Statshemmeligheter lekkes i metadata

Så mye informasjon lekker som metadata i Word og PDF, at USAs sikkerhetsbyrå NSA tar affære.

Den moderne tekstbehandleren Word tar vare på langt mer informasjon enn det som kommer til syne når dokumentet skrives ut. Under dokumentegenskaper får man vite blant annet når dokumentet ble opprettet, og av hvem. Funksjonen «spor endringer» gjør at man aldri mister noe av det som blir strøket.

I tillegg tyr mange brukere erfaringsmessig til lettvinte triks når de framstiller dokumenter med tanke på utskrift, for å slippe arbeid med å justere layout på påfølgende sider. I stedet for å slette tekst, dekker man for eksempel over det med hvit grafikk.

Alt dette gjør at den som får digitale utgaver av dokumenter, også i de tilfeller der man konverterer Word-dokumentet til for eksempel pdf-formatet, ofte kan boltre seg med informasjon som det ikke var meningen å formidle.

Farmasigiganten Merck angrer på en diskett de sendte til New England Journal of Medicine i 2000 med en artikkel i Word om legemiddelet Vioxx. Sporingsfunksjonen viste at de hadde strøket et avsnitt om økt risiko for hjertesykdom, en risiko de siden benektet å ha visst om. Nå er Merck saksøkt, og Word-dokumentets sporingsfunksjon er bevismateriale.

Den samme sporingsfunksjonen avslørte i mars 2004 SCO Groups liste over selskaper de hadde tenkt å saksøke.

Workshare, et selskap som selger verktøy for å strippe uønsket metadata fra Word- og pdf-dokumenter, har tilsvarende eksempler fra Det hvite hus, USAs forsvarsledelse og FN.

Nylig la USAs nasjonale sikkerhetsbyrå NSA (National Security Agency) ut skrivet How to Safely Publish Sanitized Reports Converted From Word to PDF. Dokumentet viser til at ansatte i forvaltningen er nødt til å vaske dokumenter for interne metadata når de klargjør dem for elektronisk publisering.

– Som mange har pinlig erfart, vil ikke en enkel konvertering fra Word til PDF automatisk fjerne alle metadata, heter det i skrivet.

Det advares videre:

– I tillegg til det synlige innholdet i et dokument, vil de fleste kontorapplikasjoner, blant dem Microsoft Word, inneholde mye skjult informasjon om dokumentet. Denne informasjonen er ofte like følsom som det opprinnelige dokumentet. At den fortsatt er til stede når et dokument nedgraderes eller tilrettelegges for bred publisering, har i flere tilfeller vært kompromitterende.

Når et hittil internt dokument skal klargjøres for publisering, anbefaler NSA-skrivet en oppskrift som i hovedtrekk går ut på følgende:

  • Opprett en kopi av dokument.
  • Slå av funksjoner som «spor endringer», «kommentarer» og lignende.
  • Gå gjennom alle bilder, tabeller og diagrammer og slett alle tilhørende kommentarer, samt all tekst som de måtte dekke. Hvis man av layout-hensyn bruker grafikk til å dekke over tekst, skal den usynlige teksten endres til for eksempel bare x-er.
  • Gi dokumentet et nytt navn, som indikerer at dette er utgaven som er endret med tanke på publisering.
  • Opprett et nytt, blankt dokument, og kopier alt innholdet dit, slik at all metadata automatisk nullstilles.
  • Bruk et hensiktsmessig verktøy for å konvertere dette dokumentet til pdf-format. Det er kun denne pdf-utgaven som skal legges ut.

Ifølge News.com støtter Adobe denne oppskriften, og er i ferd med å tilrettelegge tilsvarende anbefalinger for sine kunder.

Et lite tips for den mest elementære beskyttelsen: Hvis «KORR» (eller «TRK» på engelsk) vises i uthevet skrift i den nederste vinduskanten til Word, er sporingsfunksjonen på. I mange selskaper sørger standardmalen for at denne funksjonen er påslått. I digi.no-redaksjonen erfarer vi stadig vekk at pressemeldinger kommer med interessante og avslørende opplysninger som PR-avdelingen tror de har luket bort.

På sitt nettsted, tilbyr Microsoft et gratis verktøy for å fjerne metadata fra filer i Word, Excel og Powerpoint: Office 2003/XP Add-in: Remove Hidden Data.

Til toppen