ב-Online
 
 
 
 
 
 
 
 
שביל קליפות המסמכים 

שביל קליפות המסמכים

 
 
עידו קינן

רבים לא יודעים, אבל בתוך כל קובץ אופיס חבוי מידע רב. חלק ממנו הוא משעמם במקרה הרע ופיקנטריה במקרה הטוב (באיזה ספריה המסמך שמור), אך חלק ממנו עלול להיות בעל פוטנציאל הרסני רב - טקסט שנמחק, אך ניתן לשחזור בקלות יחסית. זה יכול לקרות גם לכם

 
 
 
 
 
 
 
 
 
מי שבדומה לכותב שורות אלה, מתעב את הפקס ("אז צריך לחייג תשע לפני המספר או לא?"), יגלה שמשלוח הקובץ באימייל דומה לנשיא ארה"ב, ג`ורג` W בוש: פשוט, אבל בעל פוטנציאל הרס עצום. אבל בעוד את הפוטנציאל ההרסני של בוש אפשר לנטרל בקלות - פשוט ללחוש לו לפני הפגישה את שמו של ראש ממשלת הודו ולהימנע מביזיון גדול - הסכנה במסמכי הוורד חבויה יותר, ואפילו השם שלה נטול סכנה, ואפילו קצת משעמם: Metadata.

MetaData (בעברית "מידע-על"), הוא מאגר פרטים עסיסיים ובלתי ידועים למרבית המשתמשים, המצוי בכל קבצי אופיס. לצד המידע שהוקלד לתוכם (טקסט, גיליונות אלקטרוניים), מכילים קבצים כאלה פרטים רבים נוספים, למשל - שם המחבר והארגון בו הוא עובד, תאריך ושעת החיבור והעדכון האחרון, הזמן שארך חיבור המסמך וכדומה.

החלק הפיקנטי יותר הוא מידע שנמחק על ידי הכותב, אך לא נעלם מהמסמך. ככלל, חלק גדול מה-MetaData ניתן לצפיה באמצעים פשוטים ביותר ולפיכך, המצב שבו מידע שאמור להיות סודי ופנימי עלול להיחשף בקלות, הוא בעייתי מאוד, בלשון המעטה.
 

המשטרה חושפת

דיווח מלא מדי. פרטים מתוך המסמך של שפנר
 דיווח מלא מדי. פרטים מתוך המסמך של שפנר   
ב-11 במאי פירסם העיתונאי יואב יצחק ידיעה על מסמך משטרתי סודי, שעסק בשימוש בקטינים כמלשינים. יצחק פרסם את המסמך במלואו (שכן מגבלת המקום היחידה היא נפח השרת עליו מאוחסן האתר), תוך שהוא מנצל את יתרון המדיום האינטרנטי להציג בפני את הקוראים את הדברים כפי שנכתבו, וכן מאפשר לגולשים שרוצים בכך להתעמק בפרטים.

לצד ניצחון הדיווח המלא והמהימן, חשף הפרסום דווקא את חולשתו: יצחק, ומי שהעביר לידיו את המסמך, כנראה לא היו מודעים ל-MetaData, שחשף את שמו של כותב המסמך, יואל שפנר, והארגון בו הוא עובד (המשטרה, מן הסתם), כמו גם שמות עשרת המשתמשים האחרונים שביצעו שינויים בקובץ, שמותיו השונים של הקובץ ומיקומיו המדוייקים על ההארד-דיסק, תאריך יצירת הקובץ, השינוי האחרון וההדפסה.

במקרה זה, ה-MetaData לא היה סודי, ולא נגרם כל נזק, אולם פוטנציאל הנזק ברור: האנונימיות המשוערת של מקור מידע עלולה להישבר באמצעות חשיפת מידע שקיומו כלל לא היה ידוע. שפנר אישר שהמסמך נכתב על מחשבו, אך סירב להתייחס לשאלות נוספות. יצחק סירב להגיב לכתבה זו.
 

דיו בלתי נראה

ההתמדה של מידע מחוק. כדאי להיזהר
 ההתמדה של מידע מחוק. כדאי להיזהר   
במקרים אחרים, חלקם פורסמו בעיתונות, מידע שהכותב לא התכוון לחשוף הושג באמצעות כלי MetaData נוסף - האפשרות לעקוב אחר שינויים. אפשרות זו שומרת בקובץ את כל מה שהוקלד מאז הפעלת המעקב, כולל מילים שנמחקו. את המחיקות ניתן להסיר סופית רק כאשר המשתמש מאשר את השינויים. את עצם אפשרות המעקב אפשר לבטל, אפילו בקלות, אך לא כל משתמשי הוורד מודעים לה.

משתמש התוכנה יכול לקבוע כי במעקב אחר השינויים, המידע שנמחק יוצג על המסך (כשדרך המילים המחוקות עובר קו). במקרה זה, הוא ישים לב שהמידע המחוק עדיין קיים במסמך. אולם אם בחר באפשרות שהמידע המחוק לא יופיע, הוא עלול להעביר את המסמך הלאה, מבלי שהוא מודע לכך שהוא שולח גם את המידע המחוק.
 
 
מסמך שעבר ניתוח .MetaData יש הרבה
 מסמך שעבר ניתוח .MetaData יש הרבה   
התסריט המתואר לעיל התרחש בסוף 1998, ואף דווח בוול סטריט ג`ורנל. חברת הייעוץ Payne Consulting קיבלה אז אימייל עם חוזה בפורמט וורד, שהוכן עבורה על ידי חברת הייעוץ המשפטי .Davis Wright Tremaine עובד בפיין בחר באפשרות להציג את המידע ששונה, וחשף את העובדה שהחוזה נכתב במקור עבור חברה אחרת.

מיד עם גילוי הדבר, חיברו בדייוויס רייט נוהל למחיקת MetaData ממסמכים. בפיין, לעומת זאת, הבינו את פוטנציאל הסכנה (וגם הריחו הזדמנות עסקית), ועל כן פיתחו את תוכנת Metadata Assistant, המבצעת פעולה זו אוטומטית. התוכנה, שבתחילה חולקה חינם, נמכרת היום בשתי גירסאות, אחת לחברות והשנייה ללקוחות פרטיים. גירסת ההדגמה החינמית מנתחת קבצים ומאתרת את ה-MetaData, אך לא מסירה אותו.

 

השימושיות של מיקרוסופט, ההגנה של אלקטל

הלקח של פיין, כך מסתבר, לא חלחל לתודעה ברמות היסטריה השמורות, בדרך כלל, לדיווחים על וירוסים, אף שנזקי ה-MetaData עלולים להשתוות לנזקי וירוסים, ואף לעלות עליהם. באוקטובר 2000 קיבל המתכנת היוניקס קווין לידה, הצעת עבודה שנשלחה בפורמט וורד.

לידה, שלא החזיק תוכנת וורד, השתמש ביישום strings, שמאפשר להציג תווים בלבד מתוך קבצים. הוא הופתע לגלות על הקובץ חמש גרסאות שונות של המסמך, שנשלחו לחמישה מועמדים קודמים. כך גילה שהבונוס שהוצע לו היה בין הגבוהים - רק אדם אחד קיבל הצעה גבוהה משלו. "זו הפעם היחידה שמצאתי שמוצר של מיקרוסופט הוא שימושי", אמר לידה לחדשות CNET.

בתחילת 2001, פרסמה חברת אלקטל הודעה לעיתונות על פירצת אבטחה במודם DSL מתוצרתה. ההודעה נכתבה כשאופציית המעקב עובדת, וחשפה לעולם את כל השינויים שנעשו במסמך. בין הדברים שנמחקו, הערה של אחד הכותבים: "מדוע אנו לא מספקים את רמת ההגנה הזאת לכל הלקוחות שלנו?".

 

המלצות

 
קבצי אופיס אינם היחידים שחושפים מידע על המשתמש, אולם הם ודאי הנפוצים ביותר. ולמי שלא מעוניין להוציא 79 דולר על Metadata Assistant, הנה מספר עצות חינם:

1) אל תסיקו שזהותכם נשמרת בסוד כאשר אתם שולחים קבצים, ובמיוחד קבצי וורד. השתמשו בגירסת החינם של Metadata Assistant כדי לגלות אילו פרטים נחשפים אודותיכם.

2) בטלו את אפשרות "עקוב אחר שינויים" (כלים > עקוב אחר שינויים > הארת שינויים, בטלו את הסימון לצד "עקוב אחר שינויים בעת העריכה"). אם אתם בכל זאת מעוניינים לשמור את השינויים, סמנו גם את האפשרות "האר שינויים על המסך".
 
3) בטלו את אפשרות "שמירה מהירה" (כלים > אפשרויות > שמירה, בטלו את הסימון לצד "אפשר שמירה מהירה"). אפשרות זו, המיועדת בעיקר לעבודה עם מדיות מצומצמות (דיסקטים, למשל), שומרת רק את השינויים במסמך, והיא עלולה לשמור מידע שנמחק.

4) ליתר בטחון, לפני שאתם שולחים מסמך, סמנו והעתיקו את הטקסט למסמך חדש ו"נקי".

5) כאשר זה אפשרי, העדיפו שימוש בקבצי טקסט (txt).

6) אל תסמכו על אף אחד.


לאחר פרסום הכתבה העביר אודי ענתבי, מנהל מוצר אופיס במיקרוסופט ישראל, לחיים ברשת את התגובה הבאה:

באופיס XP ישנה אפשרות לקבוע כברירת מחדל שכל ה-Metadata יוסר או\ו לא יופיע בכלל בדיוק כדי למנוע את הבעיות שהועלו.
בנוסף, חשוב לציין כי ה-Metadata מאוד חשוב לארגונים שמנהלים מסמכים וידע. באמצעות יכולת זו ניתן לאתר ולקטלג את המידע הארגוני.
הסבר מדויק להסרת ה-Metadata ניתן למצוא בקישור הזה.
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by