.doc檔洩露機密

毛慶禎

輔仁大學圖書資訊學系

2003/10/1

《我不用.doc檔》已經是自由軟體社群裡的習慣, .doc檔隱藏若干令人尷尬的資訊, 貪圖方便的使用者, 有意或無意地忽視這個處境, 任由這些晦澀的專屬檔案格式到處流竄, 甚至洩露國家安全機密。

==============
英國的慘痛經驗
==============

.doc檔最近更惹出人命。

英國首相辦公室在2002年九月發表的伊拉克武器現況的文件上添油加醋, 強調伊拉克可以在四十五分鐘內啟動生化武器, 以強化民眾和國會對伊拉克開戰的支持。到了2003年六月, .doc檔洩露整個事件的始末, 在首相辦公室的授意下, 英國國防部伊拉克武器顧問凱利承認向英國國家廣播公司指述該文件的內容造假, 在接受國會的調查後, 於壓力下喪命。

事情是這樣的, 2003年2月6日, 英國首相辦公室公佈伊拉克情報檔案, 把該檔案以.doc檔的格式, 在網站上公布, 任人下載; 好事者以工具分析後, 發現有四個人參與該檔案的製作, 新聞記者很快就找出這四個人的服務單位, Paul Hamill(外交部)、John Pratt(首相秘書)、Alison Blackshaw(首相私人新聞秘書)、Murtaza Khan(首相新聞秘書)。

英國國會在6月23日舉行聽證會, 檢討英國以不實情報引發伊拉克戰爭的作為, 發現足以佐證.doc檔檔頭記載的事實, 首相秘書John Pratt把硬碟裡的檔案轉存在磁碟片裡, 交給首相私人新聞秘書Alison Blackshaw, 轉給美國國務卿包威爾, 直接在聯合國的會議公佈。

這份文件聲稱其資料來自情報單位, 假裝它是全新的研究成果, 其實它抄襲自以色列一個學術機構的研究生論文等公開資料, 打字錯誤及蹩腳的文法都沒有調整, 不但沒有徵求同意, 也沒有附註。

雖然, 這個檔案已經從官方網站被移除, 仍可從其他地方下載。布萊爾政府學乖了, 續公佈另一個伊拉克情報檔案時, 祗有.pdf檔, 再也不敢以.doc檔做為官文書的檔案格式。

==========
洩露的資訊
==========

根據2003年4月的一份研究指出, 從網路上隨意摘取公開的十萬份.doc檔, 幾乎每份都有令人尷尬的私密資訊, 半數的.doc檔隱藏50個字私密資訊, 三分之一的.doc檔隱藏500個字私密資訊, 其他的.doc檔則隱藏500字以上的私密資訊。

這些私密資訊的內容很雜, 大體可分為幾類:
  1. 著者及修訂者的姓名及暱稱
  2. 機構名稱
  3. 軟體版本及文件格式
  4. 儲存檔案的路徑
  5. 編製文件的電腦機型
  6. 印表機型
  7. 電子郵件信頭及伺服器
  8. 已被刪除的部份文字
  9. 同時開檔的其他文件
軟體廠商非常清楚該軟體隱藏資訊的功能, 辯稱其為.doc檔的銓釋資料(metadata), 並且建議21種方法, 消除這些銓釋資料。

不過, 最後一項私密資訊, 很明顯地是軟體錯誤; 同時打開兩個.doc檔, 把第一個檔案存檔, 以電子郵件傳送給他人, 第二個檔案的內容也同時被附在裡面。不管基於什麼理由, 都沒有必要這麼做。

========
執法單位
========

軟體的瑕疪誰來管? 隱匿瑕疪, 廠商有責任嗎?

產品的瑕疪常導致鉅額賠償官司, 小口果凍是最有名的例子, 把盛香珍公司弄得狼狽不堪; 汽車的瑕疪, 一定全面召回檢修; 飛機空難被調查出機械瑕疪、維修不良或機組人員訓練未落實, 其賠償金額都是天價。

使用者授權合約(EULA)保護軟體的製造商, 規定使用者放棄對於任何產品瑕疵的告訴權, 歷次的法院判決也認可這些授權條款的合法性, 除非發生人命, 軟體廠商是不受產品瑕疪的影響。

八月份全球性的疾風電腦病毒(MSBlast), 肇因於軟體本身的漏洞, 廠商事先知情, 卻故意不去修補, 這個部份是否有責任, 尚有待查明。

不過, 想到.doc檔會洩露機密, 看到各級政府機關的公文大量使用.doc檔, 各級學校把製作.doc列為資訊教育的一環, 再看看對岸三令五申要求政府單位採用國產軟體, 實在為我們的國家安全捏把冷汗。

不僅.doc檔洩漏隱私, 同系列的.xls .ppt也是如此。其實, 祗要把.doc檔另存新檔時, 選擇 .rtf .html .pdf等格式, 都可以避免把該等私密資訊散布出去。
參考資料
  1. 洪朝貴, 我不用 .doc 檔, http://www.cyut.edu.tw/~ckhung/a/c_91.shtml
  2. 病毒通知: W32.Blaster.Worm/ Nachi, Blaster-D, Welchia, http://www.microsoft.com/taiwan/support/content/W32Blaster.HTM
  3. Glen Rangwala, [casi] Intelligence? the British dossier on Iraq's security infrastructure, 05 Feb 2003,  http://www.casi.org.uk/discuss/2003/msg00457.html
  4. Richard M. Smith, Microsoft Word bytes Tony Blair in the butt, June 30, 2003,  http://www.computerbytesman.com/privacy/blair.htm
  5. 英國政府在2003年1月30日公佈的伊拉克情報檔案,Iraq's Security and Intelligence Network: A Guide and Analysis, 原來在http://www.number-10.gov.uk/output/Page7111.asp, 已被拿掉, 可以從這裡讀取第三者的備份http://www.computerbytesman.com/privacy/blair.doc
  6. 劍橋大學 Dr Glen Rangwala, Claims in Secretary of State Colin Powell’s UN Presentation concerning Iraq, 5th Feb 2003, http://middleeastreference.org.uk/powell030205.html
  7. 公開的.doc檔幾乎全部都含有令人尷尬的私密資料, Simon Byers, Scalable Exploitation of, and Responses to Information Leakage: Through Hidden Data in Published Documents, 2003/04/03, http://www.user-agent.org/word_docs.pdf
  8. Antiword: a free MS Word document reader, http://www.winfield.demon.nl/
  9. catdoc and xls2csv - free MS-Office format readers, http://www.45.free.net/~vitus/ice/catdoc/; 連結至其他11種相關的軟體
  10. The hidden dangers of documents: Dot.life - how technology changes us By Mark Ward, http://news.bbc.co.uk/1/hi/technology/3154479.stm

毛慶禎
臺北縣新莊市輔仁大學圖書資訊學系
Tel: 02 29031111 ext 2334, 3244(研究室) - Fax: 02 29017405
E-mail: mao@blue.lins.fju.edu.tw
http://www.lins.fju.edu.tw/mao/works/nodoc.htm