La "sicurezza" di Winword


 
 

Molti oggi usano Office,in particolare winword, anzi si puó dire che, spesso,per molti é l'unico programma 

utilizzato !   Certo chi lo usa per scrivere una lettera od un fax pensa che l'unica cosa che sará registrata in quel documento sará ció che sta scrivendo.  Forse penserá anche che, se ometterá di firmare il documento sará anonimo, che non si vedrá dove lo ha salvato, che cambiandone il nome non si vedrá il nome vecchio e che se lo passerá a qualcuno per modificarlo questo non si saprá.

Non é cosí

Winword memorizza molte cose, nascostamente, sull'autore, sulla storia delle revisioni e su dove e con che nome il documento sia stato memorizzato, in barba a qualsiasi legge sulla privacy.
Con il comando "proprietá" é possibile, per esempio visualizzare una pagina dove appare il nome dell' autore. Ma é una cosa fatta apposta per farci credere che basti cancellare quella riga per ripulire il documento dalle informazioni personali, mentre ci vuole ben altro !

Eseguiremo ora l' analisi (con un programma apposito) di alcuni documenti di winword, evidenziando le informazioni nascoste che contengono  e quello che si riesce a capire dei computer su cui sono stati creati.
 

Analizziamo un file di word dai miei documenti personali.
 

Ecco qui un documento da esaminare: Ritenuta Cuomo Andrea mag 05.doc
(sí ho fatto anch'io il co.co.co)

Ed ecco le informazioni (nascoste!)  che contiene:
  

  Title: Raiti Matteo
Author: Salvatore Bosco
Company: Synstar
Application: Microsoft Word 9.0
Created: 16/05/05 15.48.00
Last Saved: 16/05/05 15.48.00
Last Edited By: boscos
Last Printed: 16/05/05 15.48.00
Page Count: 1
Word Count: 68
Character Count: 388
Revision Count: 2
Total Editing Time (minutes): 0

Unique Identifier (GUID): Not Found.
Recent Hyperlinks List: Not Found.

Revision Log: Found 10 hidden revision(s)
"Salvatore Bosco" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenuta Raiti Marianna giu 04.doc"
"Salvatore Bosco" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenuta Raiti Marianna ott 04.doc"
"Salvatore Bosco" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenuta Raiti Marianna ott 04.doc"
"Salvatore Bosco" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenuta Raiti Marianna dic 04.doc"
"Salvatore Bosco" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenuta Cuomo Andrea dic 04.doc"
"Salvatore Bosco" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenuta Cuomo Andrea dic 04.doc"
"boscos" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenute\Ritenuta Cuomo Andrea mar 05.doc"
"boscos" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenute\Ritenuta Cuomo Andrea apr 05.doc"
"boscos" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenute\Ritenuta Cuomo Andrea apr 05.doc"
"boscos" edited file: "C:\Documents and Settings\boscos\Documenti\FENICE\Personale\Ritenute\Ritenuta Cuomo Andrea mag 05.doc"
 

  Qui vediamo che,  come detto sopra l' autore riusava vecchi documenti modificandoli e salvandoli con nome diverso.
(prassi comune nei documenti commerciali) e, dalla storia delle revisioni é emerso il nome di un'altra persona !
Strano che Winword non venga menzionato nella normativa sulla privacy !
Pensate il valore di un'informazione del genere in una causa di lavoro.

Dal path con cui il file é stato salvato, inoltre possiamo avere degli importanti indizi sull'identitá, qualora si fosse
cercato di celarla.
 
 

Analizziamo un file scaricato da windows:           The Black Page
Rivistina "hacker" in formato winword ! :oP

  Unique Identifier (GUID): Not Found.
Recent Hyperlinks List: Not Found.

Revision Log: Found 4 hidden revision(s)
"Windows" edited file: "C:\WINDOWS\Profiles\Enri\Desktop\hak\Grabba la Password del tuo amico.doc"
"Francesco Tizzani" edited file: "A:\Grabba la Password del tuo amico.doc"
"Francesco Tizzani" edited file: "C:\Hackers\Documenti\Grabba la Password del tuo amico.doc"
"Francesco Tizzani" edited file: "C:\Hackers\Documenti\giuda prehacker1.doc"

 

  Benché l' autore abbia cercato di anonimizzarsi (il nome inserito é "windows" in file/proprietá) é saltato fuori nome e cognome !
 

Analizziamo i documenti del ministero degli interni !

Facciamo una piccola ricerca con google e cerchiamo i documenti del ministero degli interni pubblicati con estensione word :  la ricerca dá ben 83800 risultati, potete controllare qui.

