Information Leakage durch selbst erstellte PDF-Dateien

Geschrieben von Sebastian Klipper am 26. November 2009. Berichten Sie über diesen Beitrag via Twitter oder Xing.

PDF-Dateien sind ein Segen und ein Fluch zugleich. Für diejenigen, die mit PDF-Dateien arbeiten sind sie eine echte Erleichterung, während sie immer wieder mit Sicherheitsproblemen behaftet sind, die bei diesen nicht im Vordergrund der Betrachtung stehen. Aktuell wurden einige Beispiele bekannt, wie durch selbst erstellte PDF-Dateien Informationen abfließen können, die eigentlich nicht für die Öffentlichkeit bestimmt sind.

Internet Explorer

Das Problem in diesem Fall ist, dass PDF-Dateien, die aus dem Internet Explorer heraus ausgedruckt werden, als Meta-Daten den Dateipfad enthalten. Dieses  Verhalten betrifft alle Versionen bis IE 8. Egal ist dabei, mit welchem PDF-Drucker das Dokument erstellt wird. Das betrifft auch über das Kontext-Menü des Explorers direkt ausgedruckte Dateien, die über den Internet Explorer ausgedruckt werden.

Das Problem besteht darin, dass sich dieses Verhalten nicht deaktivieren lässt, da der Dateipfad in den Quelltext des PDF-Dokuments eingebettet wird. Man kann ihn finden, wenn man die PDF-Datei in einem Text-Editor öffnet und nach dem String file:// sucht.

Details finden Sie unter Millions of PDF invisibly embedded with your internal disk paths.

Power Point

PowerPoint merkt sich bei eingefügten Grafiken, aus welcher Quelle sie stammten und legt diese Information als Tool-Tipp zu den Grafiken in den PDF-Dateien ab. Peinlich, wenn der Verzeichnispfad der Grafiken in einem Projektbericht durchblicken lässt, dass die Arbeitsergebnisse keine neuen Erkenntnisse sind, sondern aus einem anderen Projekt kopiert wurden.

Details finden Sie unter PowerPoint-PDFs zeigen interne Informationen an

Word

Mir selbst ist das bei den Dateinamen von eingebetteten Grafiken in meinem Buch-Manuskript aufgefallen. Die Dateinamen sind teilweise “sehr informell” und nur für den internen Gebrauch. Word erstellt jedoch PDF-Dateien, die den Dateinamen als Tool-Tipp zur Grafik anzeigen – genau wie Power-Point. Stellen Sie sich vor, Sie erstellen eine Firmenpräsentation und beim Bild vom Geschäftsführer erscheint ein Tool-Tipp: “Der Alte nach dem Lifting.jpg”!

Abhilfe

Für den Internet-Explorer gibt es derzeit keine Abhilfe: Also Vorsicht bei den Dateipfaden und Namen oder einen anderen Browser verwenden.

Für die Office-Produkte muss man bei den Speicheroptionen zwei Felder unter der Überschrift “Nicht druckbare Informationen einschließen” deaktivieren: “Dokumenteigenschaften” und “Dokumentstrukturtipps für Eingabehilfen”. Aber auch hier ist Vorsicht geboten, da Office sich diese Einstellungen nicht merkt.

Kategorie: Angriff, Szene, Verteidigung, Vorfälle.
Tags: .

Hinterlassen Sie einen Kommetar

Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, die E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in der Datenschutzerklärung.