Чи простежується походження файлу? Якщо це так, як я можу його санітувати?


8

Якщо я скопіював файл із свого ПК на щойно відформатовану флешку, відніс файл на публічний ПК та підключення до Інтернету, створив звідти нову електронну пошту, створив новий обліковий запис на сервері завантаження, завантажив файл, поділився завантажуючи посилання на цей файл в Інтернеті, а анонімна особа чи організація після цього завантажили файл, чи цей файл може відстежуватися цією особою чи організацією?

А що робити, якщо цей файл не є моїм PDF-файлом, який я взяв у когось іншого, як я можу зробити цей файл не відстежуваним?


Скажімо, цей файл буде особистим створеним файлом Excel Sheet або Word, і я можу створити його на чужому ПК
Едд

а як же непомітний PDF-файл, який я взяв у когось іншого
Едда,

але це зробить цей PDF-файл простежуваним для мене, якби я завантажив його з цими запобіжними
засобами

Що робити, якщо у мене є антивірусне програмне забезпечення
Едд

1
@Edd відповідь оновлено (знову). Будь ласка, перевіряйте через регулярні проміжки часу для нових оновлень;)
DavidPostill

Відповіді:


18

Чи простежується походження файлу? Якщо це так, як я можу його санітувати?

Коротка відповідь - це залежить:

  • Якщо у файлі було ваше ім’я, адреса, номер телефону та номер соціального страхування, не було б дуже складно простежити його назад до вас ...

  • Дуже багато додатків залишають ідентифікаційну інформацію (наприклад, метадані ) у файлах на додаток до очевидних видимих ​​даних у самому файлі.

  • Метадані зазвичай можуть бути видалені з файлів (спосіб видалення залежить від типу файлу).

  • Завантажуючи файл, ви надсилаєте лише первинний потік даних, а альтернативні потоки даних та метадані резидентної файлової системи залишають позаду.

  • Як вказував Ендрю Мортон, деякі організації вносять невеликі граматичні (або інші) зміни до кожної копії документа до його розповсюдження.

    Роблячи цю копію, можна відстежувати конкретних осіб, якщо копія буде вкрадена (або передана). Це, звичайно, дуже важко перемогти.

  • Докладніше про вид чутливих та прихованих даних, які можна пов’язати з різними видами файлів, та способи їх очищення (очищення) читайте далі.


Чи безпечні для користування текстові файли?

Як вказує Уве Зігенхаген , навіть текстові файли Windows (як і будь-який інший тип файлу) у файловій системі NTFS потенційно можуть містити метадані у вигляді альтернативних потоків даних . Див. Також Як використовувати альтернативні потоки даних NTFS .

Альтернативні потоки даних дозволяють асоціювати файли з більш ніж одним потоком даних. Наприклад, такий файл, як text.txt, може мати ADS з назвою text.txt: secret.txt (з назви файлу форми: оголошення), доступ до якого можна отримати лише знаючи ім'я ADS або спеціалізовані програми перегляду каталогів.

Альтернативні потоки не визначаються за розміром оригінального файлу, але втрачаються, коли вихідний файл (тобто text.txt) видаляється, або коли файл копіюється або переміщується до розділу, який не підтримує ADS (наприклад, розділ FAT, a дискету або спільну мережу). Хоча ADS є корисною функцією, вона також може легко з'їсти місце на жорсткому диску, якщо невідомо через забуття чи не виявлення.

Ця функція підтримується лише в тому випадку, якщо файли на диску NTFS.

Джерело відкриття діалогового вікна UltraEdit .


Перегляд та видалення альтернативних потоків даних

Примітки:

  • Будь-який файл у файловій системі NTFS може додавати до нього альтернативний потік даних (не лише текстові файли).
  • Для отримання додаткової інформації про потенційні проблеми безпеки, пов’язані з альтернативними потоками даних, див. Прихована загроза: альтернативні потоки даних

Блокнот і Word можна використовувати (з командного рядка) для відкриття та зчитування альтернативних потоків даних. Дивіться цю відповідь альтернативні потоки даних NTFS від nishi для отримання додаткової інформації.

UltraEdit може відкривати альтернативні потоки даних всередині самої програми.

AlternateStreamView можна використовувати для видалення альтернативних потоків даних:

AlternateStreamView - це невелика утиліта, яка дозволяє сканувати диск NTFS та знаходити всі приховані альтернативні потоки, що зберігаються у файловій системі.

Після сканування та пошуку альтернативних потоків ви можете витягнути ці потоки у вказану папку, видалити непотрібні потоки або зберегти список потоків у текстовий, HTML, CSV чи XML файл.

введіть тут опис зображення

Джерело AlternateStreamView від Nirsoft


Як щодо зображень?

Як зазначив Скотт , зображення також можуть містити приховані дані (файл, повідомлення, інше зображення або відео, використовуючи стеганографію :

Стеганографія включає приховування інформації в комп'ютерних файлах. У цифровій стеганографії електронні комунікації можуть включати стеганографічне кодування всередині транспортного шару, такого як файл документа, файл зображення, програма або протокол.

