Ist der Ursprung einer Datei nachvollziehbar? Wenn ja, wie kann ich es desinfizieren?

8

Wenn ich eine Datei von meinem PC auf ein neu formatiertes USB-Flash-Laufwerk kopiert, die Datei auf einen öffentlichen PC und eine öffentliche Internetverbindung übertragen, von dort aus eine neue E-Mail erstellt, ein neues Konto auf einem Upload-Server erstellt, die Datei hochgeladen und eine freigegeben habe Wenn Sie den Link für diese Datei im Web und eine anonyme Person oder Organisation herunterladen, nachdem Sie die Datei heruntergeladen haben, kann diese Datei von dieser Person oder Organisation nachverfolgt werden?

Was ist auch, wenn es sich bei dieser Datei um eine Nicht-Mine-PDF-Datei handelt, die ich von einer anderen Person übernommen habe? Wie kann ich diese Datei unauffindbar machen?

file-sharing metadata alternate-data-stream Edd
quelle
Angenommen, diese Datei ist eine persönlich erstellte Excel-Tabelle oder Word-Datei, und ich kann sie auf dem PC eines anderen erstellen
Edd
und was ist mit einer Nicht-Mine-PDF-Datei, die ich von jemand anderem genommen habe
Edd
Aber würde das diese PDF-Datei für mich nachvollziehbar machen, wenn ich sie mit diesen Vorsichtsmaßnahmen
hochladen würde
Was ist, wenn ich eine Antivruse-Software habe
Edd
1
@Edd Antwort aktualisiert (erneut). Bitte
schauen

Antworten:

18

Ist der Ursprung einer Datei nachvollziehbar? Wenn ja, wie kann ich es desinfizieren?

Die kurze Antwort lautet: Es kommt darauf an:

  • Wenn die Datei Ihren Namen, Ihre Adresse, Ihre Telefonnummer und Ihre Sozialversicherungsnummer enthalten würde, wäre es nicht sehr schwierig, sie auf Sie zurückzuführen ...

  • Viele Anwendungen hinterlassen zusätzlich zu den offensichtlich sichtbaren Daten in der Datei selbst identifizierende Informationen - sogenannte Metadaten - in Dateien.

  • Metadaten können normalerweise aus Dateien entfernt werden (die Entfernungsmethode hängt vom Dateityp ab).

  • Beim Hochladen einer Datei wird nur der primäre Datenstrom gesendet, und es werden alternative Datenströme und im Dateisystem residente Metadaten zurückgelassen.

  • Wie von Andrew Morton hervorgehoben, nehmen einige Organisationen kleine grammatikalische (oder andere) Änderungen an jeder Kopie eines Dokuments vor, bevor es verteilt wird.

    Auf diese Weise können Kopien an bestimmte Personen weitergegeben werden, wenn die Kopie gestohlen (oder weitergegeben) wird. Dies ist natürlich sehr schwer zu besiegen.

  • Lesen Sie weiter, um weitere Informationen über die Art vertraulicher und versteckter Daten zu erhalten, die mit verschiedenen Arten von Dateien verknüpft werden können, und darüber, wie diese bereinigt (bereinigt) werden.

Sind Klartextdateien sicher zu verwenden?

Wie von Uwe Ziegenhagen hervorgehoben , können selbst Windows-Nur-Text-Dateien (sowie alle anderen Dateitypen) in einem NTFS-Dateisystem möglicherweise Metadaten in Form von alternativen Datenströmen enthalten . Siehe auch So verwenden Sie alternative NTFS-Datenströme .

Durch alternative Datenströme können Dateien mehr als einem Datenstrom zugeordnet werden. Beispielsweise kann eine Datei wie text.txt ein ADS mit dem Namen text.txt: secret.txt (vom Dateinamen form: ads) haben, auf das nur zugegriffen werden kann, wenn der ADS-Name bekannt ist oder wenn spezielle Verzeichnis-Browsing-Programme vorhanden sind.

