Meta duomenys – naujoji grėsmė
Meta-duomenys – tai duomenys apie duomenis, kitaip tariant – specifinė įvairių formatų dokumentuose saugoma informacija. Šiame straipsnyje bus peržiūrėti meta-duomenų saugumo aspektai: su jais susiję pavojai ir meta-duomenų naudojimas informacinės saugos srityje.
Neretai meta-duomenis į failą įterpia programos ir įranga, kuria jis buvo sukurtas. Kadangi šis procesas automatizuotas, eilinis vartotojas gali net nežinoti apie tokių duomenų buvimą ir nesiimti dažnai svarbios informacijos apsaugos priemonių.
Kokiems dokumentams būdingi meta-duomenys? Tai – Microsoft Office, Adobe PDF, Corel WordPerfect dokumentai, CorelDRAW ir Adobe Photoshop sukurta grafika, įvairiais rastrinės grafikos redaktoriais apdoroti GIF ir JPEG failai, MP3 dainos, internetiniai puslapiai ir, žinoma, elektroniniai laiškai. Vienu žodžiu, masiškai paplitę ir įvairiose platformose kasdieninės veiklos metu naudojami formatai.
Meta-duomenyse gali būti saugomas dokumento autoriaus vardas, jį sukūrusios organizacijos pavadinimas, programinės arba aparatinės įrangos paliktos žymės, dokumento modifikavimo istorija, ir t.t. Ypatingai sunkiais atvejais (Microsoft Word) meta-duomenyse gali būti saugomi net ištisi teksto, anksčiau buvusio dokumento dalimi, bet vėliau ištrinto, gabalai (o jūs dar stebėjotės, kodėl taip išpampsta *.doc dokumentai?). Aparatinės įrangos paliekamų žymių pavyzdžiu galėtų būti EXIF tegas, kurį į JPEG formatą įterpia skaitmeninės foto/video kameros. Šis tegas taip pat saugo informaciją apie tai, kada ir kokiu režimu buvo „nutrauktas“ atitinkamas kadras.
Kitas įdomus aparatinės įrangos paliekamų žymių pavyzdys neseniai buvo minimas PC World ir SecurityLab.ru svetainėse; omeny turimos spausdinimo metu lazerinių printerių padaromos specialios žymos. Meta-duomenys gali būti ir išeitiniuose programų koduose bei jų komentaruose bei vykdomuosiuose failuose (jų versiją ir programos kūrėją nurodantys laukeliai, ir t.t.).
Dėl meta-duomenų naudojimo kylančius pavojus galima padalinti į dvi grupes: meta-kodo įterpimą ir svarbios informacijos atskleidimą.
Meta-tegai, tokie, kaip MP3 failuose saugomos ID3 žymės, ar EXIF tegas JPEG failuose, ir kiti, suteikia galimybę pridėti potencialiai pavojingą kodą. Tai gali būti ir cross-scripting‘o atvejis [XDS, cross-document scripting) ir naudojamas kodas bei informacijos apie tikslinę sistemą rinkimo priemonės. Informacijos perdavimo ir apdorojimo grandinėje atsiranda dar viena silpna grandis – meta-duomenų apdorojimas programinėmis skaitymo arba dokumentų indeksavimo priemonėmis.
To pavyzdžiu galiu pateikti „skylę“ 6.2.1 versijos ImageMagick programoje (Secunia Advisory SA12995, CAN-2004-0981) – klaidą apdorojant EXIF tegus. Ja pasinaudojus, buvo galima atlikti EXIF tegui priskirtą kodą. Su meta-duomenų apdorojimu susiję pažeidžiamumai ne kartą buvo aptikti ir tokiose populiariose programose, kaip Winamp, RealPlayer, Windows Media Player ir mpg321.
Žemiau pateikiamas PoC eksploito pavyzdys, pagrįstas Apple QuickTime/Darwin Streaming MP3Broadcaster pažeidžiamumu, apdorojant ID3 žymes:
First create the sample configuration file:
$ echo -e “
” > test.conf
Then create a playlist file:
$ echo -e “*PLAY-LIST*
song.mp3″ > mp3playlist.ply
Create a specially crafted mp3 file:
$ echo -e “ID3x03x00x00x00x00x0fx0fTPE1xff
xaaxaaxbbx00x00x00x00x00x00 ” > song.mp3
Verta pažymėti, kad pažeidžiamumai apdorojant meta-duomenis dar nepakankamai ištirti. Turint omeny bendrą gigantiškais tempais augantį informacijos kiekį meta-duomenys, kaip duomenų indeksavimo priemonė, plis vis labiau. To rezultatas – atsiras ir naujos (arba bus aptiktos jau egzistuojančios „skylės“, ir sukurti kenkėjiško kodo įdiegimo metodai.
Kitai grėsmių grupei priklauso meta-duomenyse esančios informacijos atskleidimas. Tai gali būti konfidenciali, arba komercinę paslaptį sudaranti informacija, elektroninio pašto adresai, keliai iki sistemose, kuriose buvo sukurti nagrinėjami dokumentai, esančių failų ar kita viešam naudojimui neskirta informacija apie jų autorių bei jo naudojamą programinę ir kompiuterinę įrangą.
Informacijos nutekėjimas per meta-duomenis Microsoft Office paketu sukurtuose dokumentuose sukėlė kelis rimtus tarptautinio atbalsio sulaukusius incidentus. Šiuo atveju tai buvo Didžiosios Britanijos premjero Tonio Bleiro pasirašytas dokumentas, kuriame buvo rašoma apie padėtį Irake. Nagrinėjant failą, buvo rastas iš jo ištrintas tekstas, sudaręs informaciją, neskirtą viešam naudojimui.
Kitas atvejis papildė jau ir taip ilgą SCO kompanijos bylinėjimosi su įvairiomis kompanijomis istoriją. Ieškininio pareiškimo, kurį sudarė Boies, Schiller & Flexner juridinė kompanija, atstovaujanti SCO interesus, tyrimas parodė, kad iš atsakovų tarpo buvo ištrintas „Bank of America“, taigi, tapo aišku, kad ši bankinė institucija iš pradžių buvo viena iš būsimų atsakovų, bet dėl kažkokių priežasčių SCO juristai susilaikė nuo pretenzijų bankui pareiškimo. SCO besidominačiam žmogui tai – svarbi ir vertinga informacija.
Iliustracijoje – Boies, Schiller & Flexner kontoros sukurto dokumento analizės rezultatai.
Meta-duomenys ir informacinės saugos praktika
Neverta nekreipti dėmesio ir į tiesioginę meta-duomenų paskirtį – didelių informacijos kiekių indeksavimą. Pavyzdžiui, pranešimas apie Secunia aukščiau paminėtą „skylę“ turi mažiausiai du indeksus: SA12995 (Secunia indeksas) ir CAN-2004-0981 (CVE pažeidžiamumo indeksas). Sukurta specifinė PĮ, skirta didele dokumentų apyvarta pasižyminčių kompanijų meta-duomenų auditui ir kontrolei, tokia, kaip ezClean ir WorkShare Protect.
Ne paskutinę vietą meta-duomenų tyrimai užima ir nagrinėjant autorinių teisių pažeidimo atvejus, išaiškinant plagijavimą arba bandymus sufalsifikuoti dokumentus – pvz, žinomas atvejis, kai EXIF tego duomenys buvo panaudoti kaip įkaltis kriminalinėje byloje.
Meta-duomenų analizė jau tapo kasdienine labiau išsivysčiusių šalių juristų praktika, deja, Lietuvoje meta-duomenų saugumo klausimas kol kas lieka atvira tema arba išvis nėra tinkamai nagrinėjamas.
Resursai:
Simonas Bajersas, „Duomenų nutekėjimas per užslėptus tekstus paskelbtuose dokumentuose“;
Svetainė, skirta su meta-duomenų naudojimu susijusių grėsmių aptarimui.