Menú principal

jueves, 6 de octubre de 2011

Los ficheros en Mac OS X almacenan la URL de dónde se descargaron. Cómo consultarla y borrarla con xattr.

Una de las características que tienen los sistemas de ficheros es la posibilidad de añadir metadatos a cada uno de los archivos almacenados. Estos metadatos pueden ser, símplemente, la fecha de creación y modificación, o algo más elaborado como en el sistema de ficheros HFS de Mac OS X, que permite una gran cantidad de metadatos. Estos metadatos se pueden utilizar para almacenar muchas cosas, algunas muy interesates desde el punto de vista de análisis forense y/o la privacidad de los usuarios. Hoy vamos a ver alguna curiosa.

La URL de descarga

Para acceder a los metadatos del fichero se puede usar la utilizad Obtener información que viene en el menú de acciones en Finder al seleccionar un archivo. Entre las opciones que aparece, si el archivo ha sido descargado de Internet, se puede ver la URL de descarga, así como el programa que se utilizó para descargarlo.

Figura 1: URL de descarga d euna imagen vista con Obtener Información en Finder

Esta misma información puede ser accedida con las opciones de comando xattr que viene directamente con la shell de comandos. Así que un sencillo comando como el que sigue sobre un fichero (en este caso el archivo de instalación de Firefox 7.0.1) y obtendremos los metadatos a nivel de sistema de ficheros.

Figura 2:  xattr con parámetros -x (extraer) -l (en formato largo) -v (verbose)

En la imagen se pueden ver dos claramente, uno de ellos "kMDItemWhereFroms" almacena la URL desde la que se descargó el fichero, en la que aparece la URL de Mozilla. El otro "quarantine" almacena información sobre cómo se produjo esta descarga, entre las que aparece el programa que se utilizó "Google Chrome" en este caso.

Al final, esta información puede ser útil para el sistema operativo, ya que, por ejemplo, XProtect utiliza esta información para aplicar el filtro antimalware cuando es descargado desde Apple Safari un fichero o para mostrar una alerta la primera vez que se ejecuta un archivo descargado desde Internet.

Información Forense

Acceder a estos datos puede ser muy importante en caso de realizarse un análisis forense a un equipo para saber cómo se infectó, así que se podría hacer un listado de todos los valores kMDItemWhereForms y pasar esas URLS por VirusTotal, por ejemplo, buscando información de posible malware.

Sin embargo, también puede ser un problema para la privacidad de un equipo, por lo que el comando xattr permite la manipulación de estos datos, pudiendo, como se puede ver en la ayuda borrar los datos y/o configurar nuevos valores en metadatos.

Figura 3: Parámetros de xattr

En este caso hemos utilizado la opcion -v (mostar el nombre del fichero) -d (borrar metadato) para borrar esta información del fichero de instalación de Firefox y, como se puede ver, la información desaparece.

Figura 4: Borrar el metadato kMDItemWhereFroms del archivo

Si se quisiera eliminar ese metadato de todos los ficheros descargados, que puede que sea un problema para la privacidad de un determinado usuario, se puede utilizar el comando -r (recursivo) y el comodín * para eliminar todas las URL de descargas de todos los archivos.

xattr -v -r -d kMDItemWhereFroms *

1 comentario:

  1. Muchas gracias por la entrada.
    La he encontrado muy interesante.

    Para el último comando que pones, en 10.6.8 necesita el nombre del atributo completo, incluso acepta comillas:

    $ xattr -v -r -d "com.apple.metadata:kMDItemWhereFroms" *

    Un cordial saludo.

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares