Microsoft Office: ваши данные беззащитны

Источник: CNews

Документы Microsoft Office содержат метаданные - вспомогательную информацию, сохраняемую вместе с файлом автоматически. Например, Word по умолчанию сохраняет свойства документа, XML-данные пользователя, историю работы с текстом и многое другое. В результате практически каждый офисный файл содержит приватную информацию компании. Казалось бы, с выпуском новой версии Office 2007 разработчики Microsoft должны были решить проблему безопасности, однако эксперты рынка считают, что ситуация стала только хуже. А с выходом Windows Vista опасность утечки секретных данных существенно возрастает.

«Насколько это опасно?» - сразу же спрашивают заказчики, как только слышат об уязвимости приватных данных в файлах Microsoft Office. Наиболее точный ответ варьируется от «потенциально опасно» до «очень опасно». Действительно, в одних случаях метаданные могут содержать полный путь к сетевому принтеру, что позволит злоумышленнику схематически восстановить топологию внутрикорпоративной сети, а в других случаях в документе Word могут быть записаны комментарии авторов (созданные при коллективной работе), их имена (что составляет сладкую находку для адептов социального инжиниринга), исправления (внесенные в режиме рецензирования), скрытый текст (отформатированный специальным образом) и многое другое. Очевидно, что в последнем варианте во внешнюю среду организации попадет документ не только с официальным мнением компании о каком-либо событии, а еще и с альтернативной трактовкой, «вычищенной» на этапе подготовки документа, но все равно сохранившейся в метаданных.

Самое главное, что приложения Microsoft Office вовсе не спрашивают у пользователя разрешения на запись вспомогательной информации в файл. Более того, пользователь не может отключить эту функцию. Таким образом, приватные данные в любом случае попадают в офисные документы автоматически. В результате сегодня абсолютно каждый файл Microsoft Office, не прошедший специальной очистки, содержит чувствительные сведения автора и/или компании.

Чтобы не быть голословными, приведем несколько примеров того, как утечка конфиденциальной информации посредством метаданных нанесла существенный вред организации. Прежде всего, одной из самых громких жертв именно такого инцидента стал премьер-министр Великобритании Тони Блэр. В его документах, касающихся вторжения в Ирак, была обнаружена информация, отличающаяся от официальной позиции правительства страны. Естественно, Тони Блэру пришлось давать объяснения. Далее, в документах компании SCO Group, прославившейся своими исками против крупнейших корпораций из-за использования кода Linux/Unix, были обнаружены метаданные, однозначно указывающие на то, что SCO Group собирается подать иск еще и против Bank of America. Публичное и досрочное разглашение планов фирмы спутало ей все карты. Наконец, огромные финансовые убытки понесла фармацевтическая компания Merck. В конце 2005 года против корпорации был подан иск из-за ее препарата Vioxx. Согласно статье в журнале «Forbes» от 8 декабря 2005 года, эксперты Merck представили суду научный отчет, свидетельствующий в пользу компании. Однако анализ метаданных, сохраненных в этом файле, показал, что из отчета были удалены особо важные сведения. Более того, эти части текста удалось полностью восстановить. В результате этой утечки защита Merck в суде лопнула, как мыльный пузырь.

Microsoft Office XP/2003

Эксперты по ИТ-безопасности уже давно знают о проблеме метаданных в файлах Microsoft Office. Кроме того, об опасности утечки приватной информации через офисные документы знают и представители самой корпорацииMicrosoft. Однако эффективного решения проблемы все еще нет. Есть лишь слабые попытки «заткнуть дыру» в офисном пакете с помощью специального плагина, который компания Microsoft предлагает бесплатно скачать со своего сайта. Действительно, пользователи Office XP и 2003 могут подключить так называемое «Средство удаления скрытых данных». Плагин тут же прописывается в самом начале меню «Файл».

Средство удаления скрытых данных в Microsoft Word 2003

Тем не менее, сказать, что этой утилитой пользоваться неудобно - все равно, что вообще ничего не сказать. Во-первых, «средство удаления скрытых данных» полностью лишено автоматизма и работает по принципу on-demand (по требованию). Другими словами, каждый раз, когда пользователь захочет удалить метаданные, он должен обращаться к плагину. Во-вторых, в результате работы утилиты создается новая, полностью стерильная и защищенная от записи копия документа. Это значит, что с очищенным файлом можно работать в режиме «только чтение». Любая попытка внести в него хотя бы самые незначительные изменения, например, поставить лишний пробел, приведет к тому, что в документ снова будут записаны «тонны» метаданных.

