Metadata Revisited

Metadata Revisited

Veit Hailperin
von Veit Hailperin
Lesezeit: 7 Minuten

Metadaten sind Daten, die andere Daten beschreiben. In den Medien waren sie insbesondere im Zuge der Diskussion zu Überwachung von Telefonaten. Metadaten sind in diesem Fall wann ein Anruf getätigt wurde, von welcher Nummer aus, welche Nummer angerufen wurde, Dauer des Gesprächs et cetera. Ein unbedarfter Politiker würde sagen, dass diese Daten nicht sensitiv, ja sogar harmlos seien, da sie nicht das Telefongespräch beinhalten. Dass dies falsch ist, sollen diese zwei Beispiele zeigen:

Es steckt mehr Inhalt in Metadaten als oft geglaubt wird.

Metadaten sind omnipräsent. In aktuellen Dateisystemen, sogenannten Journaling File Systems werden Daten gespeichert, wie zum Beispiel über Grösse und Ablageort von Dateien auf der Festplatte. In Bildern finden sich Metadaten über die Grösse und das Erstelldatum. Bei Photos, die von Handys geschossen werden, werden meist standardmässig der Aufnahmeort in Form eines Geo-Datums in die Metadaten geschrieben. Bei Dokumenten findet sich in den Metadaten der Autor und der Name des Dokumentes.

Nicht nur böse

Metadaten ermöglichen neue Funktionalitäten. So kann eine Online-Bildgalerie die Geo-Daten auslesen und nachher die Bilder auf einer Karte verorten. Ein Benutzer kann auf diese Weise zum Beispiel alle Fotos von seinem Asien-Aufenthalt leicht wiederfinden. Wenn ein Artikel veröffentlicht wird, so ist der Autor und Titel des Dokumentes ohnehin innerhalb des Dokumentes wieder zu finden, aber eine digitale Bibliothek kann PDF-Dateien leichter klassifizieren, ordnen und durchsuchen, falls die Daten auch als Metadaten enthalten sind. Kritisch sind Metadaten per se also nicht.

Die andere Seite der Medaille

Kritisch werden Metadaten dann, wenn sie Informationen erhalten, die nicht für die Öffentlichkeit bestimmt sind. Umso mehr, da sich viele Leute dieser Daten nicht bewusst sind, wenn sie Bilder, Photos oder PDFs veröffentlichen. Die Problematik ist alles andere als neu. Allerdings fiel sie im Zuge von anderen, aufmerksamkeitsheischenden Nachrichten der Vergessenheit anheim.

Security Consultants wie auch Hacker suchen in allem und jedem einen anderen Nutzen. Nicht zwingend bösartigen Nutzen, aber häufig. Viele Firmen stellen PDF-Dateien auf ihre Webseite, in denen alles Mögliche beschrieben wird, wie die Installation einer Software, ein Antrag für einen neuen Handyvertrag, die Quartalszahlen oder ein Flugticket. Diese Dokumente brauchen keine Spezifikation des Autors in ihren Metadaten, haben sie aber häufig trotzdem. Ein Angreifer erhält damit den Namen einer in dieser Firma arbeitenden Person, die in einem Social-Engineering-Angriff ausgenutzt werden könnte. Manchmal ist auch der Benutzername als Autor eingetragen, aus dem weitere Informationen abgeleitet werden können. Interessant ist auch das Produkt, mit dem ein Dokument erstellt wurde. Eine detaillierte Auskunft darüber könnte helfen, ein PDF mit Backdoor der HR-Abteilung als Bewerbung unterzujubeln. Dies sind nur Beispiele für potentiell sensitive Daten und potentielle Arten diese zu Missbrauchen. Die Spanne der Missbrauchsmöglichkeiten ist breit.

Automatisierte Überprüfung für Security Tester

Einer der Gründe, weshalb Metadaten von PDFs bei Sicherheitsaudits etwas unter den Tisch gefallen sind, ist der zusätzliche Aufwand, der damit verbunden ist, alle Metadaten aller PDFs auf einer Webseite zu überprüfen. Damit dieser entfällt, habe ich eine Erweiterung mit dem Namen PDF Metadata für die Standard-Webtestsoftware BurpSuite geschrieben. Die Erweiterung liest PDF Metadaten (Document Information und XMP Metadaten) ganz bequem automatisch aus und stellt sie dem Tester übersichtlich dar.

Screenshot der Extension

Ab Version 0.5 gibt es eine Einstellungsmöglichkeit. Diese erlaubt einem Benutzer zu entscheiden zwischen Geschwindigkeit und Vollständigkeit des Scans. Da der Grossteil aller Antworten keine PDF-Dateien beinhaltet, ist es sehr ineffizient alle Antworten aller Anfragen zu analysieren. Als Standard-Einstellung empfehle ich deshalb die Option Scan Fast, welche Antworten nur dann überprüft auf PDF-Dateien, wenn die URL .pdf enthält. Für die Applikationen, welche PDFs generieren und deren Dateinamen nicht bereits in der URL enthalten sind, empfehle ich nach Abschluss des Testtages Scan Thoroughly auszuwählen und den Scope erneut einem Passive Scan zu unterziehen.

Einstellung der Extension

Diese Erweiterung steht unter der GNU Public License und ist kostenlos verfügbar. Wer es sich einfach machen möchte, der installiert die Erweiterung bequem über den BApp Store.

Entfernung der Metadaten

Auf der Anwenderseite stellt sich die Frage, wie sich das versehentliche Abfliessen von Informationen durch Metadaten vermeiden lässt. Sensitive Informationen sollten grundsätzlich aus Metadaten gelöscht werden. Was als sensitiv eingestuft wird hängt von der Organisation und teilweise vom Dokument ab. Eine einfache Lösung ist es, die Anwendung eines PDF Sanitizer auf alle Dokumente, welche mit externen Kommunikationspartnern geteilt werden, zu erzwingen. Dies kann in einer internen Regelung festgehalten werden. Mitarbeiter sollten über die Gefahren von Metadaten und Möglichkeiten zur Bereinigung aufgeklärt werden, damit sie Dokumente, welche zum Beispiel per E-Mail verschickt werden, vorher bereinigen. Büroprogramme bieten meist die Testmöglichkeit auf vorhandene Metadaten und deren Bereinigung an. Diese lassen sich ohne grossen Aufwand nutzen. Der Nachteil an programmeigenen Tools ist, dass sie häufig nicht die _Producer_- und _Creator_-Daten entfernen.

Eine weitere Möglichkeit, Metadaten zu entfernen, könnte technisch innerhalb des Webseitenmanagementsystems eingebaut werden. Werden Dokumente auf Webseiten gestellt, so sollte diese immer ein Metadaten Sanitizer kontrollieren.

Wer denkt, man sollte das Ganze doch lieber spielerisch angehen, dem empfehle ich Der Metadatensauger.

Über den Autor

Veit Hailperin

Veit Hailperin arbeitet seit 2010 im Bereich der Informationssicherheit. Seine Forschung konzentriert sich auf Network und Application Layer Security sowie auf den Schutz der Privatsphäre. Die Resultate präsentiert er an Konferenzen.

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv