Cada vez que um documento é criado ou alterado no MS Word o programa registra de maneira invisivel dados sobre a pessoa que o editou, data e hora, entre outros. Ele também registra as alterações efetuadas, inclusive os comentários adicionados ao texto, mesmo que apagados. Esses dados armazenados automaticamente são o metadata, ou metadados, e não são exclusivos do MS Office. Adobe Acrobat, Open Office e praticamente todos os programas os criam. São os dados sobre os dados, ou o conjunto de dados que armazena informações diversas sobre outro dado, informação ou arquivo. Quem o criou, data de criação e atualização, formato e permissões são exemplos comuns. Alguns tipos de arquivos podem ter metadados específicos, como uma imagem (localização geográfica, resolução) ou um arquivo de música (autor, interprete, gênero musical). Além de exercer função importantissima no armazenamento e manuseio de dados, influenciam a segurança da informação, para o bem e para o mal.
Os metadados são de grande valia para sistemas de administração de segurança de arquivos, já que é uma forma de estruturar a segurança de dados não estruturados. O funcionamento desses sistemas consiste basicamente em extrair, armazenar e processar as informações relevantes para sua proteção, em uma maneira estruturada de tratar a proteção do dado não estruturado. Estes seriam alguns metadados relevantes para segurança:
Os metadados são de grande valia para sistemas de administração de segurança de arquivos, já que é uma forma de estruturar a segurança de dados não estruturados. O funcionamento desses sistemas consiste basicamente em extrair, armazenar e processar as informações relevantes para sua proteção, em uma maneira estruturada de tratar a proteção do dado não estruturado. Estes seriam alguns metadados relevantes para segurança:
- Criador e proprietário
- Data de criação
- Permissões de acesso por individuos e grupos
- Dados de acesso, que seriam úteis para auditoria
- Grau de confidencialidade
- Requerimentos legais ou de conformidade – que associa um determinado dado com uma determinada norma
- Negócio – aque associa com um determinado produto ou negócio da empresa, e portanto com seus requerimentos
- Requerimentos de descarte – que detectaria se um documento foi eliminado antes do prazo de validade
Paradoxalmente os metadados criados automaticamente por programas como o MS Office ou Acrobat representam um risco de confidencialidade. Documentos publicados ou compartilhados com clientes e parceiros de negócios carregam diversas informações invisiveis que podem causar vazamento de dados ou mesmo constrangimentos. Imagine uma proposta preparada por diversos departamentos de uma empresa, em que um deles fez comentários a respeitos de falhas nos produtos da empresa. No final do processo a área de vendas remove todos os comentários e envia o documento ao cliente. Mesmo removidos, os comentários, todas as alterações e identificação dos editores continuam lá, disponiveis para visualização.
É possivel também o uso dos metadados na coleta de informações na preparação de invasão de um site. Entre os possíveis dados anexados a arquivos publicados em um site estão nomes de usuários, indicações de plataformas e sistemas usados e até mesmo endereços MAC de pessoas que o editaram. De acordo com o site Metadatarisk, 33% dos sites das empresas listadas no Fortune 1000 contém planilhas Excel, que podem ou não conter metadados com informações confidenciais. Já arquivos Acrobat estão presentes em quase todos os sites. As informações coletadas podem fornecer subsidios valiosos para o hacker planejar seu ataque ou realizar ações de engenharia social para obter mais informações.
