Czy pochodzenie pliku jest identyfikowalne? Jeśli tak, to jak mogę je zdezynfekować?

Jeśli skopiowałem plik z komputera na nowo sformatowany dysk flash USB, zabrałem go do publicznego komputera i publicznego połączenia internetowego, utworzyłem stamtąd nowy e-mail, utworzyłem nowe konto na serwerze przesyłania, przesłałem plik, udostępniono czy link do pobierania tego pliku w Internecie i anonimowej osoby lub organizacji po pobraniu pliku, czy ten plik byłby możliwy do prześledzenia przez tę osobę lub organizację?

A jeśli ten plik to nie-mój plik PDF, który wziąłem od kogoś innego, jak mogę uniemożliwić jego wykrycie?

Czy pochodzenie pliku jest identyfikowalne? Jeśli tak, to jak mogę je zdezynfekować?

Krótka odpowiedź brzmi:

• Jeśli plik zawiera twoje imię i nazwisko, adres, numer telefonu i numer ubezpieczenia społecznego, odnalezienie go z powrotem nie byłoby trudne ...

• Wiele aplikacji pozostawia w plikach pewne informacje identyfikujące - znane jako Metadane - oprócz oczywistych widocznych danych w samym pliku.

• Metadane można zwykle usunąć z plików (metoda usuwania zależy od typu pliku).

• Przesłanie pliku spowoduje wysłanie tylko głównego strumienia danych i pozostawi alternatywne strumienie danych i metadane rezydentne dla systemu plików.

• Jak zauważył Andrew Morton, niektóre organizacje dokonują drobnych zmian gramatycznych (lub innych) w każdej kopii dokumentu, zanim zostanie on rozpowszechniony.

  W ten sposób kopie mogą być śledzone dla poszczególnych osób, jeśli kopia zostanie skradziona (lub przekazana). Jest to oczywiście bardzo trudne do pokonania.

• Czytaj dalej, aby uzyskać więcej informacji na temat rodzaju poufnych i ukrytych danych, które można powiązać z różnymi rodzajami plików i jak je czyścić (dezynfekować).

Czy korzystanie z plików tekstowych jest bezpieczne?

Jak zauważył Uwe Ziegenhagen , nawet zwykłe pliki tekstowe Windows (jak również każdy inny typ pliku) w systemie plików NTFS mogą potencjalnie zawierać metadane, w postaci alternatywnych strumieni danych . Zobacz także Jak korzystać z alternatywnych strumieni danych NTFS .

Alternatywne strumienie danych pozwalają na powiązanie plików z więcej niż jednym strumieniem danych. Na przykład plik taki jak text.txt może mieć ADS o nazwie text.txt: secret.txt (o nazwie pliku: reklamy), do którego można uzyskać dostęp tylko poprzez znajomość nazwy ADS lub przez wyspecjalizowane programy do przeglądania katalogów.

Alternatywne strumienie nie są wykrywalne w rozmiarze oryginalnego pliku, ale są tracone po usunięciu oryginalnego pliku (tj. Text.txt) lub po skopiowaniu lub przeniesieniu pliku na partycję, która nie obsługuje ADS (np. Partycja FAT, dyskietka lub udział sieciowy). Chociaż ADS jest przydatną funkcją, może również łatwo zająć miejsce na dysku twardym, jeśli jest nieznany z powodu zapomnienia lub niewykrycia.

Ta funkcja jest obsługiwana tylko wtedy, gdy pliki znajdują się na dysku NTFS.

Otwarte okno dialogowe Plik źródłowy UltraEdit .

Wyświetlanie i usuwanie alternatywnych strumieni danych

Uwagi:

• Każdy plik w systemie plików NTFS może mieć dołączony alternatywny strumień danych (nie tylko pliki tekstowe).
• Aby uzyskać więcej informacji na temat potencjalnych problemów związanych z bezpieczeństwem związanych z alternatywnymi strumieniami danych, zobacz Ukryte zagrożenie: alternatywne strumienie danych

Notatnika i Worda można używać (z wiersza poleceń) do otwierania i odczytywania alternatywnych strumieni danych. Zobacz tę odpowiedź Alternatywne strumienie danych NTFS według nishi, aby uzyskać więcej informacji.

UltraEdit może otwierać alternatywne strumienie danych z poziomu samego programu.

AlternateStreamView może służyć do usuwania alternatywnych strumieni danych:

AlternateStreamView to małe narzędzie, które pozwala przeskanować dysk NTFS i znaleźć wszystkie ukryte alternatywne strumienie przechowywane w systemie plików.

Po zeskanowaniu i znalezieniu alternatywnych strumieni możesz wyodrębnić te strumienie do określonego folderu, usunąć niechciane strumienie lub zapisać listę strumieni w pliku tekstowym, HTML, CSV lub XML.

Źródło AlternateStreamView autorstwa Nirsoft

A co ze zdjęciami?

Jak zauważył Scott , obrazy mogą również zawierać ukryte dane (plik, wiadomość, inny obraz lub wideo, przy użyciu steganografii :

Steganografia obejmuje ukrywanie informacji w plikach komputerowych. W cyfrowej steganografii komunikacja elektroniczna może obejmować kodowanie steganograficzne wewnątrz warstwy transportowej, takiej jak plik dokumentu, plik obrazu, program lub protokół.