Alternative Streams sind in der Größe der Originaldatei nicht erkennbar, gehen jedoch verloren, wenn die Originaldatei (dh text.txt) gelöscht wird oder wenn die Datei kopiert oder auf eine Partition verschoben wird, die ADS nicht unterstützt (z. B. eine FAT-Partition, a Diskette oder eine Netzwerkfreigabe). Während ADS eine nützliche Funktion ist, kann es auch leicht Festplattenspeicher verbrauchen, wenn es unbekannt ist, entweder weil es vergessen wird oder nicht erkannt wird.

Diese Funktion wird nur unterstützt, wenn sich Dateien auf einem NTFS-Laufwerk befinden.

Quelle UltraEdit Datei - Öffnen - Dialog .

Anzeigen und Löschen alternativer Datenströme

Anmerkungen:

  • An jede Datei in einem NTFS-Dateisystem kann ein alternativer Datenstrom angehängt werden (nicht nur Textdateien).
  • Weitere Informationen zu potenziellen Sicherheitsproblemen bei alternativen Datenströmen finden Sie unter Versteckte Bedrohung: Alternative Datenströme

Notepad und und Word können (über die Befehlszeile) verwendet werden, um alternative Datenströme zu öffnen und zu lesen. Weitere Informationen finden Sie in dieser Antwort zu alternativen NTFS-Datenströmen von nishi .

UltraEdit kann alternative Datenströme aus dem Programm heraus öffnen.

Mit AlternateStreamView können alternative Datenströme gelöscht werden:

AlternateStreamView ist ein kleines Dienstprogramm, mit dem Sie Ihr NTFS-Laufwerk scannen und alle versteckten alternativen Streams finden können, die im Dateisystem gespeichert sind.

Nachdem Sie die alternativen Streams gescannt und gefunden haben, können Sie diese Streams in den angegebenen Ordner extrahieren, unerwünschte Streams löschen oder die Streams-Liste in einer Text-, HTML-, CSV- oder XML-Datei speichern.

Geben Sie hier die Bildbeschreibung ein

Quelle AlternateStreamView von Nirsoft

Wie wäre es mit Bildern?

Wie von Scott hervorgehoben , können Bilder auch verborgene Daten enthalten (eine Datei, eine Nachricht, ein anderes Bild oder ein Video unter Verwendung der Steganographie :

Die Steganographie umfasst die Verschleierung von Informationen in Computerdateien. Bei der digitalen Steganographie kann die elektronische Kommunikation eine steganographische Codierung innerhalb einer Transportschicht umfassen, beispielsweise einer Dokumentdatei, einer Bilddatei, eines Programms oder eines Protokolls.

Mediendateien sind aufgrund ihrer Größe ideal für die steganografische Übertragung. Beispielsweise kann ein Absender mit einer harmlosen Bilddatei beginnen und die Farbe jedes 100. Pixels so anpassen, dass sie einem Buchstaben im Alphabet entspricht. Diese Änderung ist so subtil, dass jemand, der nicht speziell danach sucht, sie wahrscheinlich nicht bemerkt.

Quell- Steganographie

Dies ist natürlich sehr schwer zu entfernen.

Siehe auch Steganographie - Eine Software zum Verstecken von Daten und zur Stenographie

Was ist mit Excel-Tabellen oder Word-Dokumenten?

Standardmäßig enthalten Office-Dokumente persönliche Informationen:

  • Diese Informationen können entfernt werden, siehe den Link unten.

Wort:

  • Verwenden Sie anstelle eines Word-Dokuments eine einfache Textdatei , die mit dem Editor oder einem anderen Editor erstellt wurde

Kalkulationstabelle:

  • Verwenden Sie eine CSV- Datei, die mit Excel erstellt und als CSV gespeichert wurde, oder erstellen Sie eine CSV direkt mit einem anderen Programm wie dem Editor.

