Formatos de arquivos e seus riscos

Se você estiver compartilhando arquivos que você mesmo criou, há muitos tipos de arquivos comuns que podem, sem você saber, conter informações que pode permitir identificá-lo. Este post fornece algumas informações sobre alguns tipos de arquivos potencialmente perigosos.

Se o arquivo é aquele que você tem a partir de outro sistema de compartilhamento de arquivos, não há razão para “higieniza-lo”.

Arquivos

7-Zip

Se você estiver executando no Mac OS X garanta que você não vá usar a codificação AppleDouble ou você pode acabar dando o seu nome de usuário.

Caso contrário, o 7-Zip é o mais seguro para uso e é o formato de arquivo recomendado para a maioria dos propósitos.

Tar

O comando TAR no Unix, por padrão irá incluir o usuário e grupo que possuir cada arquivo que pode dar informações sobre você (provavelmente incluindo o seu nome).

Para evitar que use as opções –owner e –group – Como no exemplo a seguir:

# “tar –owner = root –group = root -cvf tarfile.tar”

Irá criar um arquivo TAR com todos os arquivos dentro da propriedade de raiz que quase todos os sistemas Unix devem ter (o nome de usuário e grupo deve existir).

Usar TAR para criar um arquivo dentro de uma VM em que você executa com um nome que não identifique-o sem opções extras é seguro e confiável.

Comprimindo arquivos .tar usando gzip, bzip2, lzma ou xv não representam qualquer risco, mas não é estritamente necessário.

Zip

O básico formato zip não codifica nada perigoso, mas algum software pode adicionar metadados adicionais que podem dar informações que você prefere não dar, se o software que você está usando para criar o arquivo .zip suporta campos extras, é recomendado que você desabilite qualquer campos que podem fornecer informações sobre você.

Rar (formato proprietário e obsoleto)

NOTA: Isto não se refere aos arquivos .rar utilizados com a linguagem de programação Java.

Não tenho a certeza se deve ou não vazar informações de identificação com o formato RAR, pois é um formato proprietário mal documentado que parece conter comment fields.

Combinado com o fato de que é difícil de lidar em alguns sistemas e é recomendável que você não use esse formato de arquivo e em vez disso passe a usar 7-Zip.

Áudio

Os arquivos de áudio, muitas vezes, contêm metadados, como ID3, APE e Vorbis que são geralmente usados para armazenar música e do artista, bem como a arte da capa, mas se você criou o arquivo pode conter informações de identificação, um editor de tag deve ser capaz de removê-los.

Muitos arquivos de áudio vai existir em um formato contêiner, que pode incluir outros tipos de arquivo que também pode precisar de verificação.

Alguns dispositivos produz áudio com metadados EXIF que você deve remover antes de inserir (este parece ser somente arquivos .wav produzidos por câmeras digitais).

Documentos

Formatos do Office

São bem conhecidos por vazamento de informações, melhor convertê-lo para outro formato.

Formatos OpenDocument

LibreOffice (o programa mais comum para a criação desses arquivos) por padrão inclui o nome do autor nos registros de criação e modificação, para evitar que o seu nome acabe nas propriedades do arquivo que você pode ou não configurá-lo nas propriedades do LibreOffice, você pode removê-lo um arquivo antes de carregar, trazendo até a caixa de diálogo Propriedades, selecionando arquivo, em seguida, em Propriedades no menu.

PDF

Alguns programas que exportam para PDF irá preencher o campo Autor nas propriedades com o seu nome quando executá-los, seria uma boa ideia desativar esse recurso ou a utilização de software que não preencha automaticamente o campo Autor.

HTML

Alguns editores HTML irá inserir tags que pode dar informações sobre você, se você usar um editor GUI HTML, certifique-se para ver se algum meta tags foi inserido.

Alguns editores HTML também têm marcação ‘distinta’, que pode permitir que alguém identifique o editor que você usou para criar o site.

Imagens

GIF

O único metadado que o formato GIF suporta é um comentário, tudo o que você precisa fazer é certificar-se de que o comentário não esteja incluindo quaisquer detalhes de identificação.

JPEG

O formato JPEG suporta um comentário, bem como EXIF e XMP metadados que podem dar informações sobre você (assim como a localização de uma fotografia que foi tirada com um smartphone). Você deve remover os metadados antes de inserir. Também são suportados perfis de cores ICC que podem identificá-lo se você tiver calibrado a fonte da imagem. sRGB ou AdobeRGB é recomendado.

PNG

O formato PNG suporta um comentário, bem como perfis de cores ICC, tudo que você precisa fazer é certificar-se de que o comentário não esteja incluindo quaisquer detalhes de identificação e que o perfil de cor ou é inexistente ou definida para sRGB ou AdobeRGB.

Vídeos

Os arquivos de vídeo podem conter EXIF ou metadados XMP que poderia identificá-lo.

Muitos arquivos de vídeo vai existir em um formato contêiner, que pode incluir outros tipos de arquivo que também pode precisar de verificação.

Anúncios