Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + Tecnología especializada
DXST - SAST - IAST - SCA - DevSecOps
Caja blanca - Caja gris - Caja negra
Atacando Aplicaciones Web, APIs, Apps Móviles,
Cliente Servidor, Servidores, Redes, Dispositivos IoT
IoT SCI: Sistemas de Control Industrial

REQ.045 Eliminar metadatos al compartir archivos

En el presente documento se detallan los requerimientos de seguridad relacionados a la gestión de archivos dentro de la organización. Por lo tanto, en este requerimiento se recomienda que se eliminen los metadatos de cualquier archivo antes de que este sea compartido.

Requisito

Los metadatos de archivos deben ser eliminados antes de ser compartidos con un tercero o hacerlos públicos.

Descripción

Múltiples herramientas generan archivos y les aplican etiquetas para distinguirlos, indexarlos y clasificarlos mediante los llamados “metadatos”. Por lo general, la información contenida en los metadatos no es controlada por los usuarios de los programas que la generan y por lo tanto existe el riesgo que la información sensible que contiene los metadatos se haga pública al publicar los archivos que los contienen, ejemplos típicos de este riesgo son los metadatos dentro de archivos de texto (doc,txt,pdf), hojas de cálculo, archivos de presentaciones e imágenes. Esta metadata puede revelar nombres de personas, nombres de usuarios, nombres y versiones de software, rutas de instalación y almacenaje de datos, etc.

Implementación

  1. Eliminar metadatos en forma masiva: Existen herramientas para distribuciones de Linux y Windows que permiten la eliminación masiva de metadata antes de que los archivos se publiquen. Esta solución permite limpiar de información sensible varios documentos previo su uso final.

  2. Eliminar metadatos desde un lenguaje de programación: La eliminación desde el código de un lenguaje de programación está orientada al uso de imágenes desde el código fuente de una aplicación, mediante una o varias funciones por lo general inherentes al lenguaje. Se pueden manejar la inclusión de imágenes en la aplicación eliminando previo publicación la metadata incluida en este tipo de archivos.

Ataques

  1. Usuarios con acceso a los archivos con metadatos no controlados pueden robar información expuesta en los mismos.

Atributos

  • Capa: Capa de Recursos.

  • Activo: Archivos.

  • Alcance: Confidencialidad.

  • Fase: Operación.

  • Tipo de Control: Recomendación.


Estado de los servicios - Términos de Uso