HARD CORE SECURITY LAB

Każdy z nas pewnie już nieraz widział w filmie kryminalnym scenę, w której błyskotliwemu detektywowi udaje się zgromadzić bardzo cenne informacje na podstawie śladów pozostawionych przez podejrzanego na bloczku karteczek służących do sporządzania podręcznych notatek. Oczywiście jest to możliwe dzięki śladom odciśniętym na kolejnych kartkach w trakcie pisania na karteczce znajdującej się na wierzchu takiego bloczka. Warto jednak wiedzieć, że coraz popularniejsze wirtualne żółte karteczki przylepiane na naszych komputerowych pulpitach, również mogą się stać źródłem wycieku naszych prywatnych informacji!

W coraz popularniejszym systemie Windows 7 do swej dyspozycji otrzymujemy dość przydatny programik o nazwie Sticky Notes. Program ten pozwala nam po prostu na przyklejania na naszym pulpicie wirtualnych żółtych karteczek i sporządzanie w ich ramach podręcznych notatek. Takie notatki bez problemu przetrwają ponowne uruchomienie całego systemu, a mogą zostać usunięte jedynie po skorzystaniu z opcji Usuń notatkę (Ctrl+D). Większość użytkowników nowych Okienek nie spodziewa się jednak, w jak prosty sposób takie notatki mogą wyjawić potencjalnemu intruzowi nasze sekrety.

Załóżmy, że użytkownik Siódemki utworzył sobie następującą notatkę:
Po pewnym czasie karteczka ta została całkowicie usunięta, wobec czego nasz użytkownik uznał, że uprzednio zanotowane przez niego informacje (poświadczenia broniące dostępu do jednego z serwisów internetowych oraz numer telefonu komórkowego należącego do pewnej Anny) zostały z jego komputera usunięte. Nic bardziej mylnego.

Okazuje się, że treść usuniętej uprzednio notatki można swobodnie odczytać. W tym celu wystarczy się tylko wybrać do katalogu (przy założeniu, że system zainstalowaliśmy na partycji C:\) :

• c:\Users\Nazwa_uzytkownika\AppData\Roaming\Microsoft\Sticky Notes\

i w dowolnym edytorze tekstu wyświetlić zawartość pliku StickyNotes.snt. Teraz najwygodniej będzie wyszukać ciąg znaków fs22, po którym powinna się pojawić treść notatki usuniętej już przecież przez naszego użytkownika:

No proszę, okazuje się więc, że usunięta uprzednio notatka, jest jednak przez system Windows (a dokładnie przez zintegrowany z nim program Sticky Notes) pieczołowicie i bezterminowo przechowywana. Jeśli nie utworzymy kolejnych notatek, które nadpiszą stare wpisy w pliku, informacje pozostaną nienaruszone, a potencjalny intruz może je bez jakiegokolwiek problemu odczytać.

Ogromna większość użytkowników Sticky Notes z pewnością nie zdaje sobie sprawy z powyższego zagrożenia. Moim zdaniem jest to problem nawet poważniejszy niż w przypadku dokumentów usuniętych (lecz nie nadpisanych) z naszego dysku. Wolne obszary po usuniętych plikach zostaną przecież prawdopodobnie wkrótce nadpisane zawartością innych plików. Poza tym, nawet jeśli skorzystamy ze specjalnego oprogramowania do nadpisywania wolnego miejsca na dyskach twardych, treść usuniętej notatki swobodnie przetrwa taki proces, gdyż przecież jest przechowywana w jednym z istniejących plików. Warto również nadmienić, że analiza zawartości wspomnianego pliku połączona z wykorzystaniem mechanizmu Poprzednie wersje (czyli odzyskaniem historycznych wersji pliku) może przynieść jeszcze bardziej spektakularne rezultaty.

Warto podkreślić, że podobne zagrożenia czyhają również na użytkowników innych systemów operacyjnych. Przykładowo w Linuksie podobne problemy wiążą się z wykorzystaniem programu Tomboy (istnieje również wersja dla systemów Windows), dostępnego domyślnie w środowisku GNOME (czyli np. w dystrybucji Ubuntu). W tym przypadku notatki poszczególnych użytkowników odnajdziemy w katalogu:

• Home/username/.local/share/tomboy

Poszczególne pliki notatek możemy otworzyć w dowolnym edytorze tekstu, w środku znajdziemy wiele interesujących informacji (np. datę utworzenia oraz datę ostatniej modyfikacji):
Co jednak najważniejsze, Tomboy archiwizuje usunięte notatki w katalogu:

• Home/username/.local/share/tomboy/Backup

W taki oto niezwykle podstępny sposób cyfrowa inkarnacja poczciwych żółtych karteczek może się dla nas okazać zgubna, narażając nas na wyciek informacji, które uważaliśmy już za całkowicie niedostępne. Warto więc zawsze mieć na uwadze to, że cyfrowe dane zazwyczaj niosą ze sobą zagrożenia niespotykane w przypadku ich analogowych odpowiedników! Na koniec warto również zadać sobie pytanie, czy żółte karteczki (papierowe bądź wirtualne) są odpowiednim miejscem do spisywania ważnych lub potencjalnie kompromitujących nas informacji?