FOCA: Як використовувати цей інструмент для аналізу та вилучення метаданих

Чи знаєте ви, що коли ви ділитеся файлом в Інтернеті, ви можете мимоволі розкрити конфіденційну інформацію? Метадані, ці крихітні деталі, приховані всередині документів, зображень або PDF-файлів, можуть розповісти вам набагато більше, ніж ви думаєте. Імена користувачів, версії програмного забезпечення, шляхи до папок і навіть географічні координати – це лише кілька прикладів того, що відкрито.

У цій статті ми збираємося заглибитися в як працює FOCA, безкоштовний і ефективний інструмент, який дозволяє аналізувати та видобувати метадані як з локальних, так і з загальнодоступних файлів у мережі. І що найкраще, ми зробимо це крок за кроком, щоб ви повністю зрозуміли, як ним користуватися, для чого він призначений і як він може допомогти вам захистити вашу інформацію.

Що таке FOCA і для чого він використовується?

FOCA (Організації, що знімають відбитки пальців із зібраними архівами) це програмне забезпечення з відкритим кодом, створене ElevenPaths, підрозділом кібербезпека від Telefónica. Основний функціонал FOCA складається з у пошуку та вилученні метаданих з офісних файлів і зображень. Цей інструмент широко використовується як в аудиті безпеки, так і в цифровій криміналістиці.

FOCA може аналізувати всі типи файлів: документів слово, Excel, PowerPoint, PDF-файли, зображення в різних форматах і навіть файли SVG. Це дозволяє отримувати цінну інформацію, яку можна використовувати в дослідженнях або тестуванні на проникнення (пентестування). Якщо вам цікаво, ви можете дізнатися більше про те, як метадані працюють в інших контекстах на найкращий спосіб знайти координати GPS.

Витягнуті метадані можуть включати:

• Системні імена користувачів.
• Шляхи до каталогу та папки.
• Програмне забезпечення, за допомогою якого створено документ.
• Дати створення, модифікації та друку.
• Геолокаційні дані в зображеннях.
• Електронні адреси та імена серверів.
• Імена принтерів і пов’язані IP-адреси.

Крім того, FOCA дозволяє аналізувати файли, розміщені на веб-доменах, що робить його ще потужнішим інструментом. Виконує автоматичний пошук за допомогою механізмів, таких як Google або Bing, щоб знайти загальнодоступні файли, завантажити їх і проаналізувати. Ця можливість має вирішальне значення для кібербезпеки, і ви можете дізнатися більше про цю тему в Відмінності між HDR і DCR.

Чому аналіз метаданих такий важливий?

Метадані можуть бути ненавмисним джерелом витоку інформації.. Хоча їх не видно неозброєним оком, вони можуть містити конфіденційні дані, які розкривають набагато більше, ніж ми хочемо поділитися. Наприклад, проста фотографія, завантажена з увімкненим GPS, може показати точне місце, де вона була зроблена. Документ Word може виявити, хто його написав, коли та на якому комп’ютері.

У світі кібербезпеки ця інформація є золотом.. Це дозволяє виконувати завдання збору даних (відбитків пальців), які є першим кроком у виявленні вразливостей у компанії чи приватній особі. Тому дуже важливо перевіряти файли перед їх публікацією за допомогою таких інструментів, як FOCA. Існують інші методи та інструменти, які доповнюють цей аналіз, наприклад описані в додаток Bluesky.

Однією з найгучніших справ була справа колишнього прем’єр-міністра Великобританії Тоні Блера, чия команда опублікувала документ Word про зброю масового знищення в Іраку. Метадані показали, що документ було скопійовано та змінено з іншого джерела, що серйозно підірвало його довіру.

FOCA дозволяє швидко та легко працювати з локальними файлами, які вже є на вашому комп’ютері. Процес інтуїтивно зрозумілий і не вимагає передових технічних знань.

Крок 1. Запустіть FOCA та виберіть «Метадані». Цей параметр є серцевиною інструменту, звідки починається весь аналіз.

Крок 2. Додайте файли або папки. Можна скористатися опцією Додати файл якщо ви хочете проаналізувати один файл або Додати папку для цілої папки. Ви також можете перетягувати файли безпосередньо на панель.

Крок 3: витягніть метадані. Після завантаження клацніть файл правою кнопкою миші та виберіть Видобути метадані. Результати відображатимуться впорядковано на панелі ліворуч у розділі «Метадані».

Крок 4: Аналіз результатів. Коли ви клацнете будь-який файл, ви побачите повний підсумок усіх метаданих, знайдених на правій панелі. Від імені автора до використовуваного програмного забезпечення.

Крок 5 (необов’язково): експортуйте дані. Якщо вам потрібно зберегти цю інформацію, ви можете клацнути правою кнопкою миші «Метадані» та вибрати «Експортувати». У цьому процесі важливо враховувати безпеку зберігання даних, як зазначено в Ризики даних у Telegram.

Як використовувати FOCA для аналізу веб-доменів

Однією з найдосконаліших функцій FOCA є те, що вона дозволяє витягувати метадані з загальнодоступних файлів, розміщених на веб-сторінках. Для цього потрібно створити проект і дозволити FOCA виконувати важку роботу за вас.

Крок 1: Створіть новий проект. У розділі «Проект» виберіть Новий проект. Вам потрібно буде дати назву проекту та встановити основний домен (наприклад, example.com). Ви можете додати альтернативні домени, якщо хочете розширити пошук.

Крок 2: Визначте папку для зберігання. FOCA дозволяє автоматично зберігати всі завантажені файли. Ви можете вибрати потрібне місце перед початком пошуку.

Крок 3. Виберіть пошукові системи та типи файлів. Перевірте пошукові системи (Google, Bing) і виберіть розширення файлів, які ви хочете шукати (PDF, DOCX, PPTX тощо).

Крок 4. Знайдіть і завантажте файли. Натисніть «Шукати в усіх», і FOCA шукатиме файли в Інтернеті. Визначивши, виберіть потрібні та клацніть правою кнопкою миші, щоб зробити це. Завантажити o Завантажити Все.

Крок 5. Видобудьте метадані. Після завантаження (вони будуть позначені зеленою крапкою), знову клацніть правою кнопкою миші та виберіть «Витягнути метадані». Якщо вам потрібен більш детальний аналіз, ви можете скористатися опцією «Аналіз метаданих». Це може виявити надзвичайно цінні дані: користувачів, які ввійшли в систему, імена комп’ютерів, внесені зміни, використане програмне забезпечення та навіть конкретні деталі мережевого середовища.

FOCA як інструмент кібербезпеки та пентестування

FOCA є ідеальним інструментом для попередньої роботи в тестуванні на проникнення.. Він використовується для відображення структури організації без безпосереднього доступу до її систем. Використовуючи метадані, ми можемо визначити, як працює компанія, які системи вона використовує та які недоліки можуть існувати.

Крім того, FOCA дозволяє:

• Відкрийте субдомени та IP-адреси.
• Виконайте передачу зон DNS.
• Відображення внутрішніх мереж за допомогою сканування PTR.
• Виявлення кешу DNS та інших записів на серверах.

Ці розширені функції роблять його незамінним інструментом в арсеналі будь-якого аналітика кібербезпеки. Вкрай важливо, щоб ті, хто працює в цій галузі, були в курсі інструментів, наприклад тих, що описані в Ефективні програми для відновлення файлів.

Чи важко використовувати FOCA?

Зовсім ні. FOCA має дуже зручний графічний інтерфейс, навіть для тих, хто вперше знайомиться зі світом кібербезпеки. На його користь є численні навчальні посібники, відео та спеціальні книги, які крок за кроком пояснюють, як це працює.

І хоча програмне забезпечення переважно англійською мовою, його меню дуже інтуїтивно зрозумілі, тому це не є справжньою перешкодою. Просто зрозумівши кілька ключових слів (Видобуток, метадані, завантаження, аналіз), тепер ви можете почати користуватися нею.

Запобіжні заходи проти ризиків метаданих

Знати ризики — це половина справи, діяти — друга половина.. Якщо ви завантажуєте документи в Інтернет або працюєте в компанії, яка регулярно публікує вміст, вам слід встановити протоколи для видалення метаданих, перш ніж надавати спільний доступ до документів. Такі інструменти, як FOCA, дозволяють нам знати яка інформація розкривається. Крім того, ElevenPaths також пропонує корпоративні рішення, такі як Metashield Protector, спеціалізований платний інструмент для автоматичного видалення або фільтрації метаданих.

У юридичному, журналістському чи бізнес-контекстах належне видалення метаданих має важливе значення для збереження конфіденційності й уникнення юридичних проблем чи проблем із репутацією.

Якщо ви серйозно ставитеся до кібербезпеки, інструмент FOCA є обов’язковим інструментом.. І якщо ви працюєте в середовищах, де обробляється конфіденційна інформація, логічним кроком буде включити цей тип аналізу у ваші регулярні процеси.

FOCA не тільки доступна та потужна, але й може змінити організацію, яка захищає свою інформацію, від організації, яка мимоволі розкриває її. Навчившись користуватися ним, ви не тільки зможете проводити більш безпечні перевірки, але й відкриєте професійні двері в одну з найбільш затребуваних сьогодні сфер кібербезпеки.