Word-Dokumente können die folgenden Arten von versteckten Daten und persönlichen Informationen enthalten:

  • Kommentare, Revisionsmarkierungen von nachverfolgten Änderungen, Versionen und Tintenanmerkungen

    Wenn Sie bei der Erstellung Ihres Dokuments mit anderen Personen zusammengearbeitet haben, enthält Ihr Dokument möglicherweise Elemente wie Revisionsmarkierungen aus nachverfolgten Änderungen, Kommentaren, Tintenanmerkungen oder Versionen. Mithilfe dieser Informationen können andere Personen die Namen der Personen anzeigen, die an Ihrem Dokument gearbeitet haben, Kommentare von Überprüfern und Änderungen, die an Ihrem Dokument vorgenommen wurden.

  • Dokumenteigenschaften und persönliche Informationen

    Dokumenteigenschaften, auch als Metadaten bezeichnet, enthalten Details zu Ihrem Dokument wie Autor, Betreff und Titel. Zu den Dokumenteigenschaften gehören auch Informationen, die von Office-Programmen automatisch verwaltet werden, z. B. der Name der Person, die zuletzt ein Dokument gespeichert hat, und das Datum, an dem ein Dokument erstellt wurde. Wenn Sie bestimmte Funktionen verwendet haben, enthält Ihr Dokument möglicherweise auch zusätzliche Arten von personenbezogenen Daten (PII), z. B. E-Mail-Header, Informationen zur Überprüfung, Routing-Belege und Vorlagennamen.

  • Kopf- und Fußzeilen sowie Wasserzeichen

    Word-Dokumente können Informationen in Kopf- und Fußzeilen enthalten. Darüber hinaus haben Sie möglicherweise Ihrem Word-Dokument ein Wasserzeichen hinzugefügt.

  • Versteckter Text

    Word-Dokumente können Text enthalten, der als versteckter Text formatiert ist. Wenn Sie nicht wissen, ob Ihr Dokument versteckten Text enthält, können Sie mit dem Dokumentinspektor danach suchen.

  • Dokumentenservereigenschaften

    Wenn Ihr Dokument an einem Speicherort auf einem Dokumentverwaltungsserver gespeichert wurde, z. B. auf einer Document Workspace-Site oder einer Bibliothek, die auf Microsoft Windows SharePoint Services basiert, enthält das Dokument möglicherweise zusätzliche Dokumenteigenschaften oder Informationen zu diesem Serverspeicherort.

  • Benutzerdefinierte XML-Daten

    Dokumente können benutzerdefinierte XML-Daten enthalten, die im Dokument selbst nicht sichtbar sind. Der Dokumenteninspektor kann diese XML-Daten finden und entfernen.

Hinweis:

  • Der Word-Dokumentinspektor erkennt keine weißen Texte oder Bilder mit Steganografie (eine verborgene Datei, Nachricht, ein Bild oder ein Video).

Quelle Entfernen Sie versteckte Daten und persönliche Informationen, indem Sie Dokumente überprüfen

Was ist, wenn ich eine PDF-Datei verwende, die von einer anderen Person bezogen wurde?

PDFs sind nicht sicher:

  • Sie können Viren enthalten, siehe Kann eine PDF-Datei einen Virus enthalten?

  • Sie können JavaScript enthalten. Wenn das JavaScript jedes Mal, wenn das PDF geöffnet wurde, "nach Hause telefonieren" sollte, könnte es einen schönen Pfad geben, einschließlich Ihrer IP-Adresse.

  • PDFs können auch versteckte Informationen enthalten:

    PDF wurde auch häufig als Verteilungsformat für Dateien verwendet, die ursprünglich in Microsoft Office erstellt wurden, da versteckte Daten und Metadaten während des Konvertierungsprozesses bereinigt (oder redigiert) werden können.

