|
|
|
Microsoft Office Security, część 2 |
|
|
|
|
Duża ilość słabych punktów związanych z pakietem Microsoft Office spowodowała, że zaczęto zastanawiać się nad mechaniką architektury zabezpieczeń MS Office’a (MS Office security architecture) i możliwymi punktami wstrzykiwania błędów.
Tłumaczenie: Ludwika Sobczak, Sosnowiec
1. Ciąg dalszy części pierwszej
Poniższy artykuł omawia OLE Structured Storage Office’a oraz naturę niektórych programów typu „dropper” jak i innych agentów wykorzystujących luki w programach w celu zanalizowania działania kilku z nich. Druga część tego artykułu porównuje niektóre ścieżki badań sądowych poprzez różne funkcje MS Office’a. Fragmenty tego artykułu skupiają się na różnych lukach MS Office’a i omawiają ich naturę oraz metodę ich działania.
2. Ścieżki badań sądowych dla MS Office
W czasie fazy ‘analizy’ badań śledczych, skupiających się na plikach MS Office, niektóre funkcje zostały wybrane i są opisane poniżej. Funkcje te pomagają zwiększyć wydajność oprogramowania i mogą się okazać idealnym źródłem informacji, potrzebnych do rzeczowej oceny.
2.1 Włączone ‘zmiany ścieżek’ (Tools > Track Changes) (Ctrl+Shift+E)
Funkcja: 'Track Changes' używana jest w przypadku, gdy jeden lub więcej użytkowników dokonuje wielu poprawek na tym samym dokumencie. Pokazuje ona wszystkie modyfikacje dokonane na dokumencie, łącznie z wstawianiem, usuwaniem, zmienionymi wierszami i komentarzami.
Punkt zainteresowania badaczy: Jeśli funkcja 'Track Changes' jest włączona, nawet po rozpowszechnieniu pliku (mailowo lub w lokalnej sieci poprzez urządzenie fizyczne), wtedy – domyślnie – plik otwiera się w trybie 'Track Changes', aby wszystkie dokonane zmiany zostały ujawnione. Ukazane są także wszystkie komentarze – jeśli zostały dodane – innych autorów/osób przeglądających dokument wraz z imieniem autora.
2.1.1 Wyłączenie ‘zmian ścieżek’ (Tools > Options > Security)
Aby kontynuować część pierwszą, która miała pięć ilustracji, rozpoczniemy rysunkiem 6.
Rysunek 6. Tworzenie ukrytych znaczników widocznych w MS Office 2003
Zauważ, że domyślnie opcja 'Make hidden markup visible when opening or saving' (‘Uwidocznij ukryte znaczniki przy otwieraniu lub zapisywaniu’) jest włączana, aby uchronić użytkowników przed przypadkowym rozpowszechnianiem dokumentu z poufnymi informacjami.
Taka była procedura wyłączania tej funkcji w Wordzie 2003. Jednak w przypadku Worda 2002, tekst oznaczeń może być ukryty poprzez pasek narzędziowy przeglądania jak pokazuje rysunek 7 oraz 8 i nie pokaże się on teraz przy otwieraniu lub zapisywaniu pliku.
Rysunek 7. Uwidacznianie ukrytych znaczników w MS Office 2002
Rysunek 8. Uwidacznianie ukrytych znaczników w MS Office 2002
2.1.2 Usuwanie dużej ilości komentarzy w dokumencie
Czasami nawet komentarze pojawiają się ‘jako takie’, gdy dokument jest otwierany ponownie. Można to ukryć, jak pokazuje rysunek powyżej. Istnieje jednak technika usuwania dużej ilości komentarzy w dokumencie. Działa ona dla dokumentów MS Word i MS Excel. Proste makro może sprawić, że pozbędziesz się bolesnego zadania usuwania każdego komentarza ręcznie.
Makro do usuwania komentarzy z MS Worda: dodaj następujące makro do wybranego dokumentu lub jego szablonu:
'Function to delete and confirm the deletion of comments
Sub DeleteAllCommentsAndConfirm( )
'Variable Initialization
Dim i As Integer
Dim iNumberOfComments As Integer
If MsgBox( _"Are you sure you want to delete
ALL comments in this document?", _vbYesNo) = vbYes Then
iNumberOfComments = ActiveDocument.Comments.Count
For i = iNumberOfComments To 1 Step -1
ActiveDocument.Comments(i).Delete
Next i
MsgBox iNumberOfComments & " Comment(s) Deleted", vbInformation
End If
End Sub
2.2 Wysłany dokument do przeglądania przez aplikacje MS Office
Funkcja: 'Send to Mail Recipient for Review' (Wyślij do odbiorcy maila do przeglądnięcia) umożliwia wysłanie dokumentów do domyślnej aplikacji mailowej. Powinno się jej używać bardzo ostrożnie, ponieważ zawiera ona szczegóły całego dokumentu. Widać to na rysunku 9 poniżej.
