Czy pochodzenie pliku jest identyfikowalne? Jeśli tak, to jak mogę je zdezynfekować?

8

Jeśli skopiowałem plik z komputera na nowo sformatowany dysk flash USB, zabrałem go do publicznego komputera i publicznego połączenia internetowego, utworzyłem stamtąd nowy e-mail, utworzyłem nowe konto na serwerze przesyłania, przesłałem plik, udostępniono czy link do pobierania tego pliku w Internecie i anonimowej osoby lub organizacji po pobraniu pliku, czy ten plik byłby możliwy do prześledzenia przez tę osobę lub organizację?

A jeśli ten plik to nie-mój plik PDF, który wziąłem od kogoś innego, jak mogę uniemożliwić jego wykrycie?

Edd
źródło
Powiedzmy, że ten plik będzie osobistym arkuszem Excela lub plikiem Worda i mogę go utworzyć na czyimś komputerze
Edd
a co z nie-moim plikiem PDF, który wziąłem od kogoś innego
Edd
ale czy to sprawi, że ten plik PDF będzie dla mnie możliwy do prześledzenia, jeśli prześlę go z zachowaniem tych środków ostrożności
Edd
co jeśli mam oprogramowanie antywirusowe
Edd
1
@Edd Odpowiedź zaktualizowana (ponownie). Sprawdzaj regularnie nowe aktualizacje;)
DavidPostill

Odpowiedzi:

18

Czy pochodzenie pliku jest identyfikowalne? Jeśli tak, to jak mogę je zdezynfekować?

Krótka odpowiedź brzmi:

  • Jeśli plik zawiera twoje imię i nazwisko, adres, numer telefonu i numer ubezpieczenia społecznego, odnalezienie go z powrotem nie byłoby trudne ...

  • Wiele aplikacji pozostawia w plikach pewne informacje identyfikujące - znane jako Metadane - oprócz oczywistych widocznych danych w samym pliku.

  • Metadane można zwykle usunąć z plików (metoda usuwania zależy od typu pliku).

  • Przesłanie pliku spowoduje wysłanie tylko głównego strumienia danych i pozostawi alternatywne strumienie danych i metadane rezydentne dla systemu plików.

  • Jak zauważył Andrew Morton, niektóre organizacje dokonują drobnych zmian gramatycznych (lub innych) w każdej kopii dokumentu, zanim zostanie on rozpowszechniony.

    W ten sposób kopie mogą być śledzone dla poszczególnych osób, jeśli kopia zostanie skradziona (lub przekazana). Jest to oczywiście bardzo trudne do pokonania.

  • Czytaj dalej, aby uzyskać więcej informacji na temat rodzaju poufnych i ukrytych danych, które można powiązać z różnymi rodzajami plików i jak je czyścić (dezynfekować).


Czy korzystanie z plików tekstowych jest bezpieczne?

Jak zauważył Uwe Ziegenhagen , nawet zwykłe pliki tekstowe Windows (jak również każdy inny typ pliku) w systemie plików NTFS mogą potencjalnie zawierać metadane, w postaci alternatywnych strumieni danych . Zobacz także Jak korzystać z alternatywnych strumieni danych NTFS .

Alternatywne strumienie danych pozwalają na powiązanie plików z więcej niż jednym strumieniem danych. Na przykład plik taki jak text.txt może mieć ADS o nazwie text.txt: secret.txt (o nazwie pliku: reklamy), do którego można uzyskać dostęp tylko poprzez znajomość nazwy ADS lub przez wyspecjalizowane programy do przeglądania katalogów.

Alternatywne strumienie nie są wykrywalne w rozmiarze oryginalnego pliku, ale są tracone po usunięciu oryginalnego pliku (tj. Text.txt) lub po skopiowaniu lub przeniesieniu pliku na partycję, która nie obsługuje ADS (np. Partycja FAT, dyskietka lub udział sieciowy). Chociaż ADS jest przydatną funkcją, może również łatwo zająć miejsce na dysku twardym, jeśli jest nieznany z powodu zapomnienia lub niewykrycia.

Ta funkcja jest obsługiwana tylko wtedy, gdy pliki znajdują się na dysku NTFS.

Otwarte okno dialogowe Plik źródłowy UltraEdit .


Wyświetlanie i usuwanie alternatywnych strumieni danych

Uwagi:

  • Każdy plik w systemie plików NTFS może mieć dołączony alternatywny strumień danych (nie tylko pliki tekstowe).
  • Aby uzyskać więcej informacji na temat potencjalnych problemów związanych z bezpieczeństwem związanych z alternatywnymi strumieniami danych, zobacz Ukryte zagrożenie: alternatywne strumienie danych

Notatnika i Worda można używać (z wiersza poleceń) do otwierania i odczytywania alternatywnych strumieni danych. Zobacz tę odpowiedź Alternatywne strumienie danych NTFS według nishi, aby uzyskać więcej informacji.

UltraEdit może otwierać alternatywne strumienie danych z poziomu samego programu.

AlternateStreamView może służyć do usuwania alternatywnych strumieni danych:

AlternateStreamView to małe narzędzie, które pozwala przeskanować dysk NTFS i znaleźć wszystkie ukryte alternatywne strumienie przechowywane w systemie plików.

Po zeskanowaniu i znalezieniu alternatywnych strumieni możesz wyodrębnić te strumienie do określonego folderu, usunąć niechciane strumienie lub zapisać listę strumieni w pliku tekstowym, HTML, CSV lub XML.

wprowadź opis zdjęcia tutaj

Źródło AlternateStreamView autorstwa Nirsoft


A co ze zdjęciami?

Jak zauważył Scott , obrazy mogą również zawierać ukryte dane (plik, wiadomość, inny obraz lub wideo, przy użyciu steganografii :

Steganografia obejmuje ukrywanie informacji w plikach komputerowych. W cyfrowej steganografii komunikacja elektroniczna może obejmować kodowanie steganograficzne wewnątrz warstwy transportowej, takiej jak plik dokumentu, plik obrazu, program lub protokół.

Pliki multimedialne są idealne do transmisji steganograficznej ze względu na ich duży rozmiar. Na przykład nadawca może zacząć od nieszkodliwego pliku obrazu i dostosować kolor co 100 pikseli, tak aby odpowiadał literze w alfabecie, co jest tak subtelną zmianą, że mało prawdopodobne jest, aby ktoś tego nie zauważył.

Źródło steganografii

Jest to oczywiście bardzo trudne do usunięcia.

Zobacz także Steganografia - technika ukrywania danych i oprogramowanie stenograficzne


Co z arkuszami kalkulacyjnymi Excel lub dokumentami Word?

Domyślnie dokumenty biurowe zawierają dane osobowe:

  • Informacje te można usunąć, patrz link poniżej.

Słowo:

Arkusz:

  • Zastanów się nad użyciem pliku CSV utworzonego za pomocą programu Excel i zapisanego jako CSV lub utwórz plik CSV bezpośrednio za pomocą innego programu, takiego jak notatnik.

Dokumenty Word mogą zawierać następujące typy ukrytych danych i danych osobowych:

  • Komentarze, znaczniki zmian ze śledzonych zmian, wersji i adnotacji odręcznych

    Jeśli współpracowałeś z innymi osobami przy tworzeniu dokumentu, dokument może zawierać elementy, takie jak znaki rewizji ze śledzonych zmian, komentarze, atramentowe adnotacje lub wersje. Informacje te mogą umożliwić innym osobom wyświetlanie nazw osób, które pracowały nad Twoim dokumentem, komentarzy recenzentów oraz zmian wprowadzonych w dokumencie.

  • Właściwości dokumentu i dane osobowe

    Właściwości dokumentu, znane również jako metadane, obejmują szczegółowe informacje o dokumencie, takie jak autor, temat i tytuł. Właściwości dokumentu obejmują również informacje, które są automatycznie obsługiwane przez programy pakietu Office, takie jak imię i nazwisko osoby, która ostatnio zapisała dokument oraz data utworzenia dokumentu. Jeśli korzystasz z określonych funkcji, dokument może również zawierać dodatkowe rodzaje danych osobowych (PII), takie jak nagłówki wiadomości e-mail, informacje o przesłaniu do recenzji, listy tras i nazwy szablonów.

  • Nagłówki, stopki i znaki wodne

    Dokumenty Word mogą zawierać informacje w nagłówkach i stopkach. Ponadto mógł zostać dodany znak wodny do dokumentu Word.

  • Ukryty tekst

    Dokumenty Word mogą zawierać tekst sformatowany jako tekst ukryty. Jeśli nie wiesz, czy twój dokument zawiera ukryty tekst, możesz użyć Inspektora dokumentów, aby go wyszukać.

  • Właściwości serwera dokumentów

    Jeśli dokument został zapisany w lokalizacji na serwerze zarządzania dokumentami, takiej jak witryna Document Workspace lub biblioteka oparta na Microsoft Windows SharePoint Services, dokument może zawierać dodatkowe właściwości dokumentu lub informacje związane z tą lokalizacją serwera.

  • Niestandardowe dane XML

    Dokumenty mogą zawierać niestandardowe dane XML, które nie są widoczne w samym dokumencie. Inspektor dokumentów może znaleźć i usunąć te dane XML.

Uwaga:

  • Program Word Document Inspector nie wykryje tekstu lub obrazów w kolorze białym za pomocą steganografii (ukryty plik, wiadomość, obraz lub wideo)

Źródło Usuń ukryte dane i dane osobowe, sprawdzając dokumenty


Co się stanie, jeśli użyję pliku PDF uzyskanego od kogoś innego?

Pliki PDF nie są bezpieczne:

  • Mogą zawierać wirusy, zobacz Czy plik PDF może zawierać wirusa?

  • Mogą zawierać JavaScript. Jeśli JavaScript ma „dzwonić do domu” za każdym razem, gdy otwierany jest plik PDF, może istnieć niezła ścieżka, w tym twój adres IP.

  • Pliki PDF mogą także zawierać ukryte informacje:

    Plik PDF był również często używany jako format dystrybucji plików oryginalnie utworzonych w pakiecie Microsoft Office, ponieważ ukryte dane i metadane mogą zostać zdezynfekowane (lub zredagowane) podczas procesu konwersji.

    Mimo powszechnego korzystania z dokumentów PDF użytkownicy rozpowszechniający te pliki często nie doceniają możliwości, że mogą zawierać ukryte dane lub metadane. Ten dokument identyfikuje zagrożenia, które mogą być związane z dokumentami PDF i zawiera wskazówki, które mogą pomóc użytkownikom w zmniejszeniu niezamierzonego uwolnienia poufnych informacji.

Źródło ukrytych danych i metadanych w plikach Adobe PDF:
Ryzyko i przeciwdziałanie publikacji
, dokument napisany przez NSA


Jak mogę sprawdzić plik PDF, aby upewnić się, że nie zawiera on żadnych poufnych informacji?

Możesz postępować zgodnie z zaleceniami NSA, aby zdezynfekować swój plik PDF.

  • Podsumowałem podstawowe kroki, które musisz wykonać.
  • Szczegółowe instrukcje krok po kroku ze zrzutami ekranu są dostępne pod linkiem poniżej.

W tym artykule opisano procedury odkażania dokumentów PDF do publikacji statycznej. Czyszczenie do celów tego dokumentu oznacza usuwanie ukrytych danych i treści dynamicznych nieprzeznaczonych do publikacji (na przykład nazwa użytkownika autora lub tymczasowa edycja komentarzy osadzonych w pliku, ale niewidocznych na żadnych stronach).

Ukryte dane obejmują:

  • Metadane

  • Osadzona zawartość i załączone pliki

  • Skrypty

  • Ukryte warstwy

  • Wbudowany indeks wyszukiwania

  • Przechowywane interaktywne dane formularza

  • Recenzowanie i komentowanie

  • Ukryta strona, obraz i aktualizacja danych

  • Ukryty tekst i obrazy

  • Komentarze PDF (nie wyświetlane)

  • Dane niereferencyjne

...

Szczegółowa procedura dezynfekcji

  1. Wyczyść plik źródłowy

    Jeśli aplikacja, która wygenerowała plik źródłowy, ma narzędzie dezynfekujące, należy je zastosować przed konwersją do formatu PDF.

  2. Skonfiguruj ustawienia zabezpieczeń

    • Upewnij się, że wszystkie odpowiednie aktualizacje Acrobat zostały pobrane i zainstalowane
    • wyłącz JavaScript
    • Sprawdź, czy ustawienia menedżera zaufania są odpowiednio ustawione
  3. Uruchom Preflight

    Kontrola wstępna zapewnia zgodność zawartości pliku z wersją docelową i w razie potrzeby stosuje „poprawki”.

  4. Uruchom Optymalizator PDF

    • Jeśli plik PDF zawiera inne załączone pliki, pojawi się komunikat ostrzegawczy. Kliknij „OK”, aby kontynuować. Załączone pliki zostaną usunięte podczas optymalizacji PDF.
    • Znaczniki dokumentów stanowią ryzyko ukrytych danych. Ta procedura (w szczególności zaznaczona opcja „Odrzuć tagi dokumentów”) usuwa je z oczyszczonego pliku PDF.
  5. Uruchom narzędzie do sprawdzania dokumentów

    • Pomaga to znaleźć tekst ukryty za obiektami, a także wszelkie inne obszary, które mogły zostać pominięte w poprzednich krokach.

