Heute reden wir \u00fcber etwas, was den meisten Leuten unbekannt ist oder wor\u00fcber sie nicht viel nachdenken, Metadaten<\/em>. Das ist die Information \u00fcber<\/em> eine Datei, anstatt die Information in<\/em> einer Datei. Metadaten k\u00f6nnen ein normales digitales Dokument in einen blo\u00dfstellenden Geheimdienst verwandeln.<\/p>\n Wir beginnen unsere detaillierten Ausf\u00fchrungen mit etwas Theorie. Das US-Gesetz legt drei Kategorien von Metadaten fest:<\/p>\n Hier ist ein klassisches Beispiel der Probleme, f\u00fcr die beeintr\u00e4chtigte Metadaten sorgen k\u00f6nnen: Der Bericht aus dem Jahr 2003 der britischen Regierung \u00fcber die angeblichen Massenvernichtungswaffen im Irak. Die DOC-Version des Berichtes enthielt Metadaten \u00fcber die Autoren (bzw. genauer gesagt, die Leute, die die letzten 10 \u00dcberarbeitungen eingegeben hatten). Diese Information warf einige Fragen bezogen auf die Qualit\u00e4t, Echtheit und Glaubw\u00fcrdigkeit des Berichts auf.<\/p>\n Gem\u00e4\u00df dem Folgeartikel der BBC<\/a> nutzte die Regierung die PDF-Version, nachdem sie sich \u00fcber die Metadaten der Originaldatei bewusst geworden war, da diese weniger Metadaten enthielt.<\/p>\n Wie fl\u00fcchtige Metadaten f\u00fcr echte Probleme sorgen k\u00f6nnen.<\/p>Tweet<\/a><\/blockquote>\n Ein anderer interessanter Metadaten-Augen\u00f6ffner betraf einen Kunden von Venable, einer amerikanischen Anwaltskanzlei in 2015<\/a>. Venable wurde von einem Unternehmen unter Vertrag genommen, dessen Vizepr\u00e4sident vor Kurzem zur\u00fcckgetreten war. Kurz nach dessen R\u00fccktritt verlor das Unternehmen einen Vertrag mit einer Regierungsbeh\u00f6rde an einen Mitbewerber. Dieser Mitbewerber arbeitete mit dem vorherigen VP zusammen.<\/p>\n Das Unternehmen bezichtigte den vorherigen VP Missbrauch von Gesch\u00e4ftsgeheimnissen betrieben zu haben, da er ihrer Meinung nach so den Regierungsvertrag gewonnen hatte. Als Verteidigung legten der Angeklagte und sein neues Unternehmen ein \u00e4hnliches Handelsangebot vor, das sie f\u00fcr eine ausl\u00e4ndische Regierung vorbereitet hatten. Sie behaupteten, dass dieses Angebot schon vor<\/em> den Vertragsverhandlungen mit den Vereinigten Staaten f\u00fcr einen anderen Kunden ausgearbeitet worden sei und daher das Wettbewerbsverbot zwischen dem vorherigen VP und dem Kl\u00e4ger nicht verletzte.<\/p>\n Aber die Angeklagten scheiterten daran zu ber\u00fccksichtigen, dass die Metadaten in ihrem Beweis eine Zeitstempel-Abweichung enthielten. System-Metadaten zeigten, dass die Datei zuletzt gespeichert wurde, als man sie zum letzten Mal ausdruckte. Das ist nach Expertenmeinung nicht m\u00f6glich. Der Zeitstempel des letzten Ausdrucks geh\u00f6rt zu den App-Metadaten und wird auf dem Dokument nur<\/em> dann gespeichert, wenn die Datei an sich gespeichert wird. Falls ein Dokument gedruckt und danach nicht gespeichert wird, wird das neue Druckdatum nicht in den Metadaten gespeichert.<\/p>\n Ein anderer Beweis daf\u00fcr, dass es sich um ein gef\u00e4lschtes Dokument handelte, war das Erstellungsdatum auf dem Unternehmensserver. Das Dokument wurde erstellt, nachdem die Klage vor Gericht kam. Au\u00dferdem beschuldigte man die Angeklagten, dass sie den Zeitstempel der letzten \u00dcberarbeitung der OLM- Datei (diese Extension verwendet man bei Microsoft Outlook f\u00fcr Mac-Dateien) manipuliert h\u00e4tten.