OUCH!
| Aprile 2012
Metadati
LAUTORE DI QUESTO NUMERO
rivelare molto di pi di ci che pensate: informazioni su di
James Tarala lautore di questo numero. Senior Instructor
voi, sulla vostra azienda o sul dispositivo che usate. Molti
del SANS Institute e Principal Consultant di Enclave
Security (www.enclavesecurity.com), James anche autore
di diversi corsi di formazione SANS, tra cui SANS Audit
566: Implementing and Auditing the Twenty Critical Security
Controls e SANS Audit 407: Foundations of Auditing
Information Systems.
INTRODUZIONE
Ogni giorno i nostri computer condividono foto, documenti,
fogli di calcolo, presentazioni, file audio e altri tipi di
contenuti digitali con persone di ogni parte del globo. Ci
che sfugge a molti che questi file possono contenere
informazioni private o sensibili sul nostro conto o sulla
nostra azienda: informazioni sotto forma di metadati. Per
aiutarvi a mantenere la vostra privacy e la vostra sicurezza,
illustreremo qui il significato dei metadati, i metodi per
individuarli e rimuoverli, nonch alcuni accorgimenti per una
maggiore protezione.
COSA SONO I METADATI?
Si tratta di informazioni che definiscono o descrivono altri
dati. I Metadati da s non sono dannosi, ma potrebbero
The SANS Institute 2012
IN QUESTO NUMERO
Cosa sono i Metadati?
Individuare e rimuovere i Metadati
Come proteggersi
dispositivi come computer, macchine fotografiche o
smartphone, inseriscono automaticamente metadati in ogni
file digitale creato. Esistono inoltre molti programmi
software o formati di file in grado di supportare standard
che permettono di inserire specifiche tipologie di metadati.
Un esempio Microsoft Word, che per default inserisce in
ogni documento informazioni sullautore, sulla data di
creazione del documento e sugli eventuali commenti e
revisioni. Ecco alcuni esempi di metadati:
Data e ora di creazione del file
Indirizzo o locazione geografica del luogo dove il
file stato creato
Il vostro nome, il nome della vostra azienda, il
nome del vostro computer o il vostro indirizzo IP
Il nome di ogni redattore del documento o i
commenti inseriti
Il tipo di macchina fotografica usata e la sua
configurazione nel momento in cui stata scattata
la foto
Il tipo di dispositivo audio o video usato per la
registrazione e la sua configurazione nel momento
in cui stata effettuata la registrazione
Costruttore, modello e provider dello smartphone
http://www.securingthehuman.org
 OUCH! | Aprile 2012

Metadati

INDIVIDUARE E RIMUOVERE I
METADATI
Molti dispositivi e altrettanti software, sfortunatamente, non
permettono una rimozione semplice dei metadati dai file
creati o modificati, poich essi si trovano spesso in aree
non semplici da raggiungere dallutilizzatore medio. Un
metodo comune per visualizzare e rimuovere i metadati da
un sistema Windows per ogni file su cui state lavorando
di cliccare con il tasto destro sul file e selezionare le sue
Propriet. Dal pop up potete rimuovere i metadati
selezionando la tab Dettagli e selezionando poi Rimuovi
le propriet e le informazioni personali. Un altro modo per
visualizzare i metadati di aprire il file in unapplicazione
I Metadati non sono pericolosi,
speciale: ad esempio, il programma Preview per Mac OS X
in grado di mostrare i metadati di ogni immagine
ma possono rivelare molto pi
visualizzata. di quello che pensate.
Controllateli, prima di
Alcune applicazioni contengono strumenti specifici per condividere i vostri file.
rimuovere i metadati: Microsoft Office 2007 e 2010, ad
esempio, dispongono di uno strumento chiamato Controllo
documento, che permette di identificare i metadati nei
COME PROTEGGERSI
documenti Office, offrendo al contempo lopportunit di La maggior parte dei metadati non comporta alcun pericolo:

rimuoverne selettivamente quelli indesiderati. potete anche lasciarli liberamente disponibili, inserendo ad

Sebbene Microsoft Office per Mac non disponga di questo esempio il vostro nome in unimmagine per scopi di diritti

strumento, comunque in grado di rimuovere i metadati da dautore. In ogni caso, quando si ha a che fare con

un documento Office attraverso Preferenze/Sicurezza/ informazioni sensibili o confidenziali, dovete essere

Privacy e selezionando Rimuovi le informazioni personali coscienti dei metadati che state rivelando ad altri. Quando

da questo file e salva. Infine, esistono diverse applicazioni create un file che include metadati, non c modo di sapere

open source o commerciali sviluppate appositamente per dove si trover quellinformazione in futuro, per cui, ecco

identificare, modificare o rimuovere i metadati dai file. alcune buone prassi da seguire:

The SANS Institute 2012 http://www.securingthehuman.org

 OUCH! | Aprile 2012

Metadati

1. Salvate il file in un formato che non includa metadati o
che abbia un set di metadati molto limitato. Un esempio: Controllo documento:
anzich condividere un documento Word, convertitelo http://tinyurl.com/74r38be
prima in formato .rtf o .txt. Per le immagini, anzich
utilizzare il JPEG, usate il formato PNG. Cosa sono i dati EXIF:
2. Utilizzate un programma di cancellazione dei metadati, http://tinyurl.com/7fkjhdf
come il Controllo documento di Microsoft Office o uno
strumento software specificamente sviluppato per Rimuovere i metadati con Metadata Stripper:
identificare e rimuovere i metadati. http://codewelt.com/stripper
3. Controllate le preferenze e le impostazioni di ogni
applicazione e dispositivo di cui fate uso. Potreste limitare Disabilitare la locazione geografica su iPhone:
la quantit di metadati che registra modificando le opzioni http://tinyurl.com/7zkco5k
di configurazione di default. Ad esempio, potreste
disabilitare il tracciamento geografico (geotagging) della Se la foto della tua nuova auto mette i ladri sulla pista
macchina fotografica sul vostro smartphone. giusta: http://tinyurl.com/8yuuw5w
4. Prima di inviare un file, pensate a quali effetti
potrebbero avere i metadati in esso contenuti. Questo
PER SAPERNE DI PI
vero soprattutto quando vengono inviate foto o video su
Abbonatevi a OUCH!, la newsletter mensile sulla sicurezza
social network, come Flickr, Twitter o Facebook.
informatica, consultate i suoi archivi e approfondite le

Seguendo questi semplici suggerimenti sarete certi che soluzioni di sicurezza di SANS visitandoci presso

solo le informazioni che volete condividere con gli altri http://www.securingthehuman.org.

saranno effettivamente condivise. I dati privati devono

rimanere privati. VERSIONE IN ITALIANO
La versione in italiano curata da Advanction S.A.,
RISORSE unazienda impegnata nella Sicurezza, nel Risk
Alcuni dei link presenti in questa newsletter sono stati Management Operativo e nella Security Awareness.
accorciati per migliorarne la leggibilit utilizzando il servizio Seguila su http://www.advanction.com.
TinyURL.

OUCH! pubblicata dal programma Securing The Human di SANS ed distribuita con licenza Creative Commons BY-NC-ND 3.0.
Questa newsletter pu essere distribuita solo se ne viene citata la fonte, se i suoi contenuti non vengono modificati
e se non viene usata per scopi commerciali. Per traduzioni e per u lteriori informazioni, contattare ouch@securingthehuman.org.
Redazione: Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner
Versione in italiano curata da Advanction S.A.: Stefano Bonacina, Silvestro Maestri, Giorgio Ferrari


The SANS Institute 2012
http://www.securingthehuman.org