文件的来源是否可追溯?如果是的话我该如何消毒?
简短的答案取决于:
如果文件包含您的姓名,地址,电话号码和社会保险号,那么将其追溯到您将不是很困难...
除了文件本身中明显的可见数据之外,许多应用程序还在文件中保留某种类型的标识信息(称为元数据)。
通常可以从文件中删除元数据(删除方法取决于文件的类型)。
上载文件将仅发送主数据流,而将备用数据流和文件系统驻留的元数据放在后面。
正如安德鲁·莫顿(Andrew Morton)所指出的那样,一些组织在分发文档的每个副本之前会对它们进行小的语法(或其他)更改。
这样,如果副本被盗(或传递),可以将副本跟踪到特定的个人。当然,这很难克服。
请继续阅读以获取有关可以与不同类型的文件关联的敏感和隐藏数据的种类以及如何清除(清除)它们的更多信息。
纯文本文件可以安全使用吗?
正如Uwe Ziegenhagen指出的那样,即使NTFS文件系统上的Windows纯文本文件(以及任何其他文件类型)也可能包含替代数据流形式的元数据。另请参阅如何使用NTFS备用数据流。
备用数据流允许文件与多个数据流关联。例如,诸如text.txt之类的文件可以具有名称为text.txt:secret.txt(格式为filename:ads的ADS),该ADS只能通过知道ADS名称或专用目录浏览程序来访问。
在原始文件的大小中无法检测到备用流,但是在删除原始文件(即text.txt)或将文件复制或移动到不支持ADS的分区(例如FAT分区,软盘或网络共享)。尽管ADS是一项有用的功能,但如果通过忘记或未被发现而未知,它也可以轻松消耗掉硬盘空间。
仅当文件位于NTFS驱动器上时才支持此功能。
源UltraEdit文件打开对话框。
查看和删除备用数据流
笔记:
- NTFS文件系统上的任何文件都可以附加备用数据流(不仅仅是文本文件)。
- 有关与备用数据流相关的潜在安全问题的详细信息,请参阅“ 隐藏威胁:备用数据流”。
记事本和Word可用于(从命令行)打开和读取备用数据流。看到这个答案NTFS备用数据流由西以获取更多信息。
UltraEdit可以从程序本身内部打开备用数据流。
AlternateStreamView可用于删除备用数据流:
AlternateStreamView是一个小型实用程序,可让您扫描NTFS驱动器,并找到文件系统中存储的所有隐藏替代流。
扫描并找到备用流后,您可以将这些流提取到指定的文件夹中,删除不需要的流,或将流列表保存到文本,HTML,CSV或XML文件中。
来源AlternateStreamView通过Nirsoft
图像呢?
正如Scott指出的那样,使用隐写术,图像还可以包含隐藏的数据(文件,消息,其他图像或视频):
隐写术包括计算机文件中信息的隐藏。在数字隐写术中,电子通信可以包括传输层内部的隐写术编码,例如文档文件,图像文件,程序或协议。
媒体文件由于尺寸大而非常适合进行隐秘传输。例如,发件人可能从一个无害的图像文件开始,并调整每第100个像素的颜色以对应于字母中的一个字母,这种变化是如此微妙,以至于没有专门寻找它的人不太可能注意到它。
源隐写术
当然,这很难去除。
另请参阅隐写术-一种数据隐藏技术和速记软件
Excel电子表格或Word文档呢?
默认情况下,办公室文件包含个人信息:
字:
- 考虑使用由记事本或其他编辑器创建的纯文本文件代替Word文档
试算表:
- 考虑使用由excel创建并另存为CSV 的CSV文件,或直接与其他程序(如记事本)创建CSV。
Word文档可以包含以下类型的隐藏数据和个人信息:
注释,来自修订,版本和墨水注释的修订标记
如果您与其他人协作来创建文档,则文档中可能包含诸如跟踪的更改,注释,墨水批注或版本中的修订标记之类的项目。通过此信息,其他人可以查看在您的文档上工作的人员的姓名,审阅者的评论以及对您的文档所做的更改。
文件属性和个人信息
文档属性(也称为元数据)包括有关文档的详细信息,例如作者,主题和标题。文档属性还包括Office程序自动维护的信息,例如最近保存文档的人员的姓名和文档的创建日期。如果使用了特定功能,则文档中可能还会包含其他类型的个人身份信息(PII),例如电子邮件标题,审阅信息,路由清单和模板名称。
页眉,页脚和水印
Word文档可以在页眉和页脚中包含信息。此外,您可能已在Word文档中添加了水印。
隐藏文字
Word文档可以包含格式化为隐藏文本的文本。如果您不知道文档是否包含隐藏的文本,则可以使用文档检查器进行搜索。
文件伺服器属性
如果将文档保存到文档管理服务器上的某个位置,例如文档工作区网站或基于Microsoft Windows SharePoint Services的库,则该文档可能包含其他文档属性或与此服务器位置有关的信息。
自定义XML数据
文档可以包含在文档本身中不可见的自定义XML数据。文档检查器可以找到并删除此XML数据。
注意:
- Word Document Inspector不会通过隐写术检测到白色的文本或图像(隐藏的文件,消息,图像或视频)
来源通过检查文档删除隐藏的数据和个人信息
如果我使用从他人那里获得的PDF文件怎么办?
PDF不安全:
NSA撰写的Adobe PDF文件中的
源隐藏数据和元数据:
发布风险和对策
如何检查PDF文件以确保它不包含任何敏感信息?
您可以按照NSA的建议来清理PDF。
- 我总结了您需要遵循的基本步骤。
- 下面的链接提供了详细的分步说明和屏幕截图。
本文介绍了清理用于静态发布的PDF文档的过程。就本文档而言,进行清理意味着删除不打算发布的隐藏数据和动态内容(例如,作者的用户名或文件中嵌入但在任何页面上均不可见的临时编辑评论)。
隐藏的数据包括:
元数据
嵌入式内容和附件
剧本
隐藏层
嵌入式搜索索引
存储的交互式表单数据
审阅和评论
隐藏的页面,图像和更新数据
文字和图片不清晰
PDF(未显示)注释
未引用数据
...
详细的消毒程序
清理源文件
如果生成源文件的应用程序具有清理实用程序,则应在转换为PDF之前应用它。
配置安全设置
- 确保已下载并安装所有适用的Acrobat更新
- 禁用JavaScript
- 验证信任管理器设置是否正确设置
运行预检
预检确保文件内容与目标版本兼容,并在必要时应用“修复程序”。
运行PDF优化器
- 如果PDF文件包含其他附件,则会出现警告消息。点击“确定”继续。附件文件将在PDF优化期间被删除。
- 文档标签构成隐藏的数据风险。此过程(特别是“丢弃文档标签”的选中选项)将它们从经过清理的PDF中删除。
运行检查文档实用程序
- 这有助于查找隐藏在对象以及之前步骤中可能遗漏的任何其他区域后面的文本。
NSA撰写的Adobe PDF文件中的
源隐藏数据和元数据:
发布风险和对策
但是我有防病毒软件!
即使杀毒软件也不能保证能捕获所有内容。查看零日攻击:
零天(也称为零小时或零天)漏洞是以前未公开的计算机软件漏洞,黑客可以利用该漏洞对计算机程序,数据,其他计算机或网络产生不利影响。
之所以称为“零时差”,是因为一旦发现该漏洞,该软件的作者就有零天的时间来计划和建议任何缓解措施(例如,通过建议解决方法或发布补丁程序)
来源零日
那我的USB驱动器呢?我需要担心吗?
您不能保证USB闪存盘是安全的。
可以对USB外设(例如拇指驱动器)进行重新编程,以窃取写入驱动器中的所有内容,并将固件修改代码传播到所接触的任何PC。最终结果可能是一种自我复制的病毒,该病毒通过备用的拇指驱动器传播,就像几十年前通过软盘传播的原始病毒一样。
资料来源USB设备为何存在安全风险