Ho provato a scaricare qualche documento e i risultati sono stati molto interessanti:

proviamo, per esempio a scaricare questo documento, dalla  Provincia di Piacenza:

una paginetta con un vecchio regolamento sulle normative antincendio, che barba.
Ma guardiamo se contiene delle revisioni nascoste:
 

  Title: 
Author: vvf2
Template Used: Normal
Application: Microsoft Word 9.0
Created: 29/10/01 18.43.00
Last Saved: 29/10/01 19.32.00
Last Edited By: vvf2
Last Printed: 01/06/01 17.23.00
Character Count: 1045
Revision Count: 3
Total Editing Time (minutes): 0
Unique Identifier (GUID): Not Found.
Recent Hyperlinks List: Not Found.

Revision Log: Found 10 hidden revision(s)
"Studio Bonsembiante" edited file: "C:\DavideLavori\CorsoIngegneriVVF\LocaliPubblicoSpettacoloImpiantiSportiviDenaro\Corso\9.doc"
"Studio Bonsembiante" edited file: "C:\DavideLavori\CorsoIngegneriVVF\LocaliPubblicoSpettacoloImpiantiSportiviDenaro\Corso\10.doc"
"Studio Bonsembiante" edited file: "C:\DavideLavori\CorsoIngegneriVVF\LocaliPubblicoSpettacoloImpiantiSportiviDenaro\Corso\10.doc"
"Studio Bonsembiante" edited file: "\\Server\lavori\Lavori VVF2\DavideLavori\CorsoIngegneriVVF\LocaliPubblicoSpettacoloImpiantiSportiviDenaro\Corso\10-I.doc"
"vvf2" edited file: "\\Server\lavori\Lavori VVF2\DavideLavori\CorsoIngegneriVVF\LocaliPubblicoSpettacoloImpiantiSportiviDenaro\Corso\10-I.doc"
"vvf2" edited file: "\\Server\lavori\Lavori VVF2\DavideLavori\CorsoIngegneriVVF\Autorimesse-Ascensori Denaro\Corso\1-I.doc"
"vvf2" edited file: "\\Server\lavori\Lavori VVF2\DavideLavori\CorsoIngegneriVVF\Autorimesse-Ascensori Denaro\Corso\ASCENSORI\SEZIONE I\1-I.doc"
"vvf2" edited file: "\\Server\lavori\Lavori VVF2\DavideLavori\CorsoIngegneriVVF\Autorimesse-Ascensori Denaro\Corso\ASCENSORI\SEZIONE I\2-I.doc"
"vvf2" edited file: "\\Server\lavori\Lavori VVF2\DavideLavori\CorsoIngegneriVVF\Autorimesse-Ascensori Denaro\Corso\ASCENSORI\SEZIONE I\3-I.doc"
"vvf2" edited file: "\\Server\lavori\Lavori VVF2\DavideLavori\CorsoIngegneriVVF\Autorimesse-Ascensori Denaro\Corso\ASCENSORI\SEZIONE I\3-I.doc"

  Ben 10 revisioni nascoste, dalle quali possiamo risalire agli autori, alla provenienza del testo (un corso per ingegneri) ed al percorso che il file ha fatto, da "Studio Bonsembiante" a quello che, probabilmente é il server della provincia.

Proviamo ora con il ministero della salute !
cerchiamo anche qui una circolare in word, ne troviamo 40800.

Cerchiamo per esempio in questo documento, sull'adozione di animali da laboratorio, ho sempre desiderato un ratto con l'encefalite !

  Title: Richiesta di affido in adozione di animali da laboratorio ai sensi della circolare del Ministero salute n
Author: Ceda
Company: Universit di Pisa
Application: Microsoft Word 9.0
Created: 11/04/05 16.41.00
Last Saved: 11/04/05 16.41.00
Last Edited By: Universit di Pisa - Sesi
Last Printed: 09/03/05 10.55.00
Revision Count: 2
Total Editing Time (minutes): 1
Unique Identifier (GUID): Not Found.

Revision Log: Found 10 hidden revision(s)
"Ceda" edited file: "C:\WINDOWS\Desktop\documenti casa\adozione animali da laboratorio.doc"
"Ceda" edited file: "C:\WINDOWS\TEMP\Salvataggio automatico di   adozione animali da laboratorio.asd"
"Ceda" edited file: "C:\WINDOWS\TEMP\Salvataggio automatico di   adozione animali da laboratorio.asd"
"Ceda" edited file: "C:\WINDOWS\Desktop\adozioni animali\richiesta affido.doc"
"Ceda" edited file: "C:\WINDOWS\Desktop\adozioni animali\richiesta affido.doc"
"Ceda" edited file: "C:\WINDOWS\TEMP\Salvataggio automatico di   richiesta affido.asd"
"Ceda" edited file: "C:\WINDOWS\Desktop\adozioni animali\richiesta affido.doc"
"Ceda" edited file: "C:\WINDOWS\Desktop\adozioni animali\richiesta affido.doc"
"Ceda" edited file: "C:\WINDOWS\Desktop\adozioni animali\richiesta affido.doc"
"Università di Pisa - Sesi" edited file: "C:\WINDOWS\Desktop\Nesw Ricerca\affido.doc"

  Qui possiamo vedere  che "Ceda" ha editato questo documento a casa propria (usando il solito winword con "bugdoor" che salva la solita copia-spia nascosta in windows\temp) ed ha poi passato la copia in un computer dell' universitá di Pisa, a "Università di Pisa - Sesi".
Entrambi i computer usavano windows 98 o 95 e, su entrambi i dati vengono, malamente salvati su desktop.
 

I documenti scaricati dalle universitá sembrano interessanti, cerchiamo questo sui rifiuti tossici.

  Title: RIFIUTI PERICOLOSI, NON PERICOLOSI E SPECIALI
Author: a
Company: Universit di Padova
Template Used: Normal.dot
Application: Microsoft Word 8.0
Created: 27/07/00 15.50.00
Last Saved: 27/07/00 15.50.00
Last Edited By: iachelg
Last Printed: 04/07/00 12.35.00
Word Count: 2808
Character Count: 16009
Revision Count: 2
Total Editing Time (minutes): 0

Unique Identifier (GUID): {E8809586-50C7-11D4-9263-0050DA4887AA}

Revision Log: Found 10 hidden revision(s)
"a" edited file: "C:\RAD2000.DOC"
"a" edited file: "C:\RAD2000.DOC"
"a" edited file: "C:\RAD2000.DOC"
"masierr" edited file: "C:\TEMP\Salvataggio automatico di   RAD2000.asd"
"masierr" edited file: "\\plutone\u_UFFTEC\safety\ROBERTO\RAD2000.DOC"
"masierr" edited file: "A:\RAD2000.doc"
"masierr" edited file: "A:\RAD2000.doc"
"masierr" edited file: "A:\RAD2000.doc"
"masierr" edited file: "A:\RAD2000.doc"
"iachelg" edited file: "C:\Ammi\spp\rifiuti\RAD2000.doc"

  Lo sconosciuto autore "a" ha editato il file per passarlo a "masierr", che lo ha modificato (con la solita "bugdoor" che salva la copia-spia in windows\temp), per poi passarlo su server (plutone).  Lo ha poi passato su dischetto e lo teneva lí man mano che lo modificava (che é anche un sistema a bassa tecnologia per non lasciare tracce del proprio lavoro nel computer, per quello la "bugdoor" del salvataggio in windows\temp é doppiamente irritante).
Il file é stato poi passato ed editato nella directory C:\ammi\spp\rifiuti\ dove si trova tuttora, difatti é stato scaricato da http://www.unipd.it/ammi/spp/rifiuti/RAD2000.doc 

Questo lascia pensare che nel server http://www.unipd.it/ ci siano tante altre cose interessanti, dato che grazie a questa "interessante" caratteristica di winword i dati della struttura dei server web se ne vanno allegramente a spasso !

Dal nome della directory possiamo inoltre dedurre il nome dell' operatore (Masiero Roberto) ed il dipartimento in cui lavora (ufficio tecnico) .

L' universitá di Padova sembra un posto ghiotto:  cerchiamo tutti i files .doc pubblicati su unpd.it  cosí

Ma  guarda cosa ho trovato :DICHIARAZIONE SOSTITUTIVA DI CERTIFICAZIONE qui
vediamo se contiene qualcosa di nascosto:

  Title: Prot. n. 
Author: Uff. Immatricolazioni
Company: Universit di Padova
Template Used: Mod_Uff1.dot
Application: Microsoft Word 9.0
Created: 09/10/02 17.28.00
Last Saved: 09/10/02 17.28.00
Last Edited By: CINECA
Last Printed: 19/09/01 12.15.00

