Как видно из рисунка, по метаданным, помимо прочего, можно определить, кто создал документ, кто его сохранил в последний раз; узнать название организации (эта информация извлекается из свойств операционной системы или свойств офисного пакета, и некоторые пользователи указывают в этом поле даже домашний адрес) и даже маршруты пересылки документа и расположение сервера управления документами
[824].
Примечание. Функции программного пакета Microsoft Office содержат инструмент под названием «Инспектор документов», предназначенный для удаления такой метаинформации, но мало кто из пользователей запускает его при сохранении каждого документа на диске.
Помимо этого, программы из пакета Microsoft Office позволяют встраивать данные из документов одного формата в документы другого. Например, после добавления в документ Word диаграммы из файла Microsoft Excel можно просмотреть внедренный файл Excel, который может содержать намного больше информации, в том числе конфиденциальной, чем отражено на диаграмме
[825]. Например, к таким данным могут относиться другие страницы книги Excel, находящиеся в импортированном файле и не отображаемые на диаграмме, а также метаданные, которые добавлены непосредственно приложением Excel и которые вы не можете отредактировать или удалить средствами Word.
Кроме того, если вставить в Word, Excel или другое офисное приложение фотографию или снимок экрана и кадрировать (обрезать) его инструментами этой программы, то в теле документа останется исходное целое изображение. Любой пользователь, получивший доступ к документу, сможет просмотреть исходное необрезанное изображение, выбрав функцию кадрирования и восстановив первоначальные параметры рисунка (а отрезанные области рисунка могут содержать некую конфиденциальную информацию). Чтобы необратимо удалить отрезанные области кадрированных рисунков в документах, в программе Microsoft Office Picture Manager из пакета Microsoft Office нужно выделить любой вставленный рисунок и на вкладке Формат нажать кнопку Сжать рисунки. В открывшемся диалоговом окне следует выбрать: применять операцию ко всем рисункам или только к выделенному (флажок Применить только к этому рисунку) и установить флажок Удалить обрезанные области рисунков, а затем нажать кнопку OK.
Чтобы избежать утечки таких данных, в документы следует вставлять изображения, предварительно обработанные в графическом редакторе с удалением метаданных и сведением слоев в единое изображение.
КЕЙС В 2010 г. греческая полиция арестовала одного из участников хакерской группы Anonymous – Алекса Тапанариса, который подготовил PDF-документ с манифестом группы. Арест стал возможен потому, что среди метаданных в опубликованном PDF-файле оказалось имя Алекса
[826].
Метаданные автоматически добавляются во все пользовательские документы не только в офисном пакете Microsoft Office. Примерно так же, но не настолько навязчиво действуют приложения для просмотра PDF-файлов Adobe Acrobat Reader и редактор Adobe Acrobat Pro, имеющий более широкие функции.
К числу данных, по которым можно идентифицировать пользователя, относятся «забытые» в документах примечания (комментарии) и ссылки (в частности, ведущие на локальные ресурсы). Из таких сведений можно узнать имя пользователя и в некоторых случаях имя компьютера, которое в корпоративных сетях может быть достаточно уникальным, чтобы способствовать определению источника файла.
Недоверенные и взломанные приложения
Наверное, самый распространенный путь проникновения на компьютер вредоносного программного обеспечения, способного красть данные пользователя, – недоверенные приложения. Это касается не только сомнительных приложений неизвестных разработчиков, но и популярного софта, разработанного софтверными гигантами. В последнем случае программы могут собирать пользовательские данные в интересах своих разработчиков или рекламных компаний (например, браузеры или операционная система), а также попутно фаршировать устройство вредоносными модулями, если используется имеющая уязвимости версия программы (см. пример, касающийся FinFisher, упомянутый выше в этой главе).
Нередко инфицирование компьютеров пользователей (да и корпоративных устройств) происходит из-за использования версий программ, взломанных для обхода ограничений, которые лицензии накладывают на их использование (например, взломанного платного софта или игр, отвязанных от систем защиты либо предполагающих использование читов). Как правило, хакеры, взламывающие программное обеспечение, редко занимаются этим ради благотворительности. Под видом «софта без ограничений» они распространяют версии программ, в которые внедряют инструменты, крадущие пользовательские данные или предоставляющие удаленный доступ злоумышленникам. Такое ПО изначально может и не содержать вредоносного кода и только после установки инициировать скачивание обновления, в которое внедрены инструменты для перехвата данных.
Антивирусное программное обеспечение
Антивирусные программы
[827], позиционируемые как полезные для владельца компьютера инструменты, без сомнения, необходимы для предупреждения чрезвычайных ситуаций, вызываемых вредоносными приложениями. Современные антивирусные утилиты способны не только обнаруживать известные вирусы по сигнатурам, имеющимся в базах данных, но и определять неизвестные формы зловредов, используя модули эвристического анализа. Тем не менее в некоторых случаях установка антивирусного программного обеспечения может быть противопоказана, так как согласно условиям лицензионного соглашения и для корректной работы антивируса последнему предоставляется доступ ко всем файлам, хранящимся на компьютере. Иными словами, антивирусное программное обеспечение, например модифицированное или разработанное со злым умыслом, потенциально способно анализировать и скачивать на сервер разработчика антивируса или хакера любые файлы, якобы цель отправки файлов – проверить, нет ли в них вредоносного кода. Так, злоумышленник может внедрить в антивирусный сканер инструменты для поиска по определенным ключевым словам (например, для поиска банковских реквизитов) и передачи на свой сервер найденной информации (или содержащих ее файлов). Такое двуликое антивирусное программное обеспечение может быть не только разработкой сомнительного происхождения. Также оно может оказаться взломанной версией какой-то известной программы, поскольку многие стараются бесплатно использовать платное высококачественное антивирусное программное обеспечение.
Итак, если вы опасаетесь утечки конфиденциальной информации, то подумайте: действительно ли вам необходимо антивирусное программное обеспечение?