Rysunek 9. Opcja odbiorcy maila (do przeglądnięcia)
Punkt zainteresowania badaczy: Jeśli dokument wysyłany jest przez Outlooka, to gdy odbiorca go otwiera i przegląda właściwości pliku (Files > Properties > Custom), pokazują się wpisy takie jak _TentativeReviewCycleID oraz _ReviewCycleID, _EmailSubject, _AuthorEmail i _AuthorEmailDisplayName.
Szczegóły tej zakładki 'Custom' są również przechowywane w systemie odbiorcy w pliku o nazwie 'Adhoc.rcd' lub 'Review.rcd' (w zależności od wersji używanego Office’a; w przypadku Office’a 2003 jest to 'Review.rcd'). Zazwyczaj można je znaleźć pod następującą lokalizacją: System_Drive>User's_Documents_and_Settings>\Application Data\Microsoft\Office.
Plik Adhoc.rcd lub Review.rcd zazwyczaj zawiera te same informacje, jakie pokazuje zakładka Custom Properties. Wpis ujawnia następujące rzeczy:
- Komputer, z którego dokument został wysłany
- Nazwa zalogowanego użytkownika
- Adres mailowy
- Temat maila
Jeśli badacz z jakiegoś powodu musi mieć dostęp do wiadomości mailowej, może do niej wrócić poprzez Exchange serwer lub za pomocą innej, dogodniejszej techniki. Można tego uniknąć poprzez:
- Ręczne dołączenie dokumentu do maila
- Użycie aplikacji mailowej innej niż Outlook
2.3 Odzyskanie niewidocznych meta-danych
Funkcja: Opcja Otwarcia Pliku 'Recover Text From Any File (*.*)' /Odzyskaj tekst z jakiegokolwiek pliku (*.*)/. Opcja ta rozrywa formatowanie dokumentu i pokazuje cały tekst razem z wyczerpującymi właściwościami pliku. Pokazują to rysunki 10, 11 i 12 poniżej.
Rysunek 10. Opcja Recover Text From Any File (*.*)
Rysunek 11. Okno dialogowe, gdy plik jest odzyskany (wybierz Close)
Rysunek 12. Przykładowa zawartość odzyskanego pliku
Punkt zainteresowania badaczy: Wyczerpujący spis właściwości pliku ujawnia informacje, które mogą się okazać bardzo istotne, mogą pomóc zbudować oś czasową lub dokonać pewnych przypuszczeń w czasie fazy analizowania badania sądowego.
Nie są znane żadne obejścia ani rozwiązania, aby nie dopuścić do odzyskania danych z aplikacji MS Office. Nie jesteśmy w stanie sprawić, aby MS Office nie zapisywał meta-danych, ale na pewno możemy podjąć kroki ku temu, aby to ukryć. I dlatego, wysyłając jakiekolwiek pliki, możemy:
- Przekształcić plik do formatu PDF i zachować tylko niezbędne informacje.
- Przekształcić plik do formatu ‘Rich Text Format’ (.rtf) i wysłać go lub z powrotem przekształcić do formatu (.doc). Przekształcanie do (.rtf) usuwa wszystkie meta-dane z pliku i zachowuje formatowanie. Należy zauważyć, że takie przekształcanie nie usuwa historii przeglądania dokumentu.
2.4 Spis ‘Ostatnio Otwieranych Plików’
Funkcja: Jest to funkcja, która wyświetla listę ostatnio otwieranych plików. Maksymalnie może być wyświetlonych 9 wpisów:
- Spis jest pokazany w menu 'File' jako ostatni zestaw wpisów lub
- Spis jest pokazany w polu 'Startup Task Pane'
Punkt zainteresowania badaczy: Taki spis bez wątpienia służy jako szybki punkt odniesienia, dotyczący tego, gdzie należy zacząć, zmniejsza także kłopoty przechodzenia przez meta-dane różnych plików Office’a osobno.
Rysunek 13. Spis ostatnio otwieranych plików
Liczba wpisów w opcji ‘Ostatnio otwierane pliki’ może być ustawiona na 0, jak pokazuje rysunek 14 poniżej.
Rysunek 14. Wpis podświetlony może być ustawiony na '0'
Można również uniknąć wyskakiwania paska zadań za każdym razem, gdy aplikacja Office zostaje otwarta. Pokazuje to rysunek 15 poniżej.
Rysunek 15. 'Startup Task Pane' – przegląd opcji, która może być niezaznaczona
2.5 'SummaryInformation' MS Office’a
Funkcja 'Privacy Options' używana jest do zabezpieczenia dokumentu przede wszystkim przed ujawnieniem informacji.