Revision Log: Found 10 hidden revision(s)
"Administrator" edited file: "C:\TEMP\Salvataggio automatico di   AUTO.asd"
"Administrator" edited file: "C:\TEMP\Salvataggio automatico di   AUTO.asd"
"Administrator" edited file: "C:\Manu\varie\AUTO.doc"
"Marisa Pravato" edited file: "C:\TEMP\Salvataggio automatico di   autocertif.asd"
"Marisa Pravato" edited file: "A:\autocertif2.doc"
"Marisa Pravato" edited file: "A:\autocertif2.doc"
"CAPPARS" edited file: "C:\ammi\serstud\postlaurea\scuolespec\moduli\autocertificazione.doc"
"Universita' di Padova" edited file: "C:\modulisticaweb\autocertificazione.doc"
"marin simonetta" edited file: "C:\ammi\serstud\postlaurea\scuolespec\moduli\autocertificazione.doc"
"CINECA" edited file: "C:\Documents and Settings\Administrator.PIPPO\Desktop\autocertificazione.doc"

  Possiamo vedere che il documento é passato attraverso numerose revisioni ed attraverso numerosi autori.
Ha iniziato "administrator" da "C:\Manu\varie\AUTO.doc", passando per due diversi salvataggi nascosti, poi "Marisa Pravato" ha iniziato a portarsi in giro il file su dischetto (lasciando la solita copia nascosta in windows\temp) per poi passarlo a "CAPPARS", che lo ha memorizzato in C:\ammi\serstud\postlaurea\scuolespec\moduli\ (presumo, dal path C:\ammi\ che si tratti di una directory pubblicata su internet, come sopra), per poi passarlo a "Universita' di Padova", che lo ha passato a "marin simonetta", che lo ha risalvato in una directory web, poi "CINECA" lo ha modificato per l' ultima volta e lo ha salvato sul desktop del suo computer con windows2000 chiamato, squallidamente "pippo".
  Analizziamo un file scaricato da windows:    David Icke - The Book the Bushes Banned.doc

Analizziamo ora qualcosa di diverso :
É un documento scaricato con Emule. L'autore, David Icke é abbastanza noto nel filone "cospiratorio" come sostenitore delle teorie piú bizzarre.

Un documento contro Bush, vediamo un pó cosa contiene...

  Title: The Book the Bushes Banned
Author: David Icke
Subject: Another Cocaine Snorter in the White House
Application: Microsoft Word 9.0
Created: 28/09/02 2.56.00
Last Saved: 28/09/02 2.56.00
Last Edited By: Dan Bogosian
Page Count: 1
Word Count: 1941
Character Count: 11069
Revision Count: 2
Total Editing Time (minutes): 1

Unique Identifier (GUID): Not Found.
Recent Hyperlinks List: Not Found.

Revision Log: Found 10 hidden revision(s)
"Valued Sony Customer" edited file: "C:\WINDOWS\Desktop\My Documents\GWB.doc"
"Valued Sony Customer" edited file: "C:\WINDOWS\Desktop\My Documents\GWB.doc"
"Valued Sony Customer" edited file: "C:\WINDOWS\Desktop\My Documents\GWB.doc"
"Valued Sony Customer" edited file: "C:\WINDOWS\Desktop\My Documents\GWB.doc"
"Valued Sony Customer" edited file: "C:\WINDOWS\Desktop\My Documents\GWB.doc"
"Laurence Savage" edited file: "C:\windows\TEMP\AutoRecovery save of GWB.asd"
"Laurence Savage" edited file: "D:\icke\articles\fortson.DOC"
"Laurence Savage" edited file: "D:\icke\articles\fortson.DOC"
"Laurence Savage" edited file: "D:\icke\articles\fortson.DOC"
"Dan Bogosian" edited file: "C:\Program Files\KaZaA\My Shared Folder\The Book the Bushes Banned.doc"

  Quindi abbiamo l' autore del primo documento (presumiamo che sia Icke) con il nome "Valued Sony Customer" ha creato il primo documento chiamato GWB.doc (le iniziali dell'attuale,impopolare presidente USA).
Il nome registrato fa pensare ad un computer portatile acquistato in un centro commerciale, il path, con la directory documenti su desktop fa pensare ad un  windows 98.

A questo punto subentra questo "Laurence Savage" che peró inizia in modo atipico, inizando ad editare un documento di autorecovery trovato in windows\temp. 
 

L'autorecovery é un espediente della microsoft per recuperare i dati in caso di crash di winword: se, per qualsiasi motivo winword avesse un problema, dovendo uscire senza consentire il salvataggio salva una copia del documento in memoria in windows\temp con il nome "AutoRecovery save of "... piú il nome del documento, é una caratteristica del tutto simile alla "bugdoor" dell' autosave vista piú sopra.
Questa dovrebbe essere una cosa positiva, perché, in caso di guasto é possibile controllare la cartella windows\temp e recuperare il documento.  Questo peró é anche una grave falla di sicurezza, perché, anche se l' autore tenesse i documenti riservati su un' unitá irraggiungibile o li cancellasse in  modo sicuro consentirebbe ugualmente, in caso di accesso abusivo (e considero l'analisi forensica il PEGGIOR tipo di accesso abusivo) di recuperare molti documenti semplicemente controllando windows\temp.
 
