con questo contenuto: file:///C:/Documents and Settings/user/Desktop/pippo/Lettera pluto.htm che rivela il percorso completo del documento e dice già molte cose sul PC di chi lo manda. La stessa informazione è ripetuta varie volte all’interno del documento, specialmente se sono presenti delle immagini.

Di seguito due tag META indicano esattamente la versione di Word e del traduttore HTML utilizzati, informazione utili per attacchi mirati contro vulnerabilità specifiche di alcune versioni del software.

La parte più succosa è però il punto in cui sono inseriti i metadati del documento Word, quei dati che molte volte tradiscono la vera origine del documento o il tempo impiegato per redigerlo, ecco il contenuto dei metatadati con valori inventati:

 <o:DocumentProperties>
  <o:Author>Pippo</o:Author>
  <o:LastAuthor>Pluto</o:LastAuthor>
  <o:Revision>9</o:Revision>
  <o:TotalTime>429</o:TotalTime>
  <o:LastPrinted>2005-02-06T15:20:00Z</o:LastPrinted>
  <o:Created>2009-09-01T14:23:00Z</o:Created>
  <o:LastSaved>2009-09-01T16:00:00Z</o:LastSaved>
  <o:Pages>47</o:Pages>
  <o:Words>807</o:Words>
  <o:Characters>4096</o:Characters>
  <o:Company>A.C.M.E. S.p.A.</o:Company>
  <o:Lines>44</o:Lines>
  <o:Paragraphs>42</o:Paragraphs>
  <o:CharactersWithSpaces>6093</o:CharactersWithSpaces>
  <o:Version>9.6936</o:Version>
  </o:DocumentProperties>

Questo post non ha certo la pretesa di essere esaustivo in materia: non in tutte le mail sono presenti questi dati e magari potrebbero esserci altri dati in caso di documenti formattati diversamente o creati con programmi differenti. Un audit periodico sui dati che si spediscono involontariamente a terzi non farebbe male.


Leave a Reply

Your email address will not be published. Required fields are marked *