<\/p>\n Die Beweise bezogen auf Metadaten waren ausreichend genug f\u00fcr das Gericht, um zugunsten der Kl\u00e4ger zu entscheiden, wobei sie mit 20$ Millionen entsch\u00e4digt und die Angeklagten mit Sanktionen in Millionenh\u00f6he bestraft wurden.<\/p>\n Microsoft Office Dateien bieten ein reichhaltiges Tool-Set zum Sammeln pers\u00f6nlicher Daten. So k\u00f6nnen zum Beispiel Fu\u00dfnoten im Text zus\u00e4tzliche Informationen enthalten, die nicht f\u00fcr die \u00f6ffentliche Nutzung gedacht sind. Die eingebaute \u00c4nderungsverfolgung in Word kann f\u00fcr Spionagezwecke ebenfalls n\u00fctzlich sein. Falls Sie also die Option \u201eEndg\u00fcltige Version anzeigen\u201c (oder \u201eKeine Markups\u201c oder \u00c4hnliches, abh\u00e4ngig von Ihrer Wordversion) ausw\u00e4hlen, werden die nachverfolgten \u00c4nderungen vom Bildschirm verschwinden, aber dennoch in den Dateien zur\u00fcckbleiben, wo sie auf einen aufmerksamen Leser warten.<\/p>\n Dasselbe gilt f\u00fcr Anmerkungen auf den Folien einer Power Point Pr\u00e4sentation, versteckte S\u00e4ulen in Excel Tabellen usw.<\/p>\n Zu guter Letzt kann man leider keine Daten verstecken, wenn man nicht wei\u00df, wie das funktioniert. Ein tolles Beispiel daf\u00fcr ist ein Gerichtsdokument<\/a>, das auf CBSLocal ver\u00f6ffentlicht wurde und sich auf den Fall der Vereinigten Staaten gegen Rod Blagojevic, den ehemaligen Gouverneur von Illinois, bezieht. Es handelt sich um eine Antragsschrift f\u00fcr das Gericht von 2010, um eine Gerichtsvorladung f\u00fcr Barack Obama zu erlassen.<\/p>\n Einige Teile des Textes sind durch schwarze K\u00e4stchen verdeckt. Aber wenn man einen Textblock in irgendein Textbearbeitungsprogramm kopiert, kann man den Text vollst\u00e4ndig lesen.<\/p>\n Schwarze K\u00e4stchen in einem PDF k\u00f6nnen n\u00fctzlich sein, um Informationen beim Drucken zu verstecken, aber diese Ma\u00dfnahme kann in einem digitalen Format problemlos \u00fcberwunden werden.<\/p><\/div>\n Daten von externen Dateien, die sich in einem Dokument eingebettet befinden, sind eine ganz andere Geschichte.<\/p>\n Um Ihnen ein echtes Beispiel zu zeigen, haben wir einige Dokumente auf Regierungswebseiten gesucht und uns daf\u00fcr entschieden, den Steuerbericht f\u00fcr das Gesch\u00e4ftsjahr 2010 des US-amerikanischen Bildungsministeriums zu untersuchen.<\/p>\n Wir luden die Datei herunter und deaktivierten den Schreibschutz (wof\u00fcr man kein Passwort brauchte). Es gab auf Seite 41 einen scheinbar normalen Graphen. Wir w\u00e4hlten die Option \u201eDaten \u00e4ndern\u201c im Men\u00fc des Graphen aus und \u00f6ffneten zuf\u00e4llig eine eingebettete Microsoft Excel Quelldatei, die alle Quelldaten enthielt.<\/p>\n Hier liegt ein Bericht als Worddatei vor, der ein Excel mit einer Menge an Quelldaten f\u00fcr diesen und einige andere Graphen enth\u00e4lt<\/p><\/div>\n Es muss hierbei nicht erw\u00e4hnt werden, dass diese eingebetteten Dateien alles M\u00f6gliche enthalten k\u00f6nnten, wie zum Beispiel viele pers\u00f6nliche Informationen. Wer auch immer dieses Dokument ver\u00f6ffentlicht hat, ging davon aus, dass niemand auf diese Daten zugreifen konnte.<\/p>\n Der Prozess um Metadaten aus einem Dokument zu sammeln, das einer Firma, die von Interesse ist, geh\u00f6rt, kann mithilfe von Software wie FOCA (Fingerprinting Organizations with Collected Archives) von ElevenPath automatisiert werden.<\/p>\n FOCA kann die erw\u00fcnschten Dokumentformate (zum Beispiel DOCX und PDF) finden und herunterladen, deren Metadaten analysieren und viele Dinge \u00fcber die Firma wie die serverseitige Software, die sie verwendet, Benutzernamen und vieles mehr herausfinden.