Pliki multimedialne są idealne do transmisji steganograficznej ze względu na ich duży rozmiar. Na przykład nadawca może zacząć od nieszkodliwego pliku obrazu i dostosować kolor co 100 pikseli, tak aby odpowiadał literze w alfabecie, co jest tak subtelną zmianą, że mało prawdopodobne jest, aby ktoś tego nie zauważył.

Źródło steganografii

Jest to oczywiście bardzo trudne do usunięcia.

Zobacz także Steganografia - technika ukrywania danych i oprogramowanie stenograficzne

Co z arkuszami kalkulacyjnymi Excel lub dokumentami Word?

Domyślnie dokumenty biurowe zawierają dane osobowe:

• Informacje te można usunąć, patrz link poniżej.

Słowo:

• Rozważ użycie zwykłego pliku tekstowego utworzonego za pomocą notatnika lub innego edytora zamiast dokumentu tekstowego

Arkusz:

• Zastanów się nad użyciem pliku CSV utworzonego za pomocą programu Excel i zapisanego jako CSV lub utwórz plik CSV bezpośrednio za pomocą innego programu, takiego jak notatnik.

Dokumenty Word mogą zawierać następujące typy ukrytych danych i danych osobowych:

• Komentarze, znaczniki zmian ze śledzonych zmian, wersji i adnotacji odręcznych

  Jeśli współpracowałeś z innymi osobami przy tworzeniu dokumentu, dokument może zawierać elementy, takie jak znaki rewizji ze śledzonych zmian, komentarze, atramentowe adnotacje lub wersje. Informacje te mogą umożliwić innym osobom wyświetlanie nazw osób, które pracowały nad Twoim dokumentem, komentarzy recenzentów oraz zmian wprowadzonych w dokumencie.

• Właściwości dokumentu i dane osobowe

  Właściwości dokumentu, znane również jako metadane, obejmują szczegółowe informacje o dokumencie, takie jak autor, temat i tytuł. Właściwości dokumentu obejmują również informacje, które są automatycznie obsługiwane przez programy pakietu Office, takie jak imię i nazwisko osoby, która ostatnio zapisała dokument oraz data utworzenia dokumentu. Jeśli korzystasz z określonych funkcji, dokument może również zawierać dodatkowe rodzaje danych osobowych (PII), takie jak nagłówki wiadomości e-mail, informacje o przesłaniu do recenzji, listy tras i nazwy szablonów.

• Nagłówki, stopki i znaki wodne

  Dokumenty Word mogą zawierać informacje w nagłówkach i stopkach. Ponadto mógł zostać dodany znak wodny do dokumentu Word.

• Ukryty tekst

  Dokumenty Word mogą zawierać tekst sformatowany jako tekst ukryty. Jeśli nie wiesz, czy twój dokument zawiera ukryty tekst, możesz użyć Inspektora dokumentów, aby go wyszukać.

• Właściwości serwera dokumentów

  Jeśli dokument został zapisany w lokalizacji na serwerze zarządzania dokumentami, takiej jak witryna Document Workspace lub biblioteka oparta na Microsoft Windows SharePoint Services, dokument może zawierać dodatkowe właściwości dokumentu lub informacje związane z tą lokalizacją serwera.

• Niestandardowe dane XML

  Dokumenty mogą zawierać niestandardowe dane XML, które nie są widoczne w samym dokumencie. Inspektor dokumentów może znaleźć i usunąć te dane XML.

Uwaga:

• Program Word Document Inspector nie wykryje tekstu lub obrazów w kolorze białym za pomocą steganografii (ukryty plik, wiadomość, obraz lub wideo)

Źródło Usuń ukryte dane i dane osobowe, sprawdzając dokumenty

Co się stanie, jeśli użyję pliku PDF uzyskanego od kogoś innego?

Pliki PDF nie są bezpieczne:

• Mogą zawierać wirusy, zobacz Czy plik PDF może zawierać wirusa?

• Mogą zawierać JavaScript. Jeśli JavaScript ma „dzwonić do domu” za każdym razem, gdy otwierany jest plik PDF, może istnieć niezła ścieżka, w tym twój adres IP.

• Pliki PDF mogą także zawierać ukryte informacje:

  Plik PDF był również często używany jako format dystrybucji plików oryginalnie utworzonych w pakiecie Microsoft Office, ponieważ ukryte dane i metadane mogą zostać zdezynfekowane (lub zredagowane) podczas procesu konwersji.

  Mimo powszechnego korzystania z dokumentów PDF użytkownicy rozpowszechniający te pliki często nie doceniają możliwości, że mogą zawierać ukryte dane lub metadane. Ten dokument identyfikuje zagrożenia, które mogą być związane z dokumentami PDF i zawiera wskazówki, które mogą pomóc użytkownikom w zmniejszeniu niezamierzonego uwolnienia poufnych informacji.

