Office: knebel, w dyby i do lochu!

Traktuj swoje dokumenty pakietu biurowego Office, jak więźniów pod specjalnym nadzorem. Obserwuj i nie pozwól im prysnąć! Każdy taki plik zawierać może całą masę ukrytych informacji, poufnych danych, które nie powinny się wydostać poza mury firmy, uczelni lub prywatnego domostwa. Niecenzuralne komentarze w arkuszu kalkulacyjnym, niewygodne stwierdzenia i błędy pozornie usunięte z dokumentu, historia zmian w prezentacji - jeśli wpadną w niepowołane ręce mogą przysporzyć wielu kłopotów, a nawet skompromitować autora. To może spotkać każdego! Na szczęście z odsieczą przybywa TRACE!

Fragment dokumentu opatrzonego mnóstwem komentarzy i poprawek

Fragment dokumentu opatrzonego mnóstwem komentarzy i poprawek

Dla wielu z nas chlebem powszednim jest korzystanie z różnych aplikacji pakietu biurowego Office. Większość nie zdaje sobie jednak sprawy, że dokumenty Worda, Excela czy PowerPointa w rękach niewprawnego użytkownika mogą kryć w sobie więcej informacji, niż nam się na pierwszy rzut oka wydaje. W przypadku, gdy nad jednym dokumentem pracuje jednocześnie kilka osób, ryzyko to drastycznie się zwiększa. Usunięty tekst, nazwiska autorów, historia dokonywanych w danym dokumencie zmian i poprawek, w końcu nawet poufne dane - to wszystko może dostać się w niepowołane ręce wraz z udostępnieniem takiego pliku osobom trzecim.

Oferta handlowa z poprawkami i zaleceniami szefa? Praca zaliczeniowa z komentarzami starszego brata? List miłosny wyedytowany na podstawie znanego wiersza? Jak uniknąc kompromitacji? Jak przed wysłaniem pliku w świat upewnić się, iż udostępniamy tylko to, co chcemy udostępnić?

Dla przykładu prezentujemy obok fragment dokumentu, przesłanego do naszej redakcji od jednej z największych firm informatycznych, działających na polskim rynku. W nieopatrznie pozostawionych komentarzach natrafiliśmy nie tylko na poprawki stylistyczne, ale także dyspozycje wydawane innym współautorom dokumentu. Były to dane poufne o strategicznym znaczeniu, odsłaniające kulisy powstawania tej informacji i działania osób nadających jej ostateczny kształt. Totalna kompromitacja...

Polecenie Remove Hidden Data

Polecenie Remove Hidden Data

Wygląda na to, że Microsoft również zdaje sobie sprawę z zagrożenia, jakie dla użytkowników Office'a stanowić może pozostawianie w dokumencie ukrytych danych. Koncern w połowie ubiegłego roku udostępnił 'wtyczkę' do pakietów Office XP i 2003, o funkcjonalności zbliżonej do TRACE! - Remove Hidden Data. Jej funkcjonalność ogranicza się do dodania do menu Plik polecenia 'Remove Hidden Data' - jego kliknięcie spowoduje wymazanie z pliku wszelkich dodatkowych informacji. Program można znaleźć tutaj.

TRACE! - nieprzekupny strażnik

Odsiecz nadeszła ze strony firmy Workshare Technology, która udostępniła darmowe narzędzie o nazwie TRACE!. Zadaniem tego niewielkiego programu jest skanowanie dokumentów pakietu Office, w poszukiwaniu potencjalnie niebezpiecznych, ukrytych w nim informacji, do których wycieku nie chcielibyśmy dopuścić. Aplikacja współpracuje z Wordem, Excelem oraz PowerPointem z pakietu Office 2000, XP oraz 2003.

Lista niebezpiecznych informacji, które potrafi zlokalizować TRACE!

Lista niebezpiecznych informacji, które potrafi zlokalizować TRACE!

Po zainstalowaniu w systemie TRACE! rezyduje w pasku systemowym i w każdej chwili możemy go przywołać w celu skanowania konkretnego dokumentu. W razie potrzeby jest on również w stanie zasygnalizować nam istnienie potencjalnie niebezpiecznych treści, w dokumencie, który aktualnie edytujemy. Wtedy nad paskiem systemowym pojawia się stosowny 'dymek' ostrzegawczy. Ikona programu podczas otwierania dokumentu, w zależności od stopnia zagrożenia, może również zmieniać swój kolor.

Gdy zdecydujemy się na skanowanie konkretnego dokumentu, wystarczy wskazać ścieżkę do niego w głównym oknie programu. Po wykonanym procesie skanowania, prezentowany jest zbiorczy raport, który zawiera ogólną liczbę potencjalnie niebezpiecznych, wykrytych w pliku informacji. TRACE! dokonuje oceny skali zagrożenia konkretnymi danymi wykorzystując do tego 3-stopniową skalę ryzyka: High, Medium oraz Low.

