En muchas ocasiones nos ha surgido la necesidad de saber si los archivos que recibimos o gestionamos contienen la información que deben o por el contrario son capaces de mostrar algo más. Muchos son los casos donde las cosas no son lo que parecen, y aunque a primera vista sí lo intenten demostrar, en su interior los archivos guardan una información que pueden revelar otros secretos.
A los ojos de los usuarios esta información en forma de metadatos, les es desconocida o no saben dónde ubicarla realmente y es en sí un valioso conjunto de datos que pueden ayudar a múltiples propósitos de diferente naturaleza.
Hasta ahora conocíamos soluciones que de una manera u otra eran capaces de mostrar esta información extrayéndola de determinados archivos, pero, ¿cómo poder posteriormente procesarla y aprovecharla?
Hasta ahora conocíamos Metashield Forensics o Metashield Analyzeronline como herramientas de detección de metadatos pero hoy vamos a comentar los entresijos de la herramienta más potente de detección de metadatos del mercado.
Metashield Analyzer es una de las novedades del conjunto de productos de Metashield. En este caso, el objetivo es analizar ficheros proporcionando al usuario un listado de los metadatos detectados para su posterior procesamiento.
Esto es fundamental para el control de fugas de información metadata o para la detección del fraude. Además, los datos obtenidos pueden ofrecernos la información necesaria para detectar imágenes o archivos manipulados, y en muchos casos, cuándo o quién lo ha realizado, lo cual resulta muy interesante. Algunas de las ventajas de este sistema es la cantidad de metadatos diferentes capaz de extraer (superior a 500 metadatos), así como la variedad de extensiones de ficheros con las que trabaja:
Microsoft® Office 2007-2016: *.docx, *.wbk, *.xlsx, *.xlsb, *.xlsm, *.xltx, *.ppsx, *.pptx
Microsoft® Office 97-2003: *.doc, *.wbk, *.xls, *.xlk, *.xlt, *.xar, *.ppt,*.pps, *.tmp, *.asd
Open / Libre Office: *oth, *.odg, *.odt. *.odp, *.ods, *.odm, *.odf, *.otg, *.otp, *.ott, *.ots, *.sxw
iWorks: *.pages, *.key, *.numbers
Multimedia: *.jpg, *.jpeg, *.png, *.tif, *.tiff, *.avi, *.mp4, *.mp3
Comprimidos: *.zip, *.tar
Otros: *.pdf, *.idd, *.iptc,*.indd, *.rtf, *.wpd, *.svg, *.svgz, *.rdp, *.ica
Esta solución a diferencia de la mayoría de las anteriores no posee un instalador específico, por lo que se podría decir que no es un producto independiente. Éste está integrado en el propio Metashield Engine debido a que Metashield Analyzer equivale a una API REST.
Esto supone por tanto la carencia de una interfaz de usuario y así mismo requiere la implementación de un cliente capaz de hacer peticiones al Engine. Este cliente puede ser desarrollado de manera personalizada en lenguajes como Python o .Net, para sacar el máximo partido a la extracción de metadatos.
La petición POST que se debe realizar variará en función de la configuración establecida en Metashield Engine cumpliendo siempre la siguiente estructura:
Esquema://Host:Puerto/api/v1/core/AnalyzeFile
Donde el Esquema puede ser http o https en función de si habilita SSL en el Engine, y el host y el puerto deberán apuntar a la máquina donde esté instalado el mismo.
Éste método necesita como parámetro de entrada un modelo en formato JSON con los siguientes campos:
- FileName (String): Nombre del fichero.
- FilePath (String): Ruta del fichero.
- FileData (byte[]): Contenido del fichero.
Una vez realizado el procesamiento, Metashield Analyzer devuelve al cliente otro modelo donde se puede encontrar dentro de uno de sus campos un JSON con el listado de metadatos asociados al fichero de entrada. A continuación, se muestran algunos ejemplos de metadatos (CameraModel y EventsDate) para explicar la información que el sistema proporciona:
Los campos que forman parte de cada metadato tienen su particular significado:
- Name: Nombre del metadato.
- Values: Conjunto de valores diferentes extraídos del fichero.
- DataGroupId: Identificador utilizado para relacionar diferentes metadatos.
- Categories: Categoría a la que pertenece el metadato. Se han dividido todos los metadatos en 23 categorías diferentes, como pueden ser GPS, personas, fechas, etcétera.
- FileName: Nombre del fichero. Coincide con el valor de entrada siempre y cuando se refiera a los metadatos del propio fichero. Sin embargo, no solo se analiza el fichero principal, sino todos los ficheros incrustados como pueden ser imágenes y en el caso de los ficheros comprimidos, todos los ficheros que los componen. Este campo representa por tanto el fichero ya sea interno o principal en el que se ha encontrado el metadato.
- FilePath: Ruta del fichero al que pertenece el metadato.
Metashield Analyzer resulta por tanto un producto muy sencillo de integrar con otros sistemas, proporcionando a su vez una gran cantidad de información sobre un amplio abanico de extensiones. De este modo, resulta muy útil en la detección y control de fugas de información sensible, y así poder evitar exponerla tratándola con alguno de los productos de la familia, la detección del fraude tan importante hoy para las compañías de seguros o la inestimable ayuda en la resolución de análisis forenses sobre archivos digitales.
Equipo de Metashield
![]()