<\/p>\n Wir m\u00fcssen hier eine ernsthafte Warnung abgeben: Die Analyse von Webseiten mit solchen Tools, auch wenn es nur f\u00fcr Nachforschungszwecke ist, kann von Webseitenbesitzern sehr ernst genommen und sogar als Cyber-Kriminalit\u00e4t eingestuft werden.<\/p>\n Hier sind ein paar Besonderheiten bezogen auf Metadaten, die nicht alle IT-Experten kennen. Nehmen wir einmal das NTFS-Dateisystem, das Windows verwendet.<\/p>\n Fakt 1.<\/strong> Falls Sie eine Datei aus einem Order l\u00f6schen und sofort danach eine neue Datei mit demselben Namen in demselben Ordner speichern, ist das Erstellungsdatum dasselbe wie das der Datei, die Sie gel\u00f6scht haben.<\/p>\n Fakt 2<\/strong>. Zus\u00e4tzlich zu anderen Metadaten speichert NTFS das letzte Zugangsdatum auf die Datei. Wenn Sie aber die Datei \u00f6ffnen und den Datumsstempel des letzten Zugangs in den Eigenschaften der Datei \u00fcberpr\u00fcfen, bleibt das Datum dasselbe.<\/p>\n Sie denken vielleicht, dass es sich bei diesen Eigent\u00fcmlichkeiten um Fehlfunktionen handelt, aber es sind tats\u00e4chlich Dokumenteigenschaften. Im ersten Fall sprechen wir \u00fcber Tunneling<\/a>, was eine Voraussetzung ist, um R\u00fcckw\u00e4rtskompatibilit\u00e4t von Software zu aktivieren. Automatisch h\u00e4lt die Wirkung 15 Sekunden an, w\u00e4hrend der die neue Datei den Erstellungsdatumstempel der alten Datei erh\u00e4lt (man kann den Intervall in den Systemeinstellungen \u00e4ndern oder Tunneling komplett im Register deaktivieren). Tats\u00e4chlich bin ich zweimal die Woche wegen der L\u00e4nge des Intervalls bei meiner Arbeit \u00fcber Tunneling gestolpert.<\/p>\n Der zweite Fall wurde auch dokumentiert: Wenn man Windows 7 startet, deaktiviert Microsoft der Leistung zuliebe das Zeitstempeln des letzten Zugangs. Man kann diese Funktion im Register<\/a> aktivieren. Aber sobald diese aktiviert ist, kann man den Prozess nicht r\u00fcckg\u00e4ngig machen, um das Problem zu beheben; das Dateisystem speichert den richtigen Datumsstempel nicht mehr (was man anhand eines Low-Level-Festplatten-Editors bewies).<\/p>\n Wir hoffen, dass forensische Computerexperten sich \u00fcber diese Besonderheiten bewusst sind.<\/p>\n Nebenbei gesagt k\u00f6nnen Datei-Metadaten ver\u00e4ndert werden, indem man Standard-OS \/ native Apps und besondere Software verwendet. Das hei\u00dft, dass man sich nicht auf Metadaten als Beweisst\u00fcck in einem Gerichtsprozess verlassen kann, au\u00dfer wenn diese zusammen mit E-Mail-Services oder Serverprotokollen vorgelegt werden.<\/p>\n Eine eingebaute Funktion von Microsoft Office mit dem Namen Dokumentinspektor (Datei \u2192 Info \u2192 Dokumentpr\u00fcfung<\/em> in Word 2016) zeigt dem Nutzer die in der Datei enthaltenen Daten. Dar\u00fcber hinaus k\u00f6nnen die Daten auf Anfrage gel\u00f6scht werden. Das trifft jedoch nicht auf die eingebetteten Daten zu (wie in dem obigen Bericht des Bildungsministeriums). Nutzer sollten vorsichtig sein, wenn sie Graphen und Diagramme einf\u00fcgen.<\/p>\nDokument-Metadaten<\/h3>\n
\n
\n
\n
Eine 20$ Millionen (manipulierte) Datei<\/h3>\n
Versteckte Dateien<\/h3>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/03\/06134340\/office-docs-metadata-1.png\")
Dateien in Dateien<\/h3>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/03\/06134340\/office-docs-metadata-2.png\")
Metadaten ernten<\/h3>\n
Eigent\u00fcmlichkeiten von Dokumenten<\/h3>\n
Metadaten: Sicherheit<\/h3>\n