Raport generowany przez program TRACE!

Raport generowany przez program TRACE!

Jakie elementy mogą zostać uznane za potencjalnie niebezpieczne przez TRACE! w dokumencie pakietu biurowego Office? W zależności od aplikacji, z jakiej aktualnie korzystamy lista niebezpiecznych danych jest dość spora: nazwy serwerów, makra, adresy email, śledzenie zmian, odnośniki, komentarze, ukryte kolumny lub wiersze, lista poprzednich autorów, niewidoczny tekst zapisany na biało. Narzędzie możemy oczywiście skonfigurować tak, aby nie zakłócało naszej pracy co chwila pojawiającymi się dymkami i jedynie dawało o sobie znać przy pomocy zmiany koloru ikony na pasku systemowym, w przypadku średniego lub wysokiego zagrożenia.

Strażnik bez pałki?

W zasadzie jedyne czego w programie nam zabrakło to opcja usunięcia niewygodnych, wybranych treści z dokumentu. W zasadzie to, co dalej zrobimy z tymi informacjami zależy od nas i od ustawień konkretnych programów pakietu biurowego Office. Niemniej jednak TRACE! wydaje się być ciekawą inicjatywą, zważywszy również na fakt, iż jest on darmowy.

Komentuje Michał Jarski z firmy Internet Security Systems (ISS)

PCWK: Czy opisywana powyżej możliwość niezamierzonego udostępnienia informacji rzeczywiście może stanowić dla firm i użytkowników indywidualnych poważny problem?

Michał Jarski, ISS

Michał Jarski, ISS

Michał Jarski: Z pewnością brak świadomości mechanizmów obróbki dokumentów w najpopularniejszym pakiecie biurowym stanowi poważne zagrożenie dla poufności dokumentów i zawartych w nich danych.

Kiedyś zwracano uwagę przede wszystkim na dokumenty papierowe i ich "drogę" w organizacji. Za pomocą mechanizmów prawno-regulaminowych udawało się zapanować nad tym, jaki dokument przekazywany jest komu i na jakich warunkach. Już wtedy jednak istniały metody pozyskania tajnych treści - za pomocą chwytów bazujących na niewiedzy osób tworzących i obrabiających dokumenty papierowe.

Wystarczy przypomnieć takie tricki szpiegowskie jak odczytywanie treści poprzez pozyskanie kalki, która służyła do ich kopiowania, a która nie została poddana zniszczeniu przez nieuwagę lub zaniedbanie. Inny przypadek: tajny dokument pisany długopisem na "podkładce" z kilku następnych arkuszy papieru, które następnie wykorzystywane są do stworzenia dokumentu jawnego. Ślad długopisu pozostawiony na tych "jawnych" kartkach pozwalał na odczytanie treści poufnych.

Obieg dokumentów elektronicznych oraz związane z tym ryzyko świadomego lub przypadkowego przekazania informacji poufnych stronom nieuprawnionym do ich odczytu jest z pewnością niezwykle istotnym problemem dla przedsiębiorstw, organizacji rządowych, ale także dla użytkowników indywidualnych. W szczególności dlatego, że obrabiane informacje nie mają już formy "fizycznej" i na wiele sposobów mogą "wyciec" poza przyjęte ścieżki proceduralne.

Czy zetknął się Pan w swojej pracy zawodowej z przypadkami 'wyciekania' danych z firm właśnie tą drogą?

Najczęściej spotykane w praktyce IT Security przypadki wycieku informacji można podzielić na dwie podstawowe klasy:

1. działanie z premedytacją (szpiegostwo przemysłowe, działania "rewanżystyczne" ze strony niezadowolonych pracowników, np. ulegających redukcji etatów);

2. działania przypadkowe (nieuwaga, niewiedza, działanie automatycznych systemów atakujących, spyware).

O ile ta pierwsza klasa działań jest w miarę oczywista (motywy, narzędzia używane do tych celów), o tyle w drugiej klasie mieści się wiele i to często spotykanych zdarzeń. Chyba najczęstszym przypadkiem jest załączenie do przesyłanej wiadomości e-mailowej dokumentu, który nie jest przeznaczony dla adresata. Mogą to być na przykład wewnętrzne cenniki, zamiast cenników SRP, mogą to być dokumenty w wersjach surowych (przed poprawkami), mogą to być wreszcie dokumenty związane z innym odbiorcą (na przykład tekst umowy z innym kontrahentem). W tej podklasie mieści się również przypadek pozostawienia w dokumentach "śladów" poprzedniej zawartości i operacji na niej wykonywanych.

Tym zagrożeniom można przeciwdziałać za pomocą systemu analizy poczty elektronicznej i dokumentów przechowywanych na firmowych serwerach plików. Ta analiza może obejmować znaczniki elektroniczne (znaki wodne), którymi opatrywane są dokumenty poufne i każdy przypadek próby przesłania dokumentów z tej klasy przechodzi przez procedurę dodatkowej akceptacji i autoryzacji. Ciekawie wyglądają możliwości działania robaków internetowych i wirusów, które w wyniku swojego funkcjonowania udostępniają "tylne wejścia" do systemów komputerowych umożliwiające pobieranie dowolnych plików z danego komputera. Sprawa ta szczególnie ciekawie wygląda w przypadku komputerów przenośnych podróżujących z ważnymi dla danej organizacji osobami (a zatem również z najbardziej poufnymi dokumentami, jak np. istotne umowy, strategie rozwoju, pomysły na nowe elementy oferty handlowej czy akcje promocyjne). Taki mobilny komputer nie

dysponuje najczęściej wystarczającymi mechanizmami obronnymi (np. baza szczepionek antywirusowych jest nieaktualna). W wyniku tego bardzo łatwo staje się ofiarą ataku i udostępnia swoje zasoby osobom nieuprawnionym. Taki skompromitowany komputer może się stać również swoistą "stacją przesiadkową" umożliwiającą w pełni autoryzowany (w końcu użytkownik tego komputera posiada wysoką pozycję w organizacji) dostęp do zasobów wewnętrznych przedsiębiorstwa poprzez kanały VPN. I tam włamywacz może już zupełnie swobodnie "buszować" po serwerach plików, bazach danych i firmowych aplikacjach ERP.

Jest to z pewnością niezwykle istotne zagrożenie dla poufności informacji istotnych dla funkcjonowania firmy. Z tego względu proponujemy wyposażanie komputerów przenośnych i stacji roboczych wewnątrz organizacji w zintegrowane systemy obronne potrafiące rozpoznać i zablokować różnorodne próby ataków bez konieczności aktualizacji baz wiedzy (tu w szczególności behawioralna analiza kodu VPS - Virus Prevention System i ochrona przed atakami zmierzającymi do przepełnienia bufora BOEP - Buffer Overflow Protection).

Czy, Pana zdaniem, możemy tu mówić o jakimś zawinieniu ze strony producenta oprogramowania (w tym przypadku Microsoftu), który wyposaża program w tak 'niedyskretną' funkcjonalność?

Według mnie nie można tutaj mówić o zawinieniu ze strony Microsoftu. Jako producent oprogramowania dostarcza on narzędzie pracy biurowej o bardzo szerokich możliwościach, w szczególności potrzebnych w pracy grupowej. A właśnie historia zmian i komentarze poszczególnych edytorów są tego witalnym elementem.

Problem leży w świadomości użytkowników i osób odpowiedzialnych za bezpieczeństwo firmy. Rzeczą niesłychanie istotną jest odpowiednie zdefiniowanie obiegu dokumentów elektronicznych i egzekwowanie tak zapisanych elementów polityki bezpieczeństwa.

Oczywiście związany z tym jest intensywny program edukacji użytkowników, którzy muszą posiadać odpowiednią wiedzę na temat "higieny" środowiska pracy. A na końcu przychodzi czas na narzędzia bezpieczeństwa, które wspomagają egzekwowanie polityki poprzez: filtrowanie wysyłanych na zewnątrz firmy dokumentów oraz obronę komputerów użytkowników systemu przed inwazją i przejęciem kontroli umożliwiającym uzyskanie dostępu do poufnych dokumentów.

Z jakimi innymi drogami 'wyciekania' danych z firm styka się Pan najczęściej?

Najczęściej spotykamy się z nieumyślnym wyciekiem informacji w wyniku dołączenia niewłaściwego dokumentu do przesyłki pocztowej oraz z wyciekiem informacji w wyniku włamania do istotnej stacji roboczej z przechowywanymi na niej ważnymi dla firmy dokumentami.

Ostatnio coraz większego znaczenia nabierają programy szpiegowskie klasy spyware, których podstawowym celem jest przechwycenie informacji przetwarzanych na poszczególnych komputerach.

Tym wszystkim przypadkom możemy skutecznie przeciwdziałać za pomocą uregulowań proceduralnych oraz narzędzi pozwalających na wychwycenie wszystkich przypadków przesyłek z nieautoryzowanymi dokumentami i broniących systemy przed włamaniami.

Więcej informacji oraz program TRACE! w wersji Beta do pobrania:

Workshare Technology


Zobacz również