Po pierwsze pomaga zabezpieczyć informacje osobiste związane z dokumentem. Informacje osobiste dotyczą szczegółów dokumentu, zapisanych i zarchiwizowanych przez użytkowników oraz autorów tego samego dokumentu. Należy zrozumieć, że „Informacje Osobiste” /'Personal Information'/ to nie to samo co „Informacje o Użytkowniku” /'User Information'/ zawarte w pliku, jak pokazuje rysunek 16:
Rysunek 16. Przykładowe 'Informacje o Użytkowniku'
Rysunek 17. Informacje Osobiste: Szczegóły różnych autorów z włączoną opcją ‘śledzenia zmian’
Rysunek 18. Informacje Osobiste: Szczegóły różnych autorów z włączoną opcją ‘śledzenia zmian’
Ten rodzaj informacji osobistych może być poufny. Nikt by nie chciał (nawet przypadkowo), aby ich potencjalny pracodawca wiedział, kto mu pomagał dokonać zmian/przeglądu ich życiorysu, ani nikt by nie chciał ujawnić takich informacji potencjalnym klientom. Weźmy pod uwagę ilość korekt robionych na ofercie cenowej przed wysłaniem ostatecznej propozycji albo liczbę osób dokonujących tych zmian! Ta właśnie opcja może oszczędzić zażenowania i zapewnić bezpieczeństwo dokumentu.
Tools > Options
Rysunek 19. Usuwanie 'Informacji Osobistych' z właściwości pliku
Krok 1: Zapisz plik w formacie „rich text format” (.rtf) używając opcji 'Save As'.
Krok 2: Otwórz dokument w jakimkolwiek edytorze „rich text” albo choćby w notatniku.
Krok 3: Poszukaj łańcucha '{\*\revtbl'.
Krok 4: Zawartość nawiasów klamrowych, która występuje po łańcuchu, posiada spis autorów/przeglądających.
Rysunek 20. Identyfikacja autorów w łańcuchu '{\*\revtbl'
Rysunek 21. Modyfikacja wpisu
Rysunek 22. Zmieniony wpis w MS Wordzie
Powyższa metoda pokazuje spis autorów dokumentu. Istnieją inne sposoby dotarcia do tych informacji i głębszego sprawdzenia przy pomocy pliku przeglądającego program narzędziowy o nazwie DocFile View.
Ten program narzędziowy dostarcza identyfikatorów zestawu właściwości OLE Structured Storage i odpowiadających im wartości zachowanych w strumieniu SummaryInformation dokumentu.
Rysunek 23. SummaryInformation przeglądane przez DocFile View
Rysunek 24. Łańcuchy Identyfikatorów Właściwości odpowiadające Identyfikatorom Właściwości (ze strony MSDN Website)
PropID pokazane na rysunku 23 powinny być odwzorowane za pomocą wartości szesnastkowych Property ID (kolumna 3) na rysunku 24. Jak widać ze zrzutu ekranu, badacz może szybko zebrać ważne informacje o dokumencie, takie jak Autor czy Użytkownik, który zapisał dokument jako ostatni, czas i data ostatniego zapisywania, ilość poprawek i wiele innych. Można by się zastanawiać czemu taka procedura jest konieczna, jeśli można po prostu otworzyć plik i zobaczyć pod-menu 'Properties' i w ten sposób dotrzeć do wszystkich powyższych informacji. Odpowiedź jest zupełnie prosta: takie narzędzia pomagają badaczowi odzyskać wszystkie informacje w zasadzie bez otwierania pliku. Może on zeskanować dużą ilość plików jeden po drugim i zdobyć dowody.
Uwaga: Metoda ta nie będzie pomocna w przypadku, gdy plik jest w trybie ‘Tylko do Odczytu’ lub jeśli został zaszyfrowany.
Najlepszym sposobem, aby usunąć wszystkie informacje osobiste przed wysłaniem dokumentu jest wykorzystanie Add-in from Microsoft, co może na stałe usunąć ukryte dane i dane o współpracy, takie jak zmiany śledzenia i komentarze z plików Microsoft Word, Microsoft Excel oraz Microsoft PowerPoint.
3. Podsumowanie
Część pierwsza tego artykułu skupiała się głównie na OLE Structured Storage dokumentów Microsoft Office. Część druga to spojrzenie na ścieżki badań sądowych, które mogą być wykorzystane przez badaczy. Niektóre z funkcji pokazanych w części drugiej są bardziej odpowiednie dla czynnego podejścia do reakcji na incydent. Badacze zazwyczaj nie uruchamiają aplikacji w naruszonym systemie; robią natomiast obraz dysku i zaczynają sprawdzać zawartość przy użyciu wyszukanych narzędzi i technik.
Ogólnie mówiąc, MS Office dostarcza bardzo dobrych funkcji bezpieczeństwa (security) i opcji odzyskiwania. Niektóre są dobrze znane, inne nie. Techniki zasugerowane w tym artykule mogą być wdrożone, aby zabezpieczyć pisemną komunikację. Perspektywa badań sądowych została pokazana, aby podświetlić obszary potencjalnego zainteresowania badaczy. Omówione funkcje podpowiadają użytkownikom, jak ostrożnie podchodzić do dokumentów i jak ustawić opcje zabezpieczeń po określeniu poufności i wrażliwości danego dokumentu.
Źródło: www.securityfocus.com
Tłumaczenie: Ludwika Sobczak, Sosnowiec
|
Zmieniony ( 20.08.2008. )
|
|
Najnowsze opinie/felietony
|