Удалять метаданные в Word 2003 очень не удобно…

Однако и это еще не все. После того, как пользователь укажет имя для нового файла и нажмет кнопку «Далее», он увидит результаты сканирования документа и выполненные действия в обычном текстовом файле, открытом прямо в «Блокноте». Наглядность такого представления данных минимальна, да и использовать их очень сложно. Таким образом, бесплатная утилита Microsoft выглядит как неуклюжая попытка «заткнуть дыру» в офисных документах. Эффективно использовать этот плагин в корпоративной среде практически невозможно. Ведь необходимо не только скачать его из Интернета и установить на каждой рабочей станции вручную, но еще и объяснить пользователям, как пользоваться утилитой и зачем это нужно. К сожалению, даже в этом случае PR-менеджеры могут просто забыть запустить очистку документа перед его публикацией в Интернете.

Windows Vista и Microsoft Office 2007

Эксперты по ИТ-безопасности в большинстве своем стараются не акцентировать внимание начальства или заказчиков на уязвимости приватных данных в Microsoft Office. Если же разговор об этом все-таки заходит, то заинтересованным лицам просто рекомендуют использовать бесплатную утилиту, описанную в предыдущей главе. Такую позицию профессионалов в ИТ-безопасности вполне можно понять, ведь никакого другого решения сегодня просто не существует, а на безрыбье, как известно, и рак - рыба.

Тем не менее, в связи с предстоящим выходом новых версий операционной системы и офисного пакета Microsoft, проблема только усугубится. Дело в том, что софтверный гигант вступил в «поисковую» войну с Google и Yahoo. Чтобы опередить своих конкурентов на рынке поисковых систем для рабочих станций, компания Microsoft планирует реализовать в системе Windows Vista возможность поиска по метаданным. С точки зрения бизнеса, подход Microsoft вполне оправдан. Кто, как не софтверный гигант, лучше всего осведомлен о спецификациях метаданных? Однако если взглянуть на новшество со стороны ИТ-безопасности, то окажется, что теперь даже пользователь с минимальной квалификацией сможет извлекать чужие метаданные и отыскивать среди них те, что представляют реальный интерес. Очевидно, что опасность утечки приватной информации и даже торговых секретов с выходом Windows Vista существенно возрастет.

«Опасность усугубляется еще и тем, что многие компании либо вообще не знают о том, что такое метаданные и как они могут быть опасны, либо просто игнорируют проблему. Однако это неправильный путь: утечка конфиденциальной информации через метаданные реальна, а с выходом Windows Vista она станет практически неизбежной. Только представьте, многие менеджеры пишут электронные письма прямо в Word, а потом отсылают их адресату нажатием всего одной кнопки на панели инструментов. Однако если получатель проявит достаточно сноровки, то сможет легко разобрать не только то, что отправитель пожелал ему сообщить, но и то, что он предпочел скрыть и удалить. Между тем, это всего лишь один пример того, как метаданные могут привести к утечке чрезвычайно важных сведений и сорвать переговоры», - комментирует Вячеслав Лупанов, начальник отдела системного ПО компании "Гелиос компьютер".

По идее, решение проблемы должно крыться в новой версии Microsoft Office 2007. Бета-версия продукта уже давно выпущена, поэтому ничто не мешает ознакомиться с ней именно в плане работы с метаданными. В самом деле, теперь офисный пакет по умолчанию оснащен утилитой Document Inspector, которая подчищает приватные данные точно так же, как это делало «Средство удаления скрытых данных» в Microsoft Office XP/2003.

Однако тщательный анализ возможностей Document Inspector показывает, что ситуация вовсе не улучшилась. Более того, наличие новой утилиты создает иллюзию безопасности, что вводит пользователей в заблуждение, а возможность поиска по метаданным в Windows Vista обнажает проблему, как никогда ранее. Чтобы убедиться в этом, рассмотрим работу плагина Document Inspector.

Прежде всего, необходимо отметить, что Microsoft вынесла целый ряд функций в отдельное меню Finish. Таким образом, разработчик признал, что перед публикацией документа над ним действительно стоит проделать ряд манипуляций.

