Início > Dicas > Arquivos DOCX, XLSX, PPTX (Open Office XML) e suas implicações na Perícia Forense

Arquivos DOCX, XLSX, PPTX (Open Office XML) e suas implicações na Perícia Forense

O Open Office XML (ooxml ou openxml) é um padrão criado pela Microsoft para a representação de arquivos de texto, planilha, gráficos e apresentações. Tornou-se padrão apartir da versão 2007 do pacote de escritório Microsoft Office.  A extensão do arquivo baseado no Open Office XML leva em consideração as extensões das versões anteriores acrescidas de um “X”, ficando docx, xlsx, pptx.

Um arquivo Open Office XML é um conjunto de arquivos XML e outros recursos compactados no padrão ZIP. Isso indica que podemos ver seu conteúdo renomeando o arquivo para a extensão ZIP e depois usando um descompactador como o do próprio Windows, Winzip ou 7zip.

O uso de arquivos XML comprimidos em ZIP, trás um significativo no tamanho do arquivo, veja na imagem abaixo.

Ao descompactar o arquivo renomeado para ZIP com o seu programa favorito, o mesmo irá mostrar toda a estrutura do Open Office XML que estava compactada. Na figura abaixo está a estrutura de um DOCX.

Conteúdo do OPen Office XML

Dependendo do tipo do documento, os itens  internos têm estruturas diferentes de diretórios e nomes. Um aplicativo usará as relações de arquivos para localizar as seções individuais, acompanhadas de metadados.

Um arquivo básico do padrão Open Office XML começa com um arquivo XML chamado [Content_Types] xml na raiz, junto com três pastas: “_rels” , “docProps” e um diretório específico para o documento. A  diretório Words contém os o conteúdo principal do seu documento.

[Content_Types]. xml –> Este arquivo prove informações do MIME TYPE de cada parte do pacote.

_rels –> Este diretório contém os relacionamentos para os arquivos dentro do Open Office XML. Para encontrar as relações para um arquivo específico, procure o _rels diretório que é irmão do arquivo, e depois para um arquivo que tem o nome do arquivo original com um . rels anexado a ele. Por exemplo, se o conteúdo do arquivo tipos tinham qualquer relação, haveria um arquivo chamado [Content_Types]. xml.rels dentro do _rels diretório.

_rels /.rel –> Este arquivo é onde as relações de pacotes estão localizados. As aplicações verificam aqui primeiro. Em um documento mínimo, ele contém o arquivo document.xml arquivo, e as relacionamento detalhados dos metadados.

docProps / core.xml –> Este arquivo contém as propriedades fundamentais para qualquer documento Office Open XML.

Words / document.xml –> Este arquivo é a parte principal de um documento do Word.

∞                                      A  PERÍCIA                                                                                

Após entendermos um pouco mais da estrutura do Open Office XML, iremos perceber o porque a perícia nesse tipo de arquivo e diferente do seu antecessor.

∞ Data e autor

Ao utilizar uma ferramenta de perícia forense (FTK) sobre os arquivos do padrão Open Office XML, observei que a data dos arquivos em sua estrutura estavam todos datados de 1 de Janeiro de 1980.

 Word, Excel, PowerPoint colocam a data do documento de criação na tag  <dctermstag: created> do arquivo core.xml, dentro de docProps .  O PowerPoint 2007 codifica os dados de criação em cada arquivo slideLayoutn.xml.

Quando eu examinei os arquivos criados pelo OpenOffice (da Oracle), observei que o selo de tempo utilizado nos arquivos e pastas de sua estrutura são do sistema local. O sistema expressou a hora GMT, sem correção de fuso horário local.

∞ Ocultar informações dentro de um OOXML ou ODF

Outro ponto que me levantou um alerta neste estudo foi da ocultação de arquivos dentro de um arquivo OOXML ou ODF. Creio que as atuais ferramentas de forense ou de proteção de perímetro como Firewall Layer 7, Webfilter e antispam, não estão preparadas para identificar esse tipo de uso. Os arquivos do OOXML possuem uma verificação cíclica de redundância (CRC32) para checar cada parte. Isso possibilita a recuperação de parte do documento, mesmo o seu conteúdo sendo alterado. Esse tópico foi levantado no artigo escrito por S. Garfinkel.

Foram identificadas várias oportunidades para esconder dados em arquivos ODF eOOX usando comentários. A primeira abordagem não funciona bem, já a segunda e terceira funcionaram corretamente:

  1. Adicionando seções para o arquivo ZIP.
    Quando o Microsoft Word encontrar um arquivo modificado desta maneira, ele informa que o arquivo está corrompido e fornece uma opção para recuperar seus dados. Com isso o arquivo mesmo alterado ou com uma estrutura diferente da original irá abrir.
  2. Colocar comentários diretamente no arquivo ZIP.
    Usando o recurso de comentário que o formato de arquivo ZIP oferece. Testei no Office 2007 e constatei que esses programas parecem ignorar os comentários ZIP quando os arquivos são lidos. Com isso é possível enviar informações. Isso pode ser um problema sério para o vazamento de informações, tal como aconteceu no Wikileaks. ”
    PKZIP – C ZIPFILE ‘comentário’
  3. A adição de comentários para os arquivos XML como comentários XML.
    Os programas que testamos ignorou os dados armazenados como comentários XML. Assim como no comentário do ZIP é possível usar esse recurso para o vazamento de informações.
    <!– comentário aqui –>

Estes campos de comentários são de interesse para análise forense, porque, embora muitos formatos de documento permitam comentários incorporados, as ferramentas forenses que testei ignoram os comentários armazenados em arquivos ODF e OOX. Alguém pode, portanto, usar os comentários incorporados como um canal de comunicações secreto. Se você quiser afastar os curiosos do entendimento do seu comentário, você poderá encriptar ou usar um método mais simples de codificar em base64 e armazena-lo como um comentário dentro de uma das seções do arquivo XML.

Caso eu evolua mais nos estudos do OOXML ou do ODF, irei postar novas informações.

Leia Mais

Anúncios
Categorias:Dicas
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: