Domanda:
Quanto è sicuro "oscurare" le informazioni sensibili utilizzando MS Paint?
Mirsad
2016-06-14 03:25:34 UTC
view on stackexchange narkive permalink

Mi chiedo se sia sicuro oscurare le informazioni sensibili da un'immagine semplicemente usando Microsoft Paint?

Prendiamo in questo scenario che i dati EXIF ​​vengono rimossi e lì non è un'immagine in miniatura, in modo che nessun dato possa essere trapelato in questo modo.

Ma mi interessa sapere se c'è qualche altro attacco, che può essere utilizzato per recuperare informazioni nascoste dall'immagine ?

Hai considerato solo di sperimentare te stesso e oscurare una piccola area dell'immagine e confrontare prima / dopo i dump esadecimali?Forse aggiungi una sfocatura gaussiana extra o altre funzionalità?
Non ancora, ce l'ho in mente ...
Intendi con "informazioni nascoste" in realtà informazioni "nascoste"?O intendi per "nascoste", informazioni che vengono rimosse?2 cose molto diverse rispetto alla tua domanda
Forse una buona pratica sarebbe quella di creare un'immagine completamente nuova tagliando e incollando sezioni della vecchia immagine nella nuova immagine.Saresti garantito di non trasferire dati.Dopo tutto, quale computer copia / incolla segretamente le sezioni che non hai selezionato?
@TheGreatDuck sicuramente il motivo per cui abbiamo anche uno stackexchange di sicurezza delle informazioni è che i computer molto spesso espongono i dati in modi non intenzionali, no?
Per le immagini piccole, oscuro le informazioni sensibili e ne faccio uno screenshot.Potrebbe richiedere molto tempo per eseguire questa operazione con un numero elevato di immagini.
Un'opzione più sicura è stampare l'immagine dopo averla "oscurata" e poi scansionarla nuovamente (con bassa risoluzione) su un altro computer.In questo modo è meno probabile che si verifichi un errore nell'utilizzo del software.
@nekomatic potrebbe essere vero, ma generalmente quando si copia un dato, vengono copiati solo quei dati.Non sarebbe un problema di sicurezza copiare dati non richiesti, ma piuttosto un problema di inefficienza.
Hmm, forse con il testo nero su immagini bianche, avrebbe più senso bianco il testo che oscurarlo.
Sebbene sia sicuro, potrebbe essere meglio riempire quella scatola nera con una versione sfocata di un'immagine falsa in cui usi una complicata funzione di diffusione dei punti invece della gaussiana standard.Le persone che sono intente a recuperare le informazioni rimosse saranno quindi tenute occupate, alcune di loro hanno abbastanza esperienza per vedere che vale la pena provare.Alla fine avranno successo con un grande sforzo, ma tutto questo sforzo sarà andato sprecato.Ciò aumenta la sicurezza perché ogni minuto speso invano sulla tua immagine è un minuto speso in meno su altre immagini potenzialmente più vulnerabili.
Correlati (e dallo stesso autore 2 anni prima;)): [La sfocatura del viso è sicura?] (Https://security.stackexchange.com/q/62529/32746)
Cosa succede se dopo aver cancellato i dati sensibili, invece di salvare il file, hai utilizzato lo strumento di cattura di Windows per ottenere un'istantanea del contenuto?In questo modo non si torna indietro di sicuro!
Sei risposte:
Ben N
2016-06-14 04:11:22 UTC
view on stackexchange narkive permalink

Come menzionato nelle risposte a una domanda molto simile, scarabocchiare su parte di un'immagine distruggerà i pixel originali, supponendo che il tuo editor non memorizzi alcun livello o annulli la cronologia nell'immagine salvata . (Paint no.) Ci sono alcune cose a cui prestare attenzione, tuttavia:

  • La larghezza della regione oscurata pone un limite superiore alla lunghezza dei dati segreti
  • L'altezza della regione potrebbe indicare agli aggressori se la rappresentazione testuale dei dati ha ascendenti o discendenti (come nelle lettere b e p )
  • Eventuali spazi nella regione vuota forniscono informazioni sulle lunghezze relative delle parti / parole dei dati (menzionate nel commento di David Schwartz)

Se usi piuttosto una sfocatura rispetto a un semplice rettangolo / pennello opaco, un aggressore determinato potrebbe provare molte diverse possibilità nell'immagine per vedere quali testi si avvicinano all'immagine quando sono sfocati. Alcuni effetti possono essere annullati quasi perfettamente, quindi assicurati che quello che usi comporti molta casualità o l'effettiva distruzione dei dati (ad esempio una pixellizzazione a blocchi). Ovviamente Paint non ha effetti speciali, quindi dovresti stare bene.

Una possibile cosa da cui fare attenzione sono gli artefatti di compressione JPEG intorno ai dati segreti, che potrebbero essere usati per ottenere indizi sul forma del testo. Non fa mai male sovrascrivere più informazioni del necessario quando sei preoccupato per la segretezza. (Questo attacco non è un problema se l'immagine non è mai passata attraverso la compressione JPEG prima della tua redazione.)

Non dimenticare che se stai bloccando le informazioni da un elenco ordinato, ecc., La sua posizione può rivelare ciò che ha detto.Ho sentito una storia degli Stati Uniti che rilasciano un elenco di città contenenti un particolare tipo di installazioni segrete della guerra fredda.Con quelli che erano ancora in uso oscurati.L'elenco era in ordine alfabetico, in modo da poter generare un elenco di città possibili per ogni blackout.Quindi, confrontando questo elenco con altri fatti, su quanto fosse ragionevole per un sito essere in essi, si potevano fare ottime ipotesi su quali città avessero ancora siti attivi.
L'inversione degli effetti di tipo sfocato non è un rischio ipotetico.Almeno un famigerato sacco di merda, [Mr.Swirl] (https://en.wikipedia.org/wiki/Christopher_Paul_Neil) è stato arrestato dopo che qualcuno ha escogitato un modo per riordinare la sua faccia nelle immagini di CP che ha condiviso.
Una regione alta e oscurata non ti dice se la rappresentazione del testo contiene discendenti o meno.Ti dice solo che potrebbe *. *
Anche "una pixelizzazione a blocchi" [potrebbe lasciare dati sufficienti per recuperare il testo oscurato] (https://dheera.net/projects/blur) —molto meglio coprirlo completamente.
@RobertHarvey: Giusto, ma una regione oscurata non alta ti dice che _non_.
"Non fa mai male sovrascrivere più informazioni del necessario quando sei preoccupato per la segretezza" - se questo è vero, portalo agli estremi e non rilasciare affatto il documento.In qualsiasi uso pratico della redazione, si "vuole" rilasciare i dati non obbligatori per essere oscurati, per un valore di "volere" che va da "vorrei" a "avere un dovere legale".
Ho visto un documento in cui il nome di una persona in particolare era oscurato.Ma c'erano solo otto persone che avrebbero potuto essere e la spaziatura delle parole intorno all'area oscurata ha permesso di eliminarle tