Файлы, полученные от источника, нельзя просто открывать и сразу передавать дальше.
Изображения, PDF, Office-документы, видео, аудио и архивы могут сохранять информацию помимо основного содержимого. Имя автора, название организации, место съемки, дата и время съемки, история правок, комментарии, внутренние имена файлов. Такая информация становится подсказками, указывающими на источник.
Проверка метаданных нужна не только перед публикацией, но и перед обменом внутри редакции.
Что такое метаданные
Метаданные - это не само содержимое файла, а связанная с файлом информация.
В документах проблемой становятся автор и история правок, в изображениях - время съемки и GPS, в видео - сведения об устройстве и звук, в архивах - внутренние имена папок.
Файл
Что проверять
Изображение
GPS, дата и время съемки, модель камеры, миниатюра
PDF
Автор, программа редактирования, встроенная информация
Word и Excel
Автор, организация, история изменений, комментарии
Видео
Дата и время съемки, сведения об устройстве, звук, фон
Аудио
Условия записи, говорящие, фоновые звуки, сведения о создании
Архив
Внутренние имена файлов, структура папок, дата создания
Если судить о файле только по внешнему виду, такую информацию легко пропустить.
Метаданные похожи на служебное описание файла. Они могут включать автора, дату и время, устройство, историю редактирования, геоданные, программное обеспечение и внутренние имена файлов. Даже если источник удалил имя из текста, настоящее имя или название организации может остаться в метаданных.
Кроме того, проблема не ограничивается метаданными. Фон изображения, голоса и топонимы в аудио, внутренние термины в тексте документа, имя файла и структура папок тоже становятся подсказками. Проверка метаданных - лишь часть общей проверки файла.
Как это связывается с источником
Метаданные иногда прямо показывают имя источника.
Но не только это. Даже название организации, имя устройства, отдел, место съемки или время съемки могут сузить круг кандидатов.
Оставшаяся информация
Связь с источником
Имя автора
Видно настоящее имя или внутренний аккаунт
Название организации
Становятся понятны место работы или отдел
Место съемки
Видно, где был снят материал
Время съемки
Сопоставляется с рабочими записями или журналами входа-выхода
История комментариев
Видны соавторы и внутренние обсуждения
Во внутренних материалах под подозрение может попасть не автор, а зритель или редактор.
Нужно думать, какая информация к кому ведет.
Например, GPS на изображении показывает место съемки. Последний сохранивший Office-документ указывает внутреннее имя аккаунта. Дата создания PDF совпадает со временем просмотра материала. Внутри архива остается папка с названием отдела. Все это указывает не только на самого источника, но и на круг получателей материала или связанный отдел.
В защите источников нельзя считать «имени нет, значит безопасно». Нужно смотреть, не осталась ли информация, сужающая круг кандидатов.
Порядок проверки
Полученный файл проверяют в изолированной среде для проверки.
Если сразу поместить его в обычное облако или на личное устройство, могут сработать синхронизация, предпросмотр, история и резервное копирование.
Порядок
Действие
1
Зафиксировать канал получения и положение отправителя
2
Не открывать исходный файл неосторожно, сделать копию для проверки
3
Проверить имя файла, расширение и дату создания
4
Проверить метаданные, комментарии и историю изменений
5
Удалить ненужную информацию из копии для публикации
6
Перед публикацией дать другому человеку проверить повторно
Иногда исходный файл нужно сохранить ради доказательной ценности.
Даже в таком случае его отделяют от файла для публикации.
Если открыть полученный файл в обычной среде, могут запуститься предпросмотр, синхронизация, список недавних файлов, антивирусная проверка и облачное резервное копирование. В результате файл от источника останется в других местах. Высокорисковые материалы отделяют в отдельную среду проверки и отдельное место хранения.
Также важно не начинать с обработки исходного файла. Возможно, его нужно сохранить как доказательство. Исходный файл, копию для проверки и копию для публикации разделяют, а обрабатывают только публикационную копию.
Не полагаться только на инструменты
Инструменты помогают проверять метаданные.
ExifTool - один из основных инструментов, позволяющих локально проверять метаданные многих форматов файлов. Важно, что полученный файл можно проверить на своем устройстве, не загружая его на непонятный онлайн-сайт для проверки. Подробное использование рассматривается в другой статье.
Однако инструменты сами по себе не делают файл безопасным.
Источник может быть вычислен по фону изображения, содержанию аудио, характерным выражениям в тексте документа или самому типу материала.
Способ проверки
Что легко пропустить
Инструмент проверки метаданных
Фон изображения или содержание текста
Визуальная проверка
Внутренние сведения об авторе в файле
Прослушивание аудио
Метаданные и сведения об устройстве записи
Автоматическое удаление
Часть комментариев или истории изменений
Проверку инструментами сочетают с человеческой проверкой.
Такие инструменты, как ExifTool, помогают увидеть невидимую информацию. Но если инструмент ничего не показал, это не означает безопасность. Название станции на фоне изображения, имя в аудио или формулировка документа, указывающая на отдел, требуют человеческой проверки.
И наоборот, одной визуальной проверкой человек пропускает сведения об авторе и встроенные данные внутри файла. В защите источников проверку инструментами совмещают с просмотром и проверкой содержания аудио.
Проверять перед обменом внутри редакции
Проверять метаданные только перед публикацией может быть поздно. В момент, когда исходный файл помещен в общую папку редакции, чат или облако, расширяется круг зрителей и история доступа. Файлы с информацией об источнике не передают многим людям как есть.
Что смотреть перед обменом
Причина
Круг доступа
Не расширять за пределы необходимых людей
Имя файла
Не видно ли источник или название организации
Метаданные
Проверить автора, геоданные, историю правок
Место хранения
Избегать облака под настоящим именем и широких общих папок
Копия для публикации
Держать отдельно от исходного файла
Полученный файл становится объектом защиты источника еще до того, как превратится в публикацию.
В высокорисковых материалах проверку и обработку иногда нельзя решать одному. Доказательная ценность, юридический риск и защита источника связаны одновременно, поэтому при необходимости консультируются с ответственным редактором, юристом или надежным специалистом. Но и во время консультации нельзя неосторожно распространять исходный файл. Сразу после получения нужно сначала изолировать материал. До отправки в обычное облако или чат определяют среду проверки, место хранения и круг доступа.
Итоги
В файлах, полученных от источника, остается информация помимо основного содержания.
Автор, название организации, место съемки, дата и время съемки, история правок, комментарии и внутренние имена файлов становятся подсказками, указывающими на источник.
Файлы проверяют не только перед публикацией, но и перед обменом внутри редакции.
Инструменты вроде ExifTool полезны, но фон, текст, звук и выводы из самого типа материала нужно проверять отдельно.
Проверка метаданных - базовая работа по защите источника.
Связанные инструменты
Reverse image search
Google Lens
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
Файлы от источников нужно проверять до публикации и до обмена внутри редакции: авторы, организация, GPS, даты, история правок, комментарии и имена файлов могут вести к источнику.