Źródło ukrytych danych i metadanych w plikach Adobe PDF:
Ryzyko i przeciwdziałanie publikacji
, dokument napisany przez NSA


Ale mam oprogramowanie antywirusowe!

Nawet oprogramowanie antywirusowe nie gwarantuje wyłapania wszystkiego. Zobacz exploit zero-day :

Luka zero-day (znana również jako zero-hour lub 0-day) to wcześniej nieujawniona luka w oprogramowaniu komputerowym, którą hakerzy mogą wykorzystać, aby niekorzystnie wpłynąć na programy komputerowe, dane, dodatkowe komputery lub sieć.

Nazywa się to „dniem zero”, ponieważ po ujawnieniu się wady autor oprogramowania ma zero dni na zaplanowanie i odrobienie wszelkich działań zapobiegających jego wykorzystaniu (na przykład poprzez doradzenie obejścia lub wydanie łatek)

Źródło zero dnia


Co z moim napędem USB? Czy muszę się tym martwić?

Nie możesz zagwarantować, że twój dysk flash USB jest bezpieczny.

Urządzenia peryferyjne USB, takie jak dyski USB, można przeprogramować w celu kradzieży zawartości wszystkiego, co zapisano na dysku i rozpowszechnienia kodu modyfikującego oprogramowanie na wszystkich komputerach, których dotknie. Rezultatem netto może być samoreplikujący się wirus, który rozprzestrzenia się poprzez oszczędzające dyski twarde, podobnie jak podstawowe wirusy rozprzestrzeniające się na dyskietce dziesiątki lat temu.

Źródło Dlaczego Twoje urządzenie USB stanowi zagrożenie bezpieczeństwa

DavidPostill
źródło
2
Nawet pliki tekstowe (Windows) mogą potencjalnie zawierać metadane, słowo kluczowe to „alternatywne strumienie danych”. Bardziej zaawansowane edytory, takie jak Ultraedit, mogą uzyskiwać dostęp do tych alternatywnych strumieni danych. Więcej informacji tutaj: support.microsoft.com/en-us/kb/105763
Uwe Ziegenhagen
1
@UweZiegenhagen Świetny punkt. Dzięki, dodam do odpowiedzi.
DavidPostill
3
Można również wprowadzić niewielkie zmiany gramatyczne w pliku dla każdej osoby, do której był pierwotnie rozpowszechniany. W rzeczywistości odbywa się to w przypadku (niektórych poziomów) tajnych dokumentów.
Andrew Morton
@AndrewMorton Kolejna dobra uwaga. Moja odpowiedź rośnie ...
DavidPostill
1
Bardzo dokładny - i bardzo przerażający. Przepraszam, gdy zakładam czapkę z cyny i sprawdzam lampę pod kątem urządzeń słuchowych. Poważnie… (ciąg dalszy)
Scott
3

To zależy od typu pliku. Na przykład wszystkie aplikacje pakietu Microsoft Office (Word, Excel itp.) Przechowują w pliku następujące informacje:

  • nazwa komputera (czy plik został zapisany)
  • imię i nazwisko autora (domyślnie imię i nazwisko osoby, dla której zarejestrowano pakiet Microsoft Office, ale można to łatwo zmienić)
  • data uznania pliku
  • data ostatniego zapisania pliku

Powyższe informacje są zwykle nazywane metadanymi pliku.

Jeśli dokument zostanie zapisany jako plik tekstowy, tj. Document.TXT (otwiera się za pomocą Notatnika), wówczas metadane nie zostaną zapisane.

Traktuj ostrożnie :)

Serge
źródło
Lokalnie student zaciekawił się, widząc, że 5-liniowa notatka napisana w programie Word to około 500 KiB. Otworzyli go i poprzez „cofnij” mogli przeczytać kilka miesięcy notatek.
vonbrand
@vonbrand, czy nie byłoby to śledzenie zmian? AFAIK, Word nie zapisuje historii Cofnij w edytowanych plikach.
Serge
to było dawno temu i najwyraźniej sekretarka pracowała nad jakimś wyuczonym na pamięć, ograniczonym zestawem poleceń (może nawet znalezionym metodą prób i błędów).
vonbrand