في الكثير من الأحيان وعندما تقوم بتحليل ملف معين لإستخراج بعض المعلومات منه , تلاحظ أن هنالك بعض البيانات المغلوطة أو غير الطبيعية في هذا الملف , مثل إسم البرنامج المستخدم , تاريخ التعديل أو حتى تاريخ الإنشاء الأصلي , حيث أن جميع هذه المعلومات يمكن ظاهرياً التعديل عليها والتلاعب بها.

في مقالات سابقة تكلمنا عن البيانات الوصفية أو ما يعرف ب Metadata , وتحدثنا بأن هذه البيانات تكون موجوده داخل الملفات وتختلف طبيعة المعلومات المخزنة من ملف لأخر , فمثلاً من الممكن أن يوجد بالصور إحداثيات جغرافية لمكان إلتقاط الصورة مثل خط الطول ودوائر العرض أو مثلاً الكاميرا التي تم إلتقاط الصورة منها وحتى درجة سطوع الفلاش الخاص بهذه الكاميرا بينما لا توجد مثل هذه المعلومات داخل ملف pdf أو ملف xls مثلاً.

metadata_first

بعد هذه المقدمة البسيطة يجب أن أذكر ما سوف يتم شرحه في هذا المقال , حيث سوف نقوم بالتعديل على هذه البيانات بإستخدام أداة exiftool المختصة بمثل هذه الأمور.

حسناً ربما يتسائل الكثير منكم كيف من الممكن أن يستفيد المخترق من هذه البيانات الموجوده بملف pdf مثلاً ؟ بكل بساطة في حال كان المخترق يقوم بجمع بيانات عن شركة معينة , وقام بتحميل ملف pdf أو docx من موقع الشركة , وقام بتحليل هذا الملف وقام بإكتشاف أن البرنامج الذي تم صناعة الملف من خلاله أو التعديل عليه هو Microsoft word 2007 , من البديهي أن يقوم المخترق بتركيز بحثه على ثغرات في برنامج Microsoft word 2007 ويقوم بإستغلالها داخل أجهزة هذه الشركة ويقوم بعملية إختراق كاملة !

كذلك معرفتك بكيفية التعديل على هذه المعلومات سوف يوسع دائرة المعرفة المرتبط بالبيانات الوصفية لديك لأنها بالفعل تحتوي على كمية معلومات ضخمة ومهمة ويجب على أي هاكر أخلاقي أن يُلّم بها.

إذن دعونا نبدأ بإستخدام أداة exiftool حيث يمكنك تحمليها من خلال الأمر التالي في حال كنت من أحد مستخدمي عائلة Debian :

sudo apt-get install libimage-exiftool-perl

بعد تنصيب الأداة تستطيع تشغيلها من خلال سطر الأوامر بإستخدام الأمر exiftool :

exiftool_start

الأن لدينا ملف يحمل الإسم about.pdf سوف نقوم بإستخراج البيانات الوصفية له بإستخدام أداة exiftool :

أداة exiftool تستخدم للعديد من عمليات تحليل وإستخراج البيانات الوصفية , حيث يمكننا إستعراض البيانات والتعديل عليها وكذلك بعض الأمور الأخرى من خلال نفس الأداة.

سوف نقوم بهذه العملية من خلال تنفيذ الأمر exiftool filename

exif_data

 

كما نشاهد هنالك العديد من معلومات تم إستخراجها من قبل الأداة , حيث تم إستخراج تاريخ إنشاء الملف , البرنامج الذي تم إنشاء الملف من خلاله , وكذلك لغة البرنامج بالإضافة إلى إسم المستخدم الذي قام بإنشاء هذا الملف.

من خلال إسم المستخدم يمكننا التخمين على أي خدمة مرتبطة بسيرفرات الشركة في حال كان هذا الشخص من الفريق التقني أو حتى في حال كان لديك وصول للشبكة.

حسناً , بعد ما قمنا بإكتشاف هذه المعلومات دعونا نحاول التعديل عليها , عملية التعديل بسيطة جداً حيث أننا سوف نقوم بإضافة إسم ال meta tag ومن ثم المعلومات الجديدة التي نريدها , فمثلاً لو أردنا التعديل على Author أو صاحب هذا الملف نستطيع القيام بذلك من خلال الأمر exiftool -Author=”not askar” about.pdf كما هو موضح بالصورة التالية :

exif_data_edited

كما نشاهد تم التعديل بالفعل على الملف بعد تنفيذ الأمر السابق , وتم تغير إسم المستخدم بالفعل , ولكن نلاحظ ظهور meta tag جديد بإسم XMP toolkit , سوف نقوم بحذفه من خلال جعل قيمة XMPToolKit تساوي 0 كما بالصورة التالية :

XMPToolkit_done

الأن سوف نقوم بتغير إسم البرنامج إلى أي إسم عشوائي مثلاً وليكن XXXX , سوف نقوم بعملية التغير كما بالصورة التالية :

exif_producer_done

 

كما نشاهد تم تغير الوسم إلى المعلومات التي قمنا بإدخالها , ولكن ظهر الوسم XMPToolkit مره أخرى , وتستطيعون حذفه مجدداً كما شاهدنا مسبقاً , هذا الوسم يظهر كتوقيع لأداة exiftool.

الأن نستطيع تكرار العملية مراراً وتكراراً على جميع الوسوم وبالطبع نستطيع تغير جميع الوسوم دفعة واحده لكن أحببت أن أقوم بتفصيل بعض الأمور لكم.

سوف نقوم بالتعديل على الوسم الأخير وهو CreateDate ونقوم بإدخاله بصيغة “YYYY:mm:dd HH:MM:SS” أي السنة والشهر واليوم والساعة والدقيقة والثانية , قمت بإدخال قيمة وهمية وكانت النتيجة كالتالي :

exif_create_Date

كما نرى تم تعديل على تاريخ الإنشاء ووضعه يوم 11 من شهر 22 بسنة 2222 😀

ولكن خلال الفترة الماضية كنت أتناقش أنا ومجموعة من الزملاء حول كيفية كشف أي تعديل على هذه البيانات أو وجود أمور يمكن أن تفضح أن هذا الملف تم التعديل عليه والتلاعب بالبيانات الوصفية الخاص بها , هنا سوف أترك لكم النقاش وأرجوا منكم كتابة أرائكم حول هذا الموضوع والمشاركة فيه من خلال التعليقات.

بإذن الله سوف نحاول قدر الإمكان تغطية بعض الأمور الخاصة بتحليل الملفات , والدرس القادم سوف نقوم بشرح بعض الأمور الخاصة بتحديد المواقع الجغرافية من خلال الصور وبرمجة نظام تتبع كامل لهذا الغرض بإستخدام python بإذن الله تعالى.