Медіафайли ідеально підходять для стеганографічної передачі через їх великі розміри. Наприклад, відправник може почати з нешкідливого файлу зображення і налаштувати колір кожного 100-го пікселя так, щоб він відповідав букві в алфавіті, зміна настільки тонка, що хтось, хто спеціально не шукає, навряд чи це помітить.

Джерельна стеганографія

Це, звичайно, дуже важко зняти.

Дивіться також Стеганографія - техніка приховування даних та стенографія


Що з електронними таблицями Excel або документами Word?

За замовчуванням офісні документи містять особисту інформацію:

  • Цю інформацію можна видалити, дивіться посилання нижче.

Слово:

Електронна таблиця:

  • Подумайте про використання файлу CSV , створеного за допомогою excel та збереженого як CSV, або створити CSV безпосередньо за допомогою іншої програми, наприклад блокнота.

Документи Word можуть містити такі типи прихованих даних та особисту інформацію:

  • Коментарі, ревізійні позначки від відстежених змін, версій та приміток із чорнилом

    Якщо ви співпрацювали з іншими людьми, щоб створити ваш документ, ваш документ може містити елементи, такі як позначки ревізії від відстежуваних змін, коментарі, анотації з чорнилом або версії. Ця інформація дозволяє іншим людям бачити імена людей, які працювали над вашим документом, коментарі рецензентів та зміни, внесені до вашого документа.

  • Властивості документа та особиста інформація

    Властивості документа, також відомі як метадані, містять відомості про ваш документ, такі як автор, тема та заголовок. Властивості документа також включають інформацію, яка автоматично підтримується програмами Office, наприклад, ім'я особи, яка нещодавно зберегла документ, та дата створення документа. Якщо ви використовували конкретні функції, ваш документ може також містити додаткові види особистої інформації (PII), такі як заголовки електронної пошти, інформація про надсилання для огляду, слайси маршрутизації та назви шаблонів.

  • Заголовки, колонтитули та водяні знаки

    Документи Word можуть містити інформацію в колонтитулах. Крім того, ви могли додати водяний знак до свого документа Word.

  • Прихований текст

    Документи Word можуть містити текст, відформатований як прихований текст. Якщо ви не знаєте, чи містить ваш документ прихований текст, ви можете скористатися Інспектором документів для його пошуку.

  • Властивості сервера документа

    Якщо ваш документ було збережено до місця розташування на сервері управління документами, наприклад, на сайті робочої області документа або бібліотеці на базі служб Microsoft Windows SharePoint Services, документ може містити додаткові властивості документа або інформацію, пов’язану з цим розташуванням сервера.

  • Спеціальні дані XML

    Документи можуть містити власні XML-дані, які не видно у самому документі. Інспектор документів може знайти та видалити ці XML-дані.

Примітка:

  • Інспектор Word Word не виявить текст або зображення білого кольору зі стеганографією (прихований файл, повідомлення, зображення чи відео)

Джерело Видаліть приховані дані та особисту інформацію, перевіривши документи


Що робити, якщо я використовую PDF-файл, отриманий від когось іншого?

PDF-файли не є безпечними:

  • Вони можуть містити віруси, див. Чи може файл PDF містити вірус?

  • Вони можуть містити JavaScript. Якщо JavaScript повинен був "телефонувати додому" щоразу, коли PDF-файл відкривався, там може бути хороший слід, включаючи вашу IP-адресу.

  • PDF-файли також можуть містити приховану інформацію:

    PDF також часто використовується як формат розповсюдження для файлів, спочатку створених в Microsoft Office, оскільки приховані дані та метадані можуть бути дезінфіковані (або відредаговані) під час перетворення.

    Незважаючи на таке поширене використання документів PDF, користувачі, які поширюють ці файли, часто недооцінюють можливість того, що вони можуть містити приховані дані або метадані. Цей документ визначає ризики, які можуть бути пов’язані з документами PDF, та дає вказівки, які можуть допомогти користувачам зменшити ненавмисне звільнення конфіденційної інформації.

Джерело прихованих даних і метаданих в Adobe PDF - файлів:
Публікація Ризики і контрзаходи
, документ , написаний АНБ


Як я можу перевірити файл PDF, щоб переконатися, що він не містить конфіденційної інформації?

Ви можете дотримуватися порад, наданих АНБ щодо оздоровлення Вашого PDF.

  • Я узагальнив основні кроки, які потрібно виконати.
  • Детальні покрокові інструкції із знімками екрана доступні за посиланням нижче.

У цій роботі описані процедури санітарії PDF-документів для статичного опублікування. Санітація для цього документа означає видалення прихованих даних та динамічного вмісту, не призначених для публікації (наприклад, ім’я користувача автора або тимчасові редагуючі коментарі, вбудовані у файл, але не видимі на жодних сторінках).

Приховані дані включають:

  • Метадані

  • Вбудований вміст та вкладені файли

  • Сценарії

  • Приховані шари

  • Вбудований індекс пошуку

  • Зберігаються дані інтерактивної форми

  • Рецензування та коментування

  • Приховані сторінки, зображення та оновлення даних

  • Затемнені текст та зображення

  • PDF (не відображається) коментарі

  • Невизначені дані

...

Детальний порядок санітарії

  1. Очистити вихідний файл

    Якщо програма, яка генерувала вихідний файл, має утиліту санітарії, її слід застосувати перед перетворенням у PDF.

  2. Налаштування параметрів безпеки

    • Переконайтесь, що всі застосовані оновлення Acrobat були завантажені та встановлені
    • Вимкнути JavaScript
    • Переконайтеся, що налаштування менеджера довіри встановлені належним чином
  3. Виконати передполіт

    Попередній політ гарантує, що вміст файлу сумісний з цільовою версією, та застосовує необхідні «виправлення».

  4. Запустіть оптимізатор PDF

    • Якщо файл PDF містить інші додані файли, з’являється попереджувальне повідомлення. Натисніть "ОК", щоб продовжити. Приєднані файли будуть видалені під час оптимізації PDF.
    • Теги документів становлять прихований ризик даних. Ця процедура (конкретно відмічена опція "Відхилити теги документів") видаляє їх із санізованого PDF.
  5. Запустіть утиліту для вивчення документа

    • Це допомагає знайти текст, прихований за об'єктами, а також будь-які інші області, які, можливо, були пропущені в попередніх кроках.

Джерело прихованих даних і метаданих в Adobe PDF - файлів:
Публікація Ризики і контрзаходи
, документ , написаний АНБ


Але у мене є антивірусне програмне забезпечення!

Навіть антивірусне програмне забезпечення не гарантовано охопить усе. Дивіться експлуатування нульового дня :

Уразливість з нульовою добою (також відома як «нульова година» або «0-денна») - це раніше нерозкрита вразливість комп'ютерного та програмного забезпечення, яку хакери можуть використовувати для негативного впливу на комп’ютерні програми, дані, додаткові комп’ютери або мережу.

Він відомий як "нульовий день", тому що, як тільки недолік стане відомим, у автора програмного забезпечення є нульові дні, щоб спланувати та порадити будь-яке пом'якшення наслідків його експлуатації (наприклад, порадивши обхідні шляхи чи видаючи виправлення)

Джерело нульовий день


Що з моїм USB-накопичувачем? Чи потрібно про це хвилюватися?

Ви не можете гарантувати, що ваш USB-накопичувач безпечний.

USB-периферійні пристрої, такі як накопичувачі пальців, можуть бути перепрограмовані для крадіжки вмісту всього, що написано на диску, та для розповсюдження коду, що змінює програмне забезпечення, на будь-які ПК, які вони торкаються. Чистим результатом може бути вірус, що самовідтворюється, що поширюється через щадні накопичувачі пальців, як і рудиментарні віруси, що поширюються на дискеті десятиліття тому.

Джерело Чому ваш USB-пристрій загрожує безпеці


2
Навіть (Windows) прості текстові файли потенційно можуть містити метадані, ключове слово тут - "альтернативні потоки даних". Більш складні редактори, такі як Ultraedit, можуть отримати доступ до цих альтернативних потоків даних. Більше інформації тут: support.microsoft.com/en-us/kb/105763
Uwe Ziegenhagen

1
@UweZiegenhagen Чудова точка. Дякую, додам до відповіді.
DavidPostill

3
Крім того, у файл можуть бути внесені незначні граматичні зміни для кожної особи, до якої він був розповсюджений. Це фактично робиться для (певного рівня) секретних документів.
Ендрю Мортон

@AndrewMorton Ще один хороший момент. Моя відповідь зростає ...
DavidPostill

1
Дуже ретельно - і дуже страшно. Вибачте, поки я надягаю шапку з олов'яної фольги і перевіряю, чи лампа має слухати пристрої. Серйозно,… (Продовжив)
Скотт

3

Це залежить від типу файлу. Наприклад, усі програми Microsoft Office (Word, Excel тощо) зберігають у файлі таку інформацію:

  • ім'я комп'ютера (чи збережено файл)
  • ім'я автора (за замовчуванням ім'я особи, якій зареєстровано Microsoft Office, але це можна легко змінити)
  • дата зарахування файлу
  • дата останнього збереження файлу

Наведена інформація зазвичай називається метаданими файлів.

Якщо ви збережете документ у вигляді текстового файлу, тобто документа.TXT (відкривається за допомогою блокнота), жодні метадані не будуть збережені.

Ставтеся уважно :)


Місцево, студенту було цікаво побачити, що 5-рядковий допис, написаний Word, становить близько 500 кіБ. Вони відкрили його, і через "скасувати" можна було прочитати кількамісячні записки.
фонбранд

@vonbrand, чи не буде це відстеження змін? AFAIK, Word не зберігає історію скасування у файлах, що редагуються.
Серж

це було дуже давно, і, очевидно, секретар працював над деякими вивченими "обмеженими можливостями", обмеженим набором команд (можливо, навіть знайдених методом проб і помилок).
фонбранд
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.