    Trotz dieser häufigen Verwendung von PDF-Dokumenten unterschätzen Benutzer, die diese Dateien verteilen, häufig die Möglichkeit, dass sie versteckte Daten oder Metadaten enthalten. Dieses Dokument identifiziert die Risiken, die mit PDF-Dokumenten verbunden sein können, und enthält Anleitungen, mit denen Benutzer die unbeabsichtigte Freigabe vertraulicher Informationen reduzieren können.

Quelle verborgene Daten und Metadaten in Adobe PDF - Dateien:
Veröffentlichung Risiken und Gegenmaßnahmen , ein Dokument , das von der schriftlichen NSA

Wie kann ich die PDF-Datei überprüfen, um sicherzustellen, dass sie keine vertraulichen Informationen enthält?

Sie können den Ratschlägen der NSA folgen , um Ihr PDF zu bereinigen.

  • Ich habe die grundlegenden Schritte zusammengefasst, die Sie befolgen müssen.
  • Detaillierte Schritt-für-Schritt-Anleitungen mit Screenshots finden Sie unter dem folgenden Link.

In diesem Dokument werden Verfahren zum Bereinigen von PDF-Dokumenten für die statische Veröffentlichung beschrieben. Bei der Bereinigung im Sinne dieses Dokuments werden versteckte Daten und dynamische Inhalte entfernt, die nicht zur Veröffentlichung bestimmt sind (z. B. der Benutzername des Autors oder Kommentare zur Zwischenbearbeitung, die in die Datei eingebettet, aber auf keiner Seite sichtbar sind).

Versteckte Daten umfassen:

  • Metadaten

  • Eingebetteter Inhalt und angehängte Dateien

  • Skripte

  • Versteckte Ebenen

  • Eingebetteter Suchindex

  • Gespeicherte interaktive Formulardaten

  • Überprüfen und Kommentieren

  • Versteckte Seite, Bild und Daten aktualisieren

  • Verdeckter Text und Bilder

  • PDF-Kommentare (nicht angezeigt)

  • Nicht referenzierte Daten

...

Detailliertes Desinfektionsverfahren

  1. Quelldatei bereinigen

    Wenn die Anwendung, die die Quelldatei generiert hat, über ein Bereinigungsprogramm verfügt, sollte es vor der Konvertierung in PDF angewendet werden.

  2. Konfigurieren Sie die Sicherheitseinstellungen

    • Stellen Sie sicher, dass alle zutreffenden Acrobat-Updates heruntergeladen und installiert wurden
    • Javascript ausschalten
    • Stellen Sie sicher, dass die Trust Manager-Einstellungen richtig eingestellt sind

  3. Führen Sie Preflight aus

    Preflight stellt sicher, dass der Dateiinhalt mit der Zielversion kompatibel ist, und wendet bei Bedarf Korrekturen an.

  4. Führen Sie den PDF-Optimierer aus

    • Wenn die PDF-Datei andere angehängte Dateien enthält, wird eine Warnmeldung angezeigt. Klicken Sie auf "OK", um fortzufahren. Die angehängten Dateien werden während der PDF-Optimierung entfernt.
    • Dokument-Tags stellen ein verstecktes Datenrisiko dar. Dieses Verfahren (insbesondere die aktivierte Option für "Dokument-Tags verwerfen") entfernt sie aus dem bereinigten PDF.

  5. Führen Sie das Dienstprogramm zum Überprüfen von Dokumenten aus

    • Dies hilft dabei, Text zu finden, der hinter Objekten versteckt ist, sowie alle anderen Bereiche, die in den vorherigen Schritten möglicherweise übersehen wurden.

Quelle verborgene Daten und Metadaten in Adobe PDF - Dateien:
Veröffentlichung Risiken und Gegenmaßnahmen , ein Dokument , das von der schriftlichen NSA

Aber ich habe Antivirensoftware!

Selbst Antivirensoftware kann nicht garantiert alles abfangen. Siehe Zero-Day- Exploit:

Eine Zero-Day-Sicherheitsanfälligkeit (auch als Zero-Hour- oder 0-Day-Sicherheitsanfälligkeit bezeichnet) ist eine zuvor unbekannte Sicherheitsanfälligkeit in Bezug auf Computersoftware, die Hacker ausnutzen können, um Computerprogramme, Daten, zusätzliche Computer oder ein Netzwerk nachteilig zu beeinflussen.

Es wird als "Zero-Day" bezeichnet, da der Autor der Software nach Bekanntwerden des Fehlers keine Tage mehr hat, um eine Abschwächung seiner Nutzung zu planen und zu empfehlen (z. B. durch Umgehung von Problemumgehungen oder durch Ausgabe von Patches).

Quelle Null Tag

Was ist mit meinem USB-Laufwerk? Muss ich mir darüber Sorgen machen?

Sie können nicht garantieren, dass Ihr USB-Stick sicher ist.

USB-Peripheriegeräte wie USB-Sticks können neu programmiert werden, um den Inhalt aller auf das Laufwerk geschriebenen Daten zu stehlen und den Firmware-modifizierenden Code auf alle PCs zu übertragen, die er berührt. Das Nettoergebnis könnte ein sich selbst replizierender Virus sein, der sich über sparsame USB-Sticks verbreitet, ähnlich wie die rudimentären Viren, die sich vor Jahrzehnten auf Disketten verbreitet haben.

Quelle Warum Ihr USB-Gerät ein Sicherheitsrisiko darstellt

DavidPostill
quelle
2
Selbst (Windows-) Nur-Text-Dateien können möglicherweise Metadaten enthalten. Das Schlüsselwort lautet hier "Alternative Datenströme". Anspruchsvollere Editoren wie Ultraedit können auf diese alternativen Datenströme zugreifen. Weitere Infos hier: support.microsoft.com/en-us/kb/105763
Uwe Ziegenhagen
1
@UweZiegenhagen Toller Punkt. Danke, ich werde die Antwort ergänzen.
DavidPostill
3
Außerdem konnten für jede Person, an die sie ursprünglich verteilt wurde, geringfügige grammatikalische Änderungen an der Datei vorgenommen werden. Dies geschieht tatsächlich für (einige) geheime Dokumente.
Andrew Morton
@ AndrewMorton Ein weiterer guter Punkt. Meine Antwort wächst ...
DavidPostill
1
Sehr gründlich - und sehr beängstigend. Entschuldigen Sie, während ich meinen Alufolienhut aufsetze und meine Lampe auf Abhörgeräte überprüfe. Im Ernst, ... (Fortsetzung)
Scott
3

Dies hängt vom Dateityp ab. Beispielsweise speichern alle Microsoft Office-Anwendungen (Word, Excel usw.) die folgenden Informationen in der Datei:

  • Computername (wo die Datei gespeichert wurde)
  • Name des Autors (standardmäßig Name der Person, bei der Microsoft Office registriert ist, dies kann jedoch leicht geändert werden)
  • Datum, an dem die Datei gutgeschrieben wurde
  • Datum, an dem die Datei zuletzt gespeichert wurde

Die oben genannten Informationen werden normalerweise als Dateimetadaten bezeichnet.

Wenn Sie das Dokument als Nur-Text-Datei speichern, dh document.TXT (wird mit Notepad geöffnet), werden keine Metadaten gespeichert.

Sorgfältig behandeln :)

Serge
quelle
Vor Ort wurde ein Student neugierig, als er sah, dass ein 5-zeiliges Memo in Word etwa 500 KiB groß war. Sie öffneten es und konnten über "Rückgängig" einige Monate Memos lesen.
vonbrand
@vonbrand, wäre das nicht Change Tracking? AFAIK, Word speichert den Rückgängig-Verlauf nicht in Dateien, die bearbeitet werden.
Serge
Es ist lange her, und offensichtlich arbeitete die Sekretärin an einem auswendig gelernten, begrenzten Befehlssatz (der vielleicht sogar durch Ausprobieren gefunden wurde).
vonbrand