短时元数据如何导致现实问题

2017 年03 月10日

请问哪种IT威胁给企业、中小企业、政府和个人带来的危险最大?

答案当然是数据泄露。那么:哪些数据泄露最难防御?答案是,人们无从知晓的数据泄露。

今天我们就谈谈大多数人并不知道或根本想不到的数据:元数据。元数据是指关于文件的信息,而不是文件中显示的信息。元数据能够将普通数字文档转化成泄露秘密的网络信息。

文档元数据

下面我们将略微深入地探讨一下元数据理论。美国法律规定了三类元数据:

1.应用程序元数据被应用程序添加到文件以用于创建文档。这类元数据会保留用户执行的编辑,包括变更日志和注释。

2.系统元数据包含作者的姓名、文件名和大小、变更等等。

3.嵌入式元数据可能是Excel单元格中的公式,也可能是超链接和关联文件。图形文件典型的EXIF元数据也属于这一类。

下面是元数据泄露可能造成麻烦的经典案例:英国政府2003年发布了相信伊拉克有大规模毁灭性武器的报告。该报告的.doc版本的报告包含有关作者的元数据(或者确切地说,是关于进行了最近10次编辑的用户的元数据)。这些信息标志着报告的质量、真实性和可信性。

根据BBC的后续报道,政府注意到原始文件的元数据后,选择使用了.pdf版本的报告,因为它包含的元数据较少。

一份2000万美元的(被篡改)文件

另一个显示元数据威力的事件更是让人大开眼界。此事件发生在2015年,涉及美国律师事务所Venable的一位客户。Venable与一家公司签约合作,但该公司副总裁最近辞职了。在他辞职后不久,Venable原本将与政府机构签订了一份合同败给了竞争对手 – 就是与前副总裁合作的竞争对手。

该公司指控前副总裁滥用商业秘密,称他是用这种手段赢得政府合同的。在辩护中,被告及其新公司提供了为一家外国政府准备的类似商业报价作为证据。他们称这是在美国签订合同之前为另一家客户创建的,因此没有违反前副总裁与原告之间的非竞争协议。

但被告没有想到他们的证据中元数据包含异常的时间戳记:系统元数据显示的文件最后一次保存时间早于最后一次打印时间,根据一位专家的证词,这是不可能的。最后一次打印时间戳记属于应用程序元数据,只有在保存文件本身时,才会将其保存到文档中。如果打印了文档,但之后未保存该文档,则最新打印日期不会保存到元数据中。

另一个证明文档伪造的证据是该文档在公司服务器上的创建日期。该文档是在向法院提起诉讼后才创建的。此外,被告被指控篡改了.olm文件中最后一次编辑的时间戳记(该扩展名用于Microsoft Outlook for Mac文件)。

这些元数据证据足以让法院作出对原告有利的裁决,最终法院判定原告获赔2000万美元,被告被处以数百万美元的罚款。

隐藏文件

Microsoft Office文件提供了一组丰富的工具来收集私人数据。例如,文本脚注可能包括不供公众使用的附加信息。Word中的内置修订跟踪功能也可以用于暗中监视。如果您选择了”显示最终状态”选项(或”无标记”或者类似选项,具体取决于您的Word版本),那么屏幕上不会显示跟踪的更改,但这些更改会保留在文件中,等待一些细心的用户读取。

此外,PowerPoint演示文稿中幻灯片有备注,Excel表格中有隐藏的列等等。

从根本上来说,试图隐藏数据但又不知道如何正确隐藏时,隐藏往往不奏效。一个很好的例子是在CBSLocal上发布的一份法庭文件,该文件是关于美国政府诉伊利诺伊州前州长Rod Blagojevic案的。这是法院向巴拉克·奥巴马发出传唤令的动议,日期是2010年。

文件中某些文本部分被黑框隐藏。但是,如果将这些文本块复制并粘贴到任何文本编辑器中,就能完整阅读文本。

PDF中的黑框可能有助于在打印时隐藏信息,但此措施可以通过数字格式轻松绕过

文件中嵌入的文件

嵌入文档的外部文件中的数据则完全是另一回事。

为了用实例说明,我们在.gov网站上搜索了一些文件,并挑出2010财年美国教育部税务报告来进行检验。

我们下载了该文件并禁用了只读保护(无需密码)。在第41页上有一个看似普通的图表。我们在图表上下文菜单中选择了”更改数据”,结果就打开了一个包含所有源数据的嵌入式Microsoft Excel源文件。

这是Word文件格式的报告,其中有一个包含大量源数据的Excel和其他一些图表

不言而喻,这样的嵌入文件可能包含任何内容,包括大量私人信息;不管是谁发布文档都必须设法使数据不可访问。

收集元数据

借助ElevenPaths的FOCA(通过收集的档案指纹识别组织)等软件,可以自动从属于相关组织的文档中收集元数据。

FOCA能够查找并下载所需的文档格式(例如,.docx和.pdf),分析其元数据,并找出关于组织的大量信息,例如组织使用的服务器端软件、用户名等等。

在此,我们必须严重警告:使用这类工具分析网站,甚至只是为了研究目标,都会引起网站所有者的高度重视,甚至可能将此行为归类为网络犯罪。

记录古怪信息

下面是一些元数据的古怪特性,并不是所有IT专家都很熟悉。以Windows使用的NTFS文件系统为例。

事实1:如果从文件夹中删除了文件,随后立即在同一文件夹中保存具有相同名称的新文件,则创建日期将与删除文件的日期相同。

事实2:除了其他元数据之外,NTFS还会保留文件最后一次访问的日期。但是,如果打开文件,然后在文件属性中查找最后一次访问的日期戳记,该日期却保持不变。

你可能会认为这些古怪之处仅仅是小问题,但本质上它们是记录功能。对于第一种情况,我们说的是隧道功能,这需要启用向后软件兼容性。默认情况下,此效果持续15秒,在此期间新文件的创建时间戳记与上一个文件相关联(您可以在系统设置中更改此间隔时间,也可以在注册表中完全禁用隧道)。实际上,对我来说,默认间隔时间会让我在一个星期的工作中无意中遇到两次隧道。

第二种情况也是记录功能:从Windows 7开始,出于性能原因,微软禁用了对上次访问时间执行自动时间戳记记录。您可以在注册表中启用此功能。但是,一旦启用后,就无法撤销该过程来更正问题;文件系统不会保留正确的日期戳记(如低级别磁盘编辑器所证实)。

我们希望计算机取证专家认识到这些古怪的特性。

顺便说一句,文件元数据可以使用默认操作系统/本机应用程序和特殊软件进行更改。这意味着不能依赖元数据作为法庭证据,除非辅之以邮件服务和服务器日志等信息。

元数据:安全性

Microsoft Office中有一个内置功能名叫”文档检查器”(在Word 2016中,文件 → 信息 → 检查文档),用于向用户显示文件中包含的数据。在某种程度上来说,可以根据请求删除这些数据 – 虽然这些并不是嵌入数据(如上文所述的教育部报告)。用户在插入图形和图表时应小心。

Adobe Acrobat也有类似的从文件中删除元数据的功能。

无论哪种情况,安全系统都应该妥善管理防泄漏功能。例如,”卡巴斯基全方位安全解决方案 -企业版”、用于邮件服务器的卡巴斯基安全软件以及用于协作平台的卡巴斯基安全软件中都提供有DLP(防数据泄露)模块。这些产品可以过滤机密元数据,例如变更日志、注释和嵌入对象。

当然,最理想的(注意:其实是不可实现的)彻底杜绝泄漏的方法是工作人员有责任心、有意识且训练有素。