美軍安全敗在「複製與貼上」手下

| | | | | | 留下回應

    

這些檔案的一部分已經過電子方式「塗黑」處理，但顯然局外人仍可能把塗黑的部分剪貼到另一個文字檔案，進而查出隱藏的文字為何。

該檔案是一篇書面調查報告，調查的主題是義大利公民Nicola Calipari在伊拉克檢查站遭襲致死的來龍去脈。內含關於事情發生經過的機密與非機密資訊。事件發生在3月4日，檔案描述當天巴格達控制點的交通情況。美軍後來自網際網路移除該檔案，但先前已有幾個網站已複製該檔案並張貼在網路上。

軍方採用電子技術遮掩原始檔中部分詞句和段落的作法，顯然犯了一個錯誤。(根據美聯社的報導，創造PDF格式的Adobe Systems表示，顯然有心人士是用黑色長方形框蓋在敏感資料的上方，而不是刪除文字。)

用這種技術，的確可保護資料，免於在網路上閱讀或列印出來。但駭客仍可選擇把塗黑處理的文字標示起來，然後運用複製與貼上的簡單功能，即可輕易用任何文書處理軟體完整重現檔案內容。

亞太檔案安全專業公司Workshare的經理Samia Rauf說，把機密內容隱藏起來而不予消除的錯誤很常見。

「軍方把文字塗黑處理，卻未在周圍(perimeter)層次做好保護檔案的措施，」Raud。

Rauf指出，這種與隱藏資料有關的問題，不只局限於PDF檔案格式。

她說，使用諸如微軟Word等應用軟體時，犯下這類型錯誤的機率，其實比人們想像中來得常見。

「每一個Word文件檔都內含解釋資料(metadata)，但可怕的是，90%的人不知道它的存在，」Rauf說：「解釋資料很有用，如果某個檔案當了，你就可以自動回復，把一切資料都救回來。」

「任何人都可能犯這種錯誤--我們就聽說某家法律事務所遺失客戶資料，只因為檔案傳出時啟動「追蹤變化」(track changes)的功能。」（唐慧文）