безопасность метаданных

Метаданные - данные о данных, другими словами - служебная информация, содержащаяся в документах различных форматов. В этой статье будут рассмотрены аспекты безопасности метаданных: связанные с ними риски и использование метаданных в практике информационной безопасности. Метаданные нередко помещаются в документ программным или аппаратным средством, при помощи которого документ был создан. Так как этот процесс автоматизирован, пользователь может оставаться неосведомленным о наличии таких данных и не предпринимать мер для защиты этой информации, нередко значимой.

Среди типов документов, содержащих метаданные - документы Microsoft Office, Adobe PDF, Corel WordPerfect, изображения, созданные CorelDRAW, Adobe Photoshop, созданные или обработанные различными редакторами растровой графики файлы GIF и JPEG, аудиофайлы MP3, веб-страницы, электронные письма. Получившие массовое распространение форматы, используемые на различных платформах в повседневной деятельности.

Метаданные могут включать в себя имя автора документа, организацию, метку программного или аппаратного средства, историю модификаций документа и так далее. В особо тяжелых случаях (Microsoft Word) это может быть даже текст, некогда входивший в документ, но позже удаленный , однако хранящийся в виде метаданных. Характерным примером аппаратной метки может служить EXIF-тэг, помещаемый в снимок в формате JPEG цифровыми камерами и несущий, среди прочих, такие данные, как время и режим съемки кадра. Другой интересный пример аппаратного размещения метаданных упоминался не так давно в PC World и на SecurityLab.ru; речь идет о нанесении цветными лазерными принтерами метки на распечатке. Метаданные могут присутствовать и в исходном коде в виде комментариев разработчиков, и в исполняемых файлах (ресурс Version, метка упаковщика и так далее).

риски

Риски, возникающие в связи с применением метаданных, можно поделить на две основные группы: внедрение кода и раскрытие чувствительной информации.

Мета-тэги, такие как ID3 у MP3 файлов, EXIF у JPEG и другие, представляют возможность внедрения потенциально опасного кода. Это может быть и кросс-скриптинг (в данном контексте представляется уместным использование обозначения XDS (cross-document scripting), и исполняемый код, и средства сбора информации о целевой системе. В цепи передачи и обработки информации добавляется уязвимое звено - способ обработки метаданных программным средством чтения или индексирования документов.

В качестве примера можно привести уязвимость в ImageMagick< 6.1.2 (Secunia Advisory SA12995, CAN-2004-0981) - ошибку в обработке EXIF-тэгов, которая приводила к угрозе выполнения кода, внедренного в EXIF. Уязвимости, связанные с обработкой метаданных, обнаруживались и в таких популярных мультимедиа-проигрывателях, как Winamp, RealPlayer, mpg321.

Ниже приводится пример PoC-эксплойта, основанного на уязвимости в обработке ID3-тэгов Apple QuickTime/Darwin Streaming MP3Broadcaster:
proof of concept by Sir Mordred :
First create the sample configuration file:
$ echo -e "\n" >test.conf
Then create a playlist file:
$ echo -e "*PLAY-LIST*\nsong.mp3" >mp3playlist.ply
Create a specially crafted mp3 file:
$ echo -e "ID3\x03\x00\x00\x00\x00\x0f\x0fTPE1\xff\
xaa\xaa\xbb\x00\x00\x00\x00\x00\x00 " >song.mp3

Следует отметить, что уязвимости в обработке метаданных еще недостаточно исследованы. С общим гигантским возрастанием объемов информации метаданные получат все большее распространение как средство индексирования данных; как результат, возникнут и новые (или будут обнаружены уже существующие) уязвимости, разработана методология внедрения кода.

К другой группе рисков относится раскрытие информации, содержащейся среди метаданных. Это может быть конфиденциальная, или относящаяся к коммерческой тайне информация, адреса электронной почты, пути к файлам на системе, на которой был создан либо обработан документ, другая информация об авторе и его программном и аппаратном обеспечении.

Утечка информации через метаданные в документах Microsoft Office дала основу некоторым инцидентам, получившим международную огласку. В одном случае, это был документ, подписанный премьер-министром Великобритании Тони Блэром, и касавшийся ситуации в Ираке. Исследование файла показало удаленный из него текст, содержавший информацию, не предназначенную для открытого доступа. Другой случай дополнил собой обширную летопись тяжбы SCO ко множеству компаний. Анализ искового заявления, составленного юридической компанией Boies, Schiller & Flexner, представляющей интересы SCO, показал, что из текста удалено название Bank of America - следовательно, банк был одной из мишеней иска, но по каким-то причинам юристы SCO воздержались от предъявления претензий к банку. Для сведущего и заинтересованного человека это - важная и обширная информация.



Рис. 1.

На рисунке 1 - результаты анализа файла от Boies, Schiller & Flexner.

метаданные и практика информационной безопасности

Не стоит обходить вниманием и прямое назначение метаданных - индексирование больших объемов информации. Так, упоминавшееся выше уведомление от Secunia имеет по меньшей мере два индекса: SA12995 (индекс Secunia) и CAN-2004-0981 (индекс уязвимости в CVE). Создано специфическое обеспечение, предназначеннное для аудита и контроля метаданных в организациях с объемным документооборотом, такое как ezClean и WorkShare Protect.

Исследование метаданных играет не последнюю роль в расследованиях случаев нарушений авторских прав, выявлении плагиата или попыток фальсификации документов. Известен факт использования EXIF-тэга в качестве улики в уголовном деле.

Анализ метаданных уже стал повседневной практикой для юристов развитых стран. К сожалению, в России вопрос безопасности метаданных пока остается в лучшем случае открытым, скорее - еще не поставленным должным образом.

Ресурс, посвященный рискам, связанным с метаданными - www.metadatarisk.org.



ALiEN Assault, alien@packetattack.dot.net.


Сетевые решения. Статья была опубликована в номере 04 за 2005 год в рубрике save ass…

©1999-2024 Сетевые решения