10 Mrz 2017

Wie flüchtige Metadaten für echte Probleme sorgen können

Privatsphäre Sicherheit Tipps

Wir rufen Herrn Offensichtlich…treten Sie ein, Herr Offensichtlich: Welche IT-Bedrohung gefährdet Unternehmen, kleine und mittelständische Betriebe, Regierungen und Privatpersonen am meisten?

Die Antwort ist natürlich: Datenpannen. Jetzt: Welche Datenpannen kann man am schwierigsten verhindern? Die Antwort ist…die, die niemand kennt.

Heute reden wir über etwas, was den meisten Leuten unbekannt ist oder worüber sie nicht viel nachdenken, Metadaten. Das ist die Information über eine Datei, anstatt die Information in einer Datei. Metadaten können ein normales digitales Dokument in einen bloßstellenden Geheimdienst verwandeln.

Dokument-Metadaten

Wir beginnen unsere detaillierten Ausführungen mit etwas Theorie. Das US-Gesetz legt drei Kategorien von Metadaten fest:

  1. App-Metadaten werden der Datei von der Anwendung, die man zum Erstellen des Dokuments verwendet, hinzugefügt. Diese Art von Metadaten speichern die Bearbeitungen, die der Nutzer eingibt, einschließlich von Änderungsprotokollen und Kommentaren.
  1. System-Metadaten beinhalten den Namen des Autors, den Dateinamen, die Dateigröße sowie Änderungen usw.
  1. Eingebettete Metadaten können Formeln in Excel-Zellen, Hyperlinks und zugehörige Dateien sein. EXIF Metadaten von Graphikdateien gehören auch in diese Kategorie.

Hier ist ein klassisches Beispiel der Probleme, für die beeinträchtigte Metadaten sorgen können: Der Bericht aus dem Jahr 2003 der britischen Regierung über die angeblichen Massenvernichtungswaffen im Irak. Die DOC-Version des Berichtes enthielt Metadaten über die Autoren (bzw. genauer gesagt, die Leute, die die letzten 10 Überarbeitungen eingegeben hatten). Diese Information warf einige Fragen bezogen auf die Qualität, Echtheit und Glaubwürdigkeit des Berichts auf.

Gemäß dem Folgeartikel der BBC nutzte die Regierung die PDF-Version, nachdem sie sich über die Metadaten der Originaldatei bewusst geworden war, da diese weniger Metadaten enthielt.

Eine 20$ Millionen (manipulierte) Datei

Ein anderer interessanter Metadaten-Augenöffner betraf einen Kunden von Venable, einer amerikanischen Anwaltskanzlei in 2015. Venable wurde von einem Unternehmen unter Vertrag genommen, dessen Vizepräsident vor Kurzem zurückgetreten war. Kurz nach dessen Rücktritt verlor das Unternehmen einen Vertrag mit einer Regierungsbehörde an einen Mitbewerber. Dieser Mitbewerber arbeitete mit dem vorherigen VP zusammen.

Das Unternehmen bezichtigte den vorherigen VP Missbrauch von Geschäftsgeheimnissen betrieben zu haben, da er ihrer Meinung nach so den Regierungsvertrag gewonnen hatte. Als Verteidigung legten der Angeklagte und sein neues Unternehmen ein ähnliches Handelsangebot vor, das sie für eine ausländische Regierung vorbereitet hatten. Sie behaupteten, dass dieses Angebot schon vor den Vertragsverhandlungen mit den Vereinigten Staaten für einen anderen Kunden ausgearbeitet worden sei und daher das Wettbewerbsverbot zwischen dem vorherigen VP und dem Kläger nicht verletzte.

Aber die Angeklagten scheiterten daran zu berücksichtigen, dass die Metadaten in ihrem Beweis eine Zeitstempel-Abweichung enthielten. System-Metadaten zeigten, dass die Datei zuletzt gespeichert wurde, als man sie zum letzten Mal ausdruckte. Das ist nach Expertenmeinung nicht möglich. Der Zeitstempel des letzten Ausdrucks gehört zu den App-Metadaten und wird auf dem Dokument nur dann gespeichert, wenn die Datei an sich gespeichert wird. Falls ein Dokument gedruckt und danach nicht gespeichert wird, wird das neue Druckdatum nicht in den Metadaten gespeichert.