Da quello che si puó capire dall' analisi delle revisioni occulte di questo documento sembrerebbe che sia avvenuto esattamente questo.


Sicuramente il recupero del documento "C:\windows\TEMP\AutoRecovery save of GWB.asd" é avvenuto dal computer di  "Valued Sony Customer" (Icke) ma come mai é stato poi editato da un winword installato a nome di "Laurence Savage" ?
Una spiegazione potrebbe essere che il recupero ed il primo editing sia avvenuto non nel computer di "Valued Sony Customer" ma in una sua copia, sottoposta ad analisi forensica.

Le successive versioni sono poi state memorizzate in "D:\icke\articles\fortson.DOC" (fortunate son, é l'opera di cui questo documento é una recensione), quindi sicuramente in un computer diverso, con un sistema operativo ed un'organizzazione dei dati diversa.
La directory in cui il file é memorizzato non é piú C:\WINDOWS\Desktop\My Documents\, ma é cambiata.
Anche la directory D:\icke\articles  fa pensare:  non é una home directory di sistema, tipo C:\Documents and Settings\nome utente\Documenti\ , ma, semplicemente é una directory creata dall'utente per memorizzarvi i propri documenti.   Ma allora perché chiamarla icke\articles  ?   Generalmente quando qualcuno organizza i dati nel proprio pc non sente il bisogno di chiamare le directory con il proprio nome, questa é una cosa fatta da windows quando crea le cartelle utente (C:\Documents and Settings\nome utente\) ma questo non é il nostro caso. 
 

Puó anche darsi che all'autore piaccia il proprio nome e preferisca chiamare cosí le directory dei dati, ma allora perché quando ha installato winword ha inserito come nome "Laurence Savage" ? Puó anche darsi che l'autore sia a conoscenza di questo bug/backdoor "bugdoor"di winword, ed abbia inserito un nome falso per sviare l' analisi;  ma questo é poco verosimile, perché, altrimenti non AVREBBE CHIAMATO LA CARTELLA DATI CON IL PROPRIO NOME !


A questo punto é subentrato "Dan Bogosian" che ha editato il documento, gli ha cambiato nome e lo ha piazzato nella cartella file condivisi di (S)Kaz(z)aa, inserendolo quindi nel circuito P2P dove é arrivato sino a me.

Posso concludere affermando che, anche tenendo conto delle opinioni controverse di questo scrittore il documento in questione É STATO PROBABILMENTE RECUPERATO, MODIFICATO E MESSO IN CIRCOLAZIONE FUORI DAL CONTROLLO DELL'AUTORE.
 

 
 

CONCLUSIONI

Da quanto é stato possibile controllare il programma "winword", universalmente utilizzato sia in ambito casalingo che professionale soffre di numerosi problemi di sicurezza, per la precisione la memorizzazione nascosta di informazioni potenzialmente riservate entro  i file testo e la disseminazione in aree non protette del disco fisso 
(per la precisione c:\windows\temp) di informazioni potenzialmente sensibili e soggette alla normativa sulla privacy.

Alla luce di quanto affermato appare inoltre deprecabile la consuetudine (molto diffusa, considerando il numero dei documenti trovati da google) della pubblica amministrazione italiana di diffondere circolari e documenti usando winword, consentendo cosí  il trapelamento di informazioni potenzialmente sensibili per la privacy dei dipendenti e
la sicurezza delle proprie infrastrutture informatiche.
Si auspica che, per la diffusione di documenti vengano utilizzati formati diffusi, conosciuti e sicuri come l'rtf,  l'html o xml.

 

 

  Torna alla cryptohacker home page

  NOTA

Ma non ho violato anch'io la privacy scrivendo questo articolo ? 

No, i documenti illustrati erano stati resi pubblici su internet, devo quindi presumere che
gli autori fossero assolutamente d'accordo nella diffusione senza limiti dei documenti pubblicati, se cosí non fosse non sarebbe legalmente possibile scaricare alcunché da internet.
Il contenuto nascosto dei files che pubblicavano questo non é responsabilitá mia, semmai loro o della ditta produttrice del winword.
 

Faccio l'analisi di files di winword in conto terzi?
É possibile far analizzare documenti di word in cerca di informazioni sensibili ?

Sí, eseguo queste analisi, e faccio anche molte altre cose.
Potete farvi un' idea qui.