HARD CORE SECURITY LAB

Zagrożenia te są związane z pewną charakterystyczną cechą informacji cyfrowej, mianowicie z jej, często niewidocznymi na pierwszy rzut oka, dodatkowymi atrybutami. Dodatkowe informacje charakteryzujące informację właściwą, takie jak data utworzenia czy też ostatniej modyfikacji, nazywamy metadanymi (ang. metadata). Takie dane o danych, bo tak właśnie można najkrócej scharakteryzować te struktury, stanowią właśnie dodatkowy problem w dziedzinie bezpieczeństwa informacji, niespotykany praktycznie w przypadku danych konwencjonalnych. Metadane, mimo że jak pokażę, mogą się przyczynić do bardzo poważnego w skutkach wycieku danych, są zazwyczaj ignorowane.

Znane powiedzenie głosi, że zdjęcie to więcej niż tysiąc słów. Okazuje się, że w przypadku zdjęć cyfrowych sentencja ta nabiera szczególnego znaczenia.

Większość aparatów cyfrowych tworzy domyślnie pliki graficzne w formacie JPG. Jednak to nie wszystko, najczęściej cyfrówki zapisują w pliku również metadane w formacie Exif (ang. Exchangeable Image File Format). Nie zagłębiając się w szczegóły specyfikacji Exif, warto wiedzieć, że metaznaczniki w tym standardzie opisują m.in.:

Problem polega na tym, że udostępniając innym zrobione przez siebie zdjęcia, osoby prywatne, jak również poważne organizacje, rzadko kiedy zwracają uwagę na publikowane wraz z nimi metadane!

O ile większość ze wspomnianych atrybutów, zapisywanych w trakcie robienia zdjęcia nie wymaga wyjaśnienia, o tyle warto się na chwilę zatrzymać przy dwóch ostatnich parametrach, mianowicie miniaturce zdjęcia oraz danych geolokacyjnych. Miniatura zdjęcia jest zapisywana wraz z innymi parametrami w trakcie wykonywania zdjęcia. Najczęściej użytkownik aparatu poddaje jednak zdjęcia dalszej obróbce w specjalistycznych programach graficznych, modyfikując kolory, kadrując ujęcie, usuwając zbędne elementy, itd. Jednak, jeśli użyty w tym celu przez fotoamatora program nie obsługuje formatu Exif, wynik będzie prawdopodobnie taki, że samo zdjęcie zostanie zmodyfikowane, jednak jego metadane już nie. W efekcie otrzymujemy zmodyfikowane zdjęcie, zawierające jednak miniaturkę obrazu oryginalnego. Czym się to może skończyć, przekonała się Catherine Schwartz, amerykańska prezenterka kanału telewizyjnego TechTV. W czerwcu 2003 r. pani Schwartz zamieściła na swym blogu kilka zdjęć przedstawiających ją samą. W samych zdjęciach nie było nic szczególnego, ukazywały prezenterkę palącą papierosa, mniej więcej od ramion w górę. Internauci odkryli jednak bardzo szybko, że zdjęcia zawierają ciekawe metadane. Mianowicie miniaturka Exif okazała się znacznie ciekawsza od samego zdjęcia, bowiem oryginalne ujęcie skadrowane zostało od pasa w górę, a sama pani Schwartz jest na nim naga. Stało się tak, ponieważ program jaki został użyty do obróbki zdjęć – Photoshop – nie zaktualizował metadanych zdjęcia.

Wydaje się to na pierwszy rzut oka zaskakujące, ale nowoczesne aparaty fotograficzne (np. Nikon Coolpix P6000) oraz telefony z możliwością robienia zdjęć (np. iPhone), potrafią w plikach graficznych automatycznie zapisać dokładne współrzędne geograficzne miejsca wykonania zdjęcia. Znana jest historia pewnego użytkownika (znanego w Internecie jako Nephew chan) telefonu iPhone, który na publicznym forum internetowym zamieścił zdjęcie swej ciotki... w kąpieli. Jako, że zdjęcia te zawierały automatycznie dodane przez telefon współrzędne geograficzne, inny użytkownik forum odnalazł wielbiciela własnej ciotki i zaczął go szantażować, żądając kolejnych zdjęć. Ostatecznie cała sprawa wyszła na jaw i wszyscy zainteresowani, wraz z całą społecznością internetową dowiedzieli się o tej niecodziennej historii.

Przedstawione przykłady jasno pokazują, że bezmyślne udostępnianie własnych zdjęć może mieć fatalne skutki. W jaki więc sposób komputerowy przestępca może zdobywać, analizować i wykorzystywać do własnych celów metadane zawarte w plikach graficznych?

Pierwszy krok stanowi oczywiście zdobycie samych zdjęć, które potencjalnie mogą zawierać ciekawe metadane. Zdobywanie danych właściwych nie jest głównym tematem artykułu, więc wspomnę tylko, że aby zdobyć zdjęcia należące do konkretnej organizacji lub osoby zazwyczaj wystarczy tylko poszperać nieco w Internecie. W dobie cyfrowej rewolucji, gdy niemal żadna organizacja ani osoba prywatna nie może się obejść bez własnej strony domowej, (foto)blogu, czy E-handlu, odnalezienie cyfrowych zdjęć związanych z interesującą nas instytucją lub osobą sprowadza się zazwyczaj do sformułowania odpowiedniego zapytania w jednej z popularnych wyszukiwarek. Gdy już odnajdziemy interesujące nas pliki, wykorzystanie zawartych w nich metadanych okaże się dziecinną igraszką.

Prześledźmy, w jaki sposób zostały wykorzystane metadane zdobyte przez intruza w jednej z powyższych historii. W celu odnalezienia oryginalnego zdjęcia zamieszczonego w Internecie przez Nephew chan'a wystarczy oczywiste zapytanie w wyszukiwarce Google. Szybko odnajdziemy zdjęcie, które zostało wykorzystane przez intruza, jest ono dostępne pod następującym adresem: http://images.encyclopediadramatica.com/images/0/01/Nephew-owned.jpg. Następnie wystarczy przeanalizować metadane Exif, zawarte w pliku. Najprostszą ku temu metodę stanowi instalacja w przeglądarce Firefox dodatku o nazwie Exif Viewer. Po zainstalowaniu dodatku i ponownym uruchomieniu przeglądarki, wystarczy już tylko wyświetlić w niej zdjęcie i klikając na nim prawym przyciskiem myszy, wybrać opcję View Image Exif Data. Spowoduje to wywołanie okna dodatku Exif Viewer, zawierającego szereg informacji Exif. Obraz zawiera następujące dane (lista skrócona, ze względu na czytelność):

Exif Viewer generuje także plik KML (ang. Keyhole Markup Language), który pozwala na natychmiastowe wyświetlenie lokacji wskazywanej przez dane GPS w programie Google Earth. Po chwili od zdobycia interesującego nas zdjęcia, jesteśmy więc w stanie wyświetlić satelitarną mapę miejsca, w którym obraz ten został wykonany! Co więcej, dzięki usłudze Google Street View, oferującej panoramiczne widoki wybranych części świata (obecnie głównie USA), możemy się wybrać na wirtualną wycieczkę wokół domu (rysunek poniżej), w którym to niesławne zdjęcie zostało wykonane! Magia? Nie, to po prostu zręczne wykorzystanie lekkomyślnie udostępnionych metadanych.

Artykuł autorski HCSL - Wojciech Smol