"A látszat néha csal" - tartja a mondás. Ugyanez a gondolat érvényes a digitális tartalomra is, ahol a rosszindulatú szándékú emberek becsaphatják a szemünket, hogy elhiggyük, amit online látni akarnak. Ezt az esetet szemléltetendő, miközben csapatunk rosszindulatú szoftvermintákat elemzett, egy érdekes esetbe botlottunk, amely egy PDF-fájlt, érzékeny információkat és egy esetleges adatszivárgás lehetőségét érintette.
Egy kép, vagy kettő?
Volt egy fájlunk, amely egy képet tartalmazott egy elhagyatott tengerpartról, legalábbis úgy tűnt.
A fájl ártalmatlannak tűnt. Semmi gyanús nem volt benne. De miután lefuttattam a Deep CDR (Content Disarm and Reconstruction) motoron, felfedeztük, hogy valójában két kép van benne:
<</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 160490/Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
Amikor megnyitottuk a fájlt egy szövegolvasóban, észrevettük, hogy a második képre utaló címkét elrejtettük:
Az alternatív címke, amely a képet alapértelmezettként határozza meg a nyomtatáshoz:
<</Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
A rejtett képet ez a címke határozza meg:
14 0 obj <</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 47955>>
Az alternatív címkék használata a PDF-ben lehetővé teszi a szerzők számára, hogy meghatározzák, milyen kép jelenjen meg nyomtatáskor. Ez azt jelenti, hogy ha a második képen érzékeny információk vannak, valaki továbbíthatja azt egy külső forrásnak, és a nyomtatás gomb megnyomásával megtekintheti azt. A fájl kinyomtatása után a következőt láttuk a papíron. A kinyomtatott fájl három hitelkártyaszámot tartalmaz, ami érzékeny, személyazonosításra alkalmas információ (PII) lehet.
Amint az ebből a példából is kiderül, ez a taktika kihasználható bizalmas információk felfedésére, ami adatvédelmi incidenseket vagy a jogszabályi megfelelés megsértését eredményezheti. Ami még rosszabb, a rossz szereplők ezt a trükköt arra is felhasználhatják, hogy más embereket is bevonjanak az érzékeny információk tudtukon kívül történő átadásába. Alattomos, nem igaz?
Hogyan kezeljük a rejtett érzékeny információk kezelését?
Az olyan érzékeny információk, mint a társadalombiztosítási számok, hitelkártyaszámok, IPv4-címek vagy a Classless Inter-Domain Routing (CIDR) érzékenyek az adatvédelmi incidensek és a jogszabályi megfelelés megsértése szempontjából.
Az adatvesztés és az adatok kiszolgáltatottságának megelőzésére jó gyakorlat az átvitt fájlok folyamatos tartalmi ellenőrzése. OPSWAT Proactive DLP (Data Loss Prevention) felismeri és blokkolja az érzékeny és bizalmas adatokat a fájlokban és e-mailekben. Minden webes alkalmazásból feltöltött vagy letöltött, illetve webes proxykon, biztonságos átjárókon, webes alkalmazás tűzfalakon és tárolórendszereken keresztül továbbított fájl alaposan ellenőrizhető használat előtt a Proactive DLP segítségével.
Védje az érzékeny információkat és előzze meg az adatvesztést a következőkkel Proactive DLP
Proactive DLP több mint 30 támogatott fájltípusban észleli és blokkolja az érzékeny adatokat. A PDF-ekben, MS Word dokumentumokban és MS Excel táblázatokban felismert érzékeny információk automatikusan törlésre kerülnek.
Proactive DLP az optikai karakterfelismerés (OCR) segítségével ellenőrizheti a képalapú érzékeny információkat, hogy felismerje és töröljön bizalmas adatokat a csak képeket tartalmazó PDF-fájlokban vagy a beágyazott képeket tartalmazó PDF-fájlokban. A technológia eltávolítja a potenciálisan bizalmas információkat tartalmazó metaadatokat is, mint például a név, a vállalat, a téma, a GPS-helyszín, a szerző és így tovább. A végső, szerkesztett fájl vízjeleket tartalmaz a fokozott biztonság, az elszámolhatóság és a nyomon követhetőség érdekében.
A proaktív DLP az OPSWAT technológia az adatvesztés-megelőzésben, és az egyik legfontosabb megoldás a következő területeken. MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosk, és MetaDefender Managed File Transfer. Ha többet szeretne megtudni a proaktív DLP-ről és arról, hogy az OPSWAT hogyan védheti meg szervezetét, beszéljen kritikus infrastruktúrák kiberbiztonsági szakértőink egyikével.
*Külön köszönet Peter Simonnak az ügy felfedezéséért és kezeléséért. Simon a Proactive DLP csapat egyik tehetséges és elkötelezett szoftvermérnöke.
