13/03/2017

Jak efemeryczne metadane mogą powodować prawdziwe problemy

Porady Prywatność

Które zagrożenie z obszaru informatyki najbardziej zagraża firmom, małym i średnim przedsiębiorstwom, rządom i użytkownikom indywidualnym?

Odpowiedź brzmi oczywiści wyciek danych. A którym wyciekom danych najtrudniej jest zapobiec? Tym, o których ludzie nie wiedzą.

Dziś opowiem Wam o czymś, o czym większość ludzi nie wie lub nad czym się zbytnio nie zastanawia — o metadanych. Są to informacje o pliku (nie te wyświetlane w pliku). Metadane mogą sprawić, że zwykły dokument cyfrowy stanie się kompromitujący.

Metadane dokumentu

Najpierw zacznijmy od wiedzy teoretycznej. W amerykańskim prawie wyróżnia się trzy kategorie metadanych:

  1. Metadane aplikacji są dodawane do pliku przez aplikację użytą do utworzenia danego dokumentu. Zawierają informacje o edycjach naniesionych przez użytkownika, w tym logi zmian i komentarze.
  2. Metadane systemowe zawierają informacje o imieniu i nazwisku autora, nazwie i rozmiarze pliku, a także wprowadzonych zmianach itp.
  3. Metadane osadzone mogą być formułami w komórkach Excela, hiperłączami oraz plikami powiązanymi z dokumentem. Do tej kategorii należą także metadane EXIF charakterystyczne dla plików graficznych.

Klasycznym przykładem kłopotów, jakie może sprawić wyciek metadanych, jest przygotowany w roku 2003 raport brytyjskiego rządu na temat domniemanej broni masowego rażenia w Iraku. Wersja .doc raportu zawierała metadane o autorze (a mówiąc precyzyjniej: o autorach ostatnich 10 zmian). Informacje te wzbudziły pewne wątpliwości na temat jakości, autentyczności i wiarygodności raportu.

Jak dowiedziało się później BBC, w wyniku upublicznienia metadanych oryginalnego pliku rząd zdecydował się korzystać z wersji .pdf raportu, która zawiera znacznie mniej takich informacji.

20 milionów dolarów za (spreparowany) plik

Inny ciekawy przypadek, który poruszył kwestię związaną z metadanymi, dotyczył klienta amerykańskiej firmy prawniczej, Venable, w 2015 r. Do Venable zgłosiła się firma, której wiceprezes niedawno zrezygnował ze swojej funkcji. Niedługo po jego odejściu firma ta utraciła umowę z organizacją rządową na rzecz jej konkurenta — dla której pracował były wiceprezes.

Firma oskarżyła byłego wiceprezesa o nadużycie tajemnic handlowych, twierdząc, że w ten sposób wygrał przetarg na umowę z rządem. Jako dowód w ramach obrony pozwany i jego nowa firma przedstawili podobną ofertę handlową przygotowaną dla rządu zagranicznego. Według nich została ona przygotowana dla innego klienta przed podpisaniem umowy w Stanach Zjednoczonych, wobec czego wcześniejszy wiceprezes nie naruszył umowy z powodem o zakazie konkurencji.

Jednak oskarżeni nie wzięli pod uwagę tego, że w metadanych ich dowodów znajduje się nieprawidłowy znacznik czasu. Według metadanych systemowych plik został ostatnio zapisany przed ostatnim wydrukowaniem go, co, jak potwierdził ekspert, nie mogło się wydarzyć. Znacznik czasu ostatniego wydruku należy do grupy metadanych aplikacji i jest on zapisywany w dokumencie tylko wtedy, gdy sam plik jest zapisywany. Jeśli dokument zostanie wydrukowany i nie zostanie później zapisany, nowa data drukowania nie zostanie zapisana w metadanych.

Kolejnym dowodem sfałszowania tego dokumentu była data jego utworzenia na serwerze firmowym: wg niej dokument powstał po złożeniu pozwu w sądzie. Co więcej, oskarżonym zarzucono manipulowanie znacznikiem czasu w ostatniej edycji plików .olm (rozszerzenie to jest używane dla plików programu Microsoft Outlook dla komputerów Mac).

Dowody w postaci metadanych były dla sądu wystarczające, aby orzec na korzyść powodów, którym ostatecznie przyznano kwotę w wysokości 20 milionów dolarów. Z kolei na oskarżonych nałożono dodatkowe miliony w ramach sankcji.

Pliki ukryte

Pliki pakietu Microsoft Office oferują bogaty zestaw narzędzi do gromadzenia prywatnych danych. Na przykład przypisy tekstu mogą zawierać dodatkowe informacje nieprzeznaczone do użytku publicznego. Wbudowana w Wordzie funkcja śledzenia zmian może zostać użyta do szpiegowania. Chociaż po wybraniu opcji „Pokaż wersję ostateczną” (w zależności od wersji programu Word inna nazwa tego polecenia to np. „Bez adjustacji”) śledzenie zmian zniknie na ekranie, ale pozostanie w plikach, oczekując na jakiegoś uważnego użytkownika.

Ponadto warto wiedzieć także o notatkach do slajdów w prezentacjach Power Point czy ukrytych kolumnach w arkuszach Excel.

Próby ukrycia danych o dokumencie, gdy nie ma się odpowiedniej wiedzy w tym zakresie, mogą nie przynieść spodziewanych efektów. Doskonałym przykładem tutaj jest dokument sądowy opublikowany na stronie CBSLocal, opisujący sprawę między Stanami Zjednoczonymi a Rodem Blagojewiczem, byłym gubernatorem stanu Illinois.

Niektóre fragmenty tekstu zostały zakryte przez czarne paski. Jednak jeśli skopiujesz i wkleisz tekst do dowolnego edytora tekstu, przeczytasz go w całości.

Czarne pola w pliku PDF przydają się do ukrycia informacji podczas drukowania, jednak w cyfrowym formacie można je z powodzeniem ominąć

Pliki w plikach

Dane z plików zewnętrznych osadzonych w dokumencie to zupełnie inna historia.

Aby podać przykład z życia wzięty, udaliśmy się na strony rządowe (to te z rozszerzeniem .gov) i wybraliśmy raport podatkowy Departamentu Edukacji Stanów Zjednoczonych za rok finansowy 2010.

Pobraliśmy plik i wyłączyliśmy zabezpieczenie „Tylko do odczytu” (co nie wymagało hasła). Na stronie numer 41 znajduje się schemat. Korzystając z opcji jego menu kontekstowego „Zmień dane”, dotarliśmy do osadzonego w nim pliku źródłowego Microsoft Excel, który zawierał wszystkie dane źródłowe.

Raport w pliku Word zawiera arkusz Excela z wieloma danymi źródłowymi tego i kilku innych schematów

Pliki osadzone mogą zwierać wiele informacji, w tym prywatnych. Osoba, która opublikowała ten dokument, musiała zakładać, że dane te nie będą dostępne.

Żniwa metadanych

Proces gromadzenia metadanych z dokumentów należących do konkretnej organizacji może zostać zautomatyzowany przy pomocy takich programów jak FOCA firmy ElevenPaths (Fingerprinting Organizations with Collected Archives).

Program FOCA może wyszukać i pobrać żądane formaty dokumentów (np. .docx i .pdf), przeanalizować ich metadane i znaleźć wiele informacji o organizacji, np. jakie oprogramowanie po stronie serwera jest używane, jakie są nazwy użytkowników itp.

W tym miejscu należy przypomnieć, że analizowanie stron przy użyciu takich narzędzi, nawet na potrzeby badań, może zostać uznane przez właścicieli stron za akt cyberprzestępstwa.

Dziwactwa w dokumentach

Oto kilka nietypowych faktów związanych z metadanymi, o których nie wie wielu ekspertów IT. Weźmy pod lupę system plików NTFS używany przez system Windows.

Fakt 1. Jeśli usuniesz plik z folderu i natychmiast zapiszesz nowy plik z tą samą nazwą w tym samym folderze, data jego utworzenia będzie taka sama jak data usuniętego pliku.

Fakt 2. Oprócz innych metadanych system plików NTFS zachowuje datę ostatniego otwarcia pliku. Jeśli jednak otworzysz plik i sprawdzisz w jego właściwościach czas ostatniego otwarcia, data będzie taka sama.

Pewnie myślisz, że są to tylko błędy. Nic bardziej mylnego, są to funkcje dokumentu. W pierwszym przypadku mówimy o tunelowaniu, które zapewnia kompatybilność wsteczną. Domyślnie efekt ten trwa przez 15 sekund, w tym czasie nowy plik otrzymuje znacznik czasu tworzenia taki jak poprzedni plik (ten przedział czasu można zmienić w ustawieniach systemowych lub całkowicie wyłączyć tunelowanie w rejestrze). Korzystając z domyślnej wartości tego przedziału, w jednym tygodniu spotkałem się z tym zjawiskiem dwa razy.

Jeśli chodzi o drugi przypadek, począwszy od systemu Windows 7, na potrzeby poprawienia wydajności, firma Microsoft wyłączyła automatyczne znakowanie czasu w odniesieniu do ostatniego otwarcia pliku. Funkcję tę możesz włączyć w rejestrze. Jednak wówczas nie będzie można odwrócić tego procesu w celu naprawy problemu; system plików nie przechowuje poprawnych znaczników czasu (jak udowodnił edytor dysku dający dostęp na niskim poziomie).

Mamy nadzieję, że eksperci informatyki śledczej są świadomi tych faktów.

Korzystając z okazji, dodam, że dołączone do plików metadane można zmienić, wykorzystując domyślne aplikacje w systemie operacyjnym oraz specjalny program. Wobec tego metadane nie mogą stanowić dowodu w sądzie, dopóki nie istnieje np. usługa mailingowa czy logi serwera.

Metadane: jak zapewnić sobie bezpieczeństwo

Wbudowana w Microsoft Office funkcja o nazwie Inspekcja dokumentu (w programie Word 2016 znajduje się ona w menu Plik → Informacje → Inspekcja dokumentu) wyświetla dane, które są umieszczone w pliku. W pewnym stopniu dane te można usunąć na żądanie — jednak dane osadzone pozostaną (jak w raporcie Departamentu Edukacji przytoczonym powyżej). Użytkownicy powinni zadbać o tę kwestię podczas wstawiania schematów i wykresów.

Program Adobe Acrobat również oferuje możliwość usuwania metadanych z plików.

W każdym przypadku wyciekom powinny zapobiegać programy dbające o bezpieczeństwo. Na przykład my umieściliśmy moduł chroniący przed wyciekiem danych (ang. Data Loss Prevention, DLP) w naszych następujących produktach: Kaspersky Total Security for Business, Kaspersky Security for Mail Server i Kaspersky Security for Collaboration. Produkty te mogą filtrować poufne metadane takie jak logi zmian, komentarze czy obiekty osadzone.

Oczywiście idealną metodą (czytaj: nieosiągalną) gwarantującą całkowitą ochronę przed wyciekiem jest skompletowanie odpowiedzialnego, świadomego i dobrze przeszkolonego zespołu pracowników.