Microsoft Word 2007 позволяет завершить (Finish) работу с документом

Новая утилита Document Inspector позволяет удалить из документа всю вспомогательную информацию, внесенную в режиме рецензирования, очистить свойства документа, стереть пользовательские XML-данные и т.д. По сравнению со «средством удаления скрытых данных» из предыдущей версии Microsoft Office изменилось лишь представление результатов очистки, которые теперь показаны цивилизованным способом, и добавился выбор типа метаданных для удаления. Вдобавок, не требуется создавать новую копию документа, однако попытка изменить стерильную версию по-прежнему приведет к ее наполнению метаданными.

Утилита Document Inspector: результаты удаления метаданных

Таким образом, новая версия офисного пакета сохранила основные недостатки Office XP/2003. Самое главное - отсутствие автоматизма при удалении приватных сведений. То есть, служащий должен самостоятельно запускать Document Inspector каждый раз, когда планирует отослать документ за пределы корпоративной среды. Несмотря на более привлекательный интерфейс и упростившееся взаимодействие с пользователем, новая утилита все также не решает проблему утечки метаданных в бизнес-среде. Более того, наличие такого плагина в составе Microsoft Office по умолчанию создает ложную иллюзию защищенности. Может показаться, что достаточно всего лишь запустить Document Inspector, как утечка будет предотвращена. Однако это в корне неверный подход. Точно такая же ситуация была на ниве борьбы с вирусами 10-15 лет назад. Пользователи должны были принудительно проверять на вирусы каждый файл на дискете или компакт-диске. Естественно, в некоторых случаях человек просто забывал это сделать или надеялся «на лучшее». В результате даже при наличии антивируса пользователь мог легко стать жертвой вредоносного кода. Конечно, со временем появились антивирусные мониторы, так что современные служащие о защите от вирусов даже и не думают. Так почему же они должны думать о предотвращении утечек?

Есть ли выход?

Решение проблемы метаданных сродни проверке файла на вирус. В обоих случаях задача должна решаться с помощью автоматических и полностью прозрачных методов, которые берут всю работу на себя и не требуют вмешательства пользователя. При этом необходимо учитывать, что утечка конфиденциальной или приватной информации происходит тогда и только тогда, когда эти данные покидают корпоративный периметр. Следовательно, нет никакой опасности в том, что метаданные «кочуют» вместе с документами Microsoft Office от отдела маркетинга в отдел продаж или внутри технического департамента. Однако на выходе из корпоративной сети, например, при отсылке файла по электронной почте, все метаданные должны быть обязательно стерты. Более того, такая выделенная функциональность (удаление вспомогательных приватных сведений на уровне шлюза) является наиболее логичной с точки зрения удобства, производительности и масштабируемости.

Отметим, что аналогичные решения сегодня есть (например, InfoWatch Security Appliance). Они представляют собой программно-аппаратные комплексы, устанавливаемые в качестве relay-сервера на выходе из корпоративной сети и фильтрующие почтовый и веб-трафик. Важно отметить, что конфиденциальная информация или документ Microsoft Office вместе с метаданными могут покинуть корпоративный периметр не только по сетевым каналам, но еще и посредством мобильных накопителей, портативных устройств и т.д. Таким образом, для предотвращения утечки необходимо обеспечить комплексный контроль над всеми коммуникационными каналами, включая уровень рабочих станций. По мнению компании IDC, именно двухуровневый подход является сегодня самым эффективным для блокирования утечек: фильтрация сетевого трафика должна происходить на уровне шлюза (первый уровень), а копирование файлов на флэшки и гаджеты должно контролироваться на каждой рабочей станции (второй уровень). С помощью комплексного решения удастся покрыть все наиболее опасные каналы утечки, как сетевые (электронная почта, веб и т.д.), так и мобильные (USB, COM, LPT, IrDA, Bluetooth, Wi-Fi и др.).

Таким образом, только автоматизированная очистка метаданных в документах Microsoft Office, покидающих корпоративную сеть, может остановить утечку приватных и конфиденциальных данных из компании. Бизнес не может игнорировать эти риски, так как в противном случае фирма рано или поздно очутится в центре скандала из-за появления в печати альтернативных трактовок последних событий или утратит конкурентоспособность вследствие утечки торговых секретов. В любом случае нет никакого смысла пускать на самотек те риски, которыми легко можно управлять.

Ссылки по теме