Źródło ukrytych danych i metadanych w plikach Adobe PDF:
Ryzyko i przeciwdziałanie publikacji , dokument napisany przez NSA

Jak mogę sprawdzić plik PDF, aby upewnić się, że nie zawiera on żadnych poufnych informacji?

Możesz postępować zgodnie z zaleceniami NSA, aby zdezynfekować swój plik PDF.

• Podsumowałem podstawowe kroki, które musisz wykonać.
• Szczegółowe instrukcje krok po kroku ze zrzutami ekranu są dostępne pod linkiem poniżej.

W tym artykule opisano procedury odkażania dokumentów PDF do publikacji statycznej. Czyszczenie do celów tego dokumentu oznacza usuwanie ukrytych danych i treści dynamicznych nieprzeznaczonych do publikacji (na przykład nazwa użytkownika autora lub tymczasowa edycja komentarzy osadzonych w pliku, ale niewidocznych na żadnych stronach).

Ukryte dane obejmują:

• Metadane

• Osadzona zawartość i załączone pliki

• Skrypty

• Ukryte warstwy

• Wbudowany indeks wyszukiwania

• Przechowywane interaktywne dane formularza

• Recenzowanie i komentowanie

• Ukryta strona, obraz i aktualizacja danych

• Ukryty tekst i obrazy

• Komentarze PDF (nie wyświetlane)

• Dane niereferencyjne

...

Szczegółowa procedura dezynfekcji

1. Wyczyść plik źródłowy

   Jeśli aplikacja, która wygenerowała plik źródłowy, ma narzędzie dezynfekujące, należy je zastosować przed konwersją do formatu PDF.

2. Skonfiguruj ustawienia zabezpieczeń

   • Upewnij się, że wszystkie odpowiednie aktualizacje Acrobat zostały pobrane i zainstalowane
   • wyłącz JavaScript
   • Sprawdź, czy ustawienia menedżera zaufania są odpowiednio ustawione

3. Uruchom Preflight

   Kontrola wstępna zapewnia zgodność zawartości pliku z wersją docelową i w razie potrzeby stosuje „poprawki”.

4. Uruchom Optymalizator PDF

   • Jeśli plik PDF zawiera inne załączone pliki, pojawi się komunikat ostrzegawczy. Kliknij „OK”, aby kontynuować. Załączone pliki zostaną usunięte podczas optymalizacji PDF.
   • Znaczniki dokumentów stanowią ryzyko ukrytych danych. Ta procedura (w szczególności zaznaczona opcja „Odrzuć tagi dokumentów”) usuwa je z oczyszczonego pliku PDF.

5. Uruchom narzędzie do sprawdzania dokumentów

   • Pomaga to znaleźć tekst ukryty za obiektami, a także wszelkie inne obszary, które mogły zostać pominięte w poprzednich krokach.

Źródło ukrytych danych i metadanych w plikach Adobe PDF:
Ryzyko i przeciwdziałanie publikacji , dokument napisany przez NSA

Ale mam oprogramowanie antywirusowe!

Nawet oprogramowanie antywirusowe nie gwarantuje wyłapania wszystkiego. Zobacz exploit zero-day :

Luka zero-day (znana również jako zero-hour lub 0-day) to wcześniej nieujawniona luka w oprogramowaniu komputerowym, którą hakerzy mogą wykorzystać, aby niekorzystnie wpłynąć na programy komputerowe, dane, dodatkowe komputery lub sieć.

Nazywa się to „dniem zero”, ponieważ po ujawnieniu się wady autor oprogramowania ma zero dni na zaplanowanie i odrobienie wszelkich działań zapobiegających jego wykorzystaniu (na przykład poprzez doradzenie obejścia lub wydanie łatek)

Źródło zero dnia

Co z moim napędem USB? Czy muszę się tym martwić?

Nie możesz zagwarantować, że twój dysk flash USB jest bezpieczny.

Urządzenia peryferyjne USB, takie jak dyski USB, można przeprogramować w celu kradzieży zawartości wszystkiego, co zapisano na dysku i rozpowszechnienia kodu modyfikującego oprogramowanie na wszystkich komputerach, których dotknie. Rezultatem netto może być samoreplikujący się wirus, który rozprzestrzenia się poprzez oszczędzające dyski twarde, podobnie jak podstawowe wirusy rozprzestrzeniające się na dyskietce dziesiątki lat temu.

Źródło Dlaczego Twoje urządzenie USB stanowi zagrożenie bezpieczeństwa

To zależy od typu pliku. Na przykład wszystkie aplikacje pakietu Microsoft Office (Word, Excel itp.) Przechowują w pliku następujące informacje:

• nazwa komputera (czy plik został zapisany)
• imię i nazwisko autora (domyślnie imię i nazwisko osoby, dla której zarejestrowano pakiet Microsoft Office, ale można to łatwo zmienić)
• data uznania pliku
• data ostatniego zapisania pliku

Powyższe informacje są zwykle nazywane metadanymi pliku.

Jeśli dokument zostanie zapisany jako plik tekstowy, tj. Document.TXT (otwiera się za pomocą Notatnika), wówczas metadane nie zostaną zapisane.

Traktuj ostrożnie :)