Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Pixelvormende tekst leidt tot informatielekkage, waarschuwt firma

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 237

Beveiligingsonderzoeker Dan Petro heeft altijd last gehad van beveiligingsonderzoeker Dan Petro. Intuïtief wist hij dat de techniek nog te veel informatie lekte over de onderliggende tekst.

Toen een andere onderzoeker een uitdaging op Twitter plaatste om een ​​gepixelde zin te ontcijferen, ging Petro, een hoofdonderzoeker bij het offensieve beveiligingsbedrijf Bishop Fox, aan het werk. In de komende zes maanden creëerde hij een tool die in wezen een woordenboekaanval uitvoert op de versluierde tekst.

"Het heeft me altijd dwars gezeten omdat ik wist dat dit geen veilige manier van redactie was", zegt hij. "Het is duidelijk dat de techniek informatie lekt en er moet een manier zijn om de tekst er weer uit te krijgen."

Gisteren heeft Petro een analyse van het probleem vrijgegeven en zijn open source-tool uitgebracht, niet-recensent, zodat anderen zijn werk kunnen repliceren. De JumpSec-onderzoeker die de uitdaging oorspronkelijk gepost bevestigde Petro dat hij de willekeurige tekst correct had hersteld.

De blogpost herinnert er tijdig aan dat slechte redactie kan leiden tot gegevenslekken, maar andere onderzoekers hebben het probleem de afgelopen twee decennia onderzocht.

In 2005 schetste een paper gepubliceerd door onderzoekers van Lehigh University en een documentverwerkingsbedrijf de vele manieren waarop redactie informatie kan lekken. De tekst mag bijvoorbeeld niet volledig worden verduisterd, of bepaalde kenmerken, zoals stijg- en druppelaars, kunnen zichtbaar zijn met onvolledige redactie. Als er een beperkt aantal trefwoorden is, kan de lengte van de geredigeerde tekst bovendien overeenkomen met het trefwoordenwoordenboek.

Onderzoekers hebben zich ook specifiek gericht op pixelvorming als een gebrekkige redactiemethode. In een 2014 blogpost, bijvoorbeeld, schetste een ingenieur op het gebied van machine learning en robotica de wiskunde achter het herstellen van gepixelde tekst. In een meer uitgebreide onderzoekspaper uit 2016, schetsten vier onderzoekers de grenzen van het gebruik van een probabilistische benadering die bekend staat als een Hidden Markov-model, dat goed presteerde - met herkenningspercentages van beter dan 80% - zelfs bij het werken aan afbeeldingen van lage kwaliteit. Herkenningspercentages namen alleen af ​​wanneer tekst een significante mozaïek- of vervagingsradius had van meer dan 20 of meer pixels - een indicatie van hoeveel informatie wiskundig met elkaar wordt gemengd om het vervagingseffect te bereiken.

"Mozaïeken en vervaging zijn populaire vormen van redactie omdat ze een zekere esthetische aantrekkingskracht hebben op het blote oog", aldus de onderzoekers in dat artikel. “De beelden die deze methodes opleveren zijn zeer suggestief voor tekst; als gevolg daarvan verstoren ze het visuele uiterlijk van documenten niet in dezelfde mate als uitgesneden of black-boxmethoden voor redactie. Maar hoewel mozaïekvorming en vervaging verliesgevende transformaties zijn, bewaren ze veel meer informatie dan de meeste gebruikers beseffen.”

Pixelvorming vervaagt informatie door de resolutie van een bepaald stuk tekst in wezen te verminderen - 12-punts tekst die 16 pixels verticaal kan gebruiken, kan bijvoorbeeld worden vertaald naar een raster van 4 pixels hoog. Een aanvaller die weet dat de wazige afbeelding tekst is, kan de onderliggende informatie herstellen als hij de lettergrootte en het werkelijke lettertype kent.

"Dit zijn redelijk redelijke veronderstellingen, zou ik willen beweren, aangezien de aanvaller in een realistisch scenario waarschijnlijk een volledig rapport zou hebben ontvangen, met slechts één stuk geredigeerd", Petro verklaarde in zijn blogpost van 15 februari. "In onze uitdagingstekst zie je een paar woorden direct boven de gepixelde tekst die ons deze informatie geeft."

In veel opzichten is het probleem vergelijkbaar met hashing, omdat een bepaalde pixelmethode een woord verandert in een uniek patroon van pixels. In tegenstelling tot hashing, waarbij de resultaten over het algemeen diffuus moeten zijn, kan pixelvorming teken voor teken worden opgelost, in een Hollywood-achtige volgorde om wachtwoorden te kraken - zoals te zien is in de video voor de Redacter-tool. Diffusie is een eigenschap van veilige hashing-functies, waarbij een kleine verandering in de invoer leidt tot een geheel andere uitvoer.

Petro is niet de eerste ontwikkelaar van een programma om gepixelde tekst te herstellen. Een ander programma, Depix, hanteert een vergelijkbare benadering, maar de onderzoeker van Bishop Fox ontdekte dat de resultaten erg gevoelig zijn voor ruis in het invoerbeeld. Onderzoekers bij beveiligingsbedrijf Positive Security andere methoden onderzocht, inclusief manieren om de resolutie van gezichtsafbeeldingen van miniaturen met een lage resolutie te verbeteren.

Bedrijven zouden in plaats daarvan een zwarte doos moeten gebruiken voor redactie. Zolang alle delen van de gevoelige tekst worden afgedekt, lekt de techniek weinig informatie, zegt Petro.

"De enige veilige manier om tekst te redigeren is een zwarte balk die de tekst volledig bedekt, omdat zelfs een kleine hoeveelheid informatie de gegevens in gevaar kan brengen", zegt hij. "Zelfs dan moet je je zorgen maken over contextuele aanwijzingen", zoals de lengte van de geredigeerde tekst.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.