Ein anderer Beweis dafür, dass es sich um ein gefälschtes Dokument handelte, war das Erstellungsdatum auf dem Unternehmensserver. Das Dokument wurde erstellt, nachdem die Klage vor Gericht kam. Außerdem beschuldigte man die Angeklagten, dass sie den Zeitstempel der letzten Überarbeitung der OLM- Datei (diese Extension verwendet man bei Microsoft Outlook für Mac-Dateien) manipuliert hätten.

Die Beweise bezogen auf Metadaten waren ausreichend genug für das Gericht, um zugunsten der Kläger zu entscheiden, wobei sie mit 20$ Millionen entschädigt und die Angeklagten mit Sanktionen in Millionenhöhe bestraft wurden.

Versteckte Dateien

Microsoft Office Dateien bieten ein reichhaltiges Tool-Set zum Sammeln persönlicher Daten. So können zum Beispiel Fußnoten im Text zusätzliche Informationen enthalten, die nicht für die öffentliche Nutzung gedacht sind. Die eingebaute Änderungsverfolgung in Word kann für Spionagezwecke ebenfalls nützlich sein. Falls Sie also die Option „Endgültige Version anzeigen“ (oder „Keine Markups“ oder Ähnliches, abhängig von Ihrer Wordversion) auswählen, werden die nachverfolgten Änderungen vom Bildschirm verschwinden, aber dennoch in den Dateien zurückbleiben, wo sie auf einen aufmerksamen Leser warten.

Dasselbe gilt für Anmerkungen auf den Folien einer Power Point Präsentation, versteckte Säulen in Excel Tabellen usw.

Zu guter Letzt kann man leider keine Daten verstecken, wenn man nicht weiß, wie das funktioniert. Ein tolles Beispiel dafür ist ein Gerichtsdokument, das auf CBSLocal veröffentlicht wurde und sich auf den Fall der Vereinigten Staaten gegen Rod Blagojevic, den ehemaligen Gouverneur von Illinois, bezieht. Es handelt sich um eine Antragsschrift für das Gericht von 2010, um eine Gerichtsvorladung für Barack Obama zu erlassen.

Einige Teile des Textes sind durch schwarze Kästchen verdeckt. Aber wenn man einen Textblock in irgendein Textbearbeitungsprogramm kopiert, kann man den Text vollständig lesen.

Schwarze Kästchen in einem PDF können nützlich sein, um Informationen beim Drucken zu verstecken, aber diese Maßnahme kann in einem digitalen Format problemlos überwunden werden.

Dateien in Dateien

Daten von externen Dateien, die sich in einem Dokument eingebettet befinden, sind eine ganz andere Geschichte.

Um Ihnen ein echtes Beispiel zu zeigen, haben wir einige Dokumente auf Regierungswebseiten gesucht und uns dafür entschieden, den Steuerbericht für das Geschäftsjahr 2010 des US-amerikanischen Bildungsministeriums zu untersuchen.

Wir luden die Datei herunter und deaktivierten den Schreibschutz (wofür man kein Passwort brauchte). Es gab auf Seite 41 einen scheinbar normalen Graphen. Wir wählten die Option „Daten ändern“ im Menü des Graphen aus und öffneten zufällig eine eingebettete Microsoft Excel Quelldatei, die alle Quelldaten enthielt.

Hier liegt ein Bericht als Worddatei vor, der ein Excel mit einer Menge an Quelldaten für diesen und einige andere Graphen enthält

Es muss hierbei nicht erwähnt werden, dass diese eingebetteten Dateien alles Mögliche enthalten könnten, wie zum Beispiel viele persönliche Informationen. Wer auch immer dieses Dokument veröffentlicht hat, ging davon aus, dass niemand auf diese Daten zugreifen konnte.

Metadaten ernten

Der Prozess um Metadaten aus einem Dokument zu sammeln, das einer Firma, die von Interesse ist, gehört, kann mithilfe von Software wie FOCA (Fingerprinting Organizations with Collected Archives) von ElevenPath automatisiert werden.

FOCA kann die erwünschten Dokumentformate (zum Beispiel DOCX und PDF) finden und herunterladen, deren Metadaten analysieren und viele Dinge über die Firma wie die serverseitige Software, die sie verwendet, Benutzernamen und vieles mehr herausfinden.

Wir müssen hier eine ernsthafte Warnung abgeben: Die Analyse von Webseiten mit solchen Tools, auch wenn es nur für Nachforschungszwecke ist, kann von Webseitenbesitzern sehr ernst genommen und sogar als Cyber-Kriminalität eingestuft werden.

Eigentümlichkeiten von Dokumenten

Hier sind ein paar Besonderheiten bezogen auf Metadaten, die nicht alle IT-Experten kennen. Nehmen wir einmal das NTFS-Dateisystem, das Windows verwendet.

Fakt 1. Falls Sie eine Datei aus einem Order löschen und sofort danach eine neue Datei mit demselben Namen in demselben Ordner speichern, ist das Erstellungsdatum dasselbe wie das der Datei, die Sie gelöscht haben.

Fakt 2. Zusätzlich zu anderen Metadaten speichert NTFS das letzte Zugangsdatum auf die Datei. Wenn Sie aber die Datei öffnen und den Datumsstempel des letzten Zugangs in den Eigenschaften der Datei überprüfen, bleibt das Datum dasselbe.

Sie denken vielleicht, dass es sich bei diesen Eigentümlichkeiten um Fehlfunktionen handelt, aber es sind tatsächlich Dokumenteigenschaften. Im ersten Fall sprechen wir über Tunneling, was eine Voraussetzung ist, um Rückwärtskompatibilität von Software zu aktivieren. Automatisch hält die Wirkung 15 Sekunden an, während der die neue Datei den Erstellungsdatumstempel der alten Datei erhält (man kann den Intervall in den Systemeinstellungen ändern oder Tunneling komplett im Register deaktivieren). Tatsächlich bin ich zweimal die Woche wegen der Länge des Intervalls bei meiner Arbeit über Tunneling gestolpert.

Der zweite Fall wurde auch dokumentiert: Wenn man Windows 7 startet, deaktiviert Microsoft der Leistung zuliebe das Zeitstempeln des letzten Zugangs. Man kann diese Funktion im Register aktivieren. Aber sobald diese aktiviert ist, kann man den Prozess nicht rückgängig machen, um das Problem zu beheben; das Dateisystem speichert den richtigen Datumsstempel nicht mehr (was man anhand eines Low-Level-Festplatten-Editors bewies).

Wir hoffen, dass forensische Computerexperten sich über diese Besonderheiten bewusst sind.

Nebenbei gesagt können Datei-Metadaten verändert werden, indem man Standard-OS / native Apps und besondere Software verwendet. Das heißt, dass man sich nicht auf Metadaten als Beweisstück in einem Gerichtsprozess verlassen kann, außer wenn diese zusammen mit E-Mail-Services oder Serverprotokollen vorgelegt werden.

Metadaten: Sicherheit

Eine eingebaute Funktion von Microsoft Office mit dem Namen Dokumentinspektor (Datei → Info → Dokumentprüfung in Word 2016) zeigt dem Nutzer die in der Datei enthaltenen Daten. Darüber hinaus können die Daten auf Anfrage gelöscht werden. Das trifft jedoch nicht auf die eingebetteten Daten zu (wie in dem obigen Bericht des Bildungsministeriums). Nutzer sollten vorsichtig sein, wenn sie Graphen und Diagramme einfügen.

Adobe Acrobat hat eine ähnliche Fähigkeit, um Metadaten aus Dateien zu entfernen.

In jedem Fall können Sicherheitssysteme Datenlecks vermeiden. Zum Beispiel haben wir das DLP (Data Loss Prevention) Modul in Kaspersky Total Security for Business, Kaspersky Security for Mail Server und Kaspersky Security for Collaboration Platforms. Diese Produkte können vertrauliche Metadaten wie Änderungsprotokolle, Kommentare und eingebettete Objekte filtern.

Natürlich ist die perfekte (also: unerreichbare) Methode zur vollständigen Vermeidung von Datenlecks ein verantwortungsbewusstes, sensibilisiertes und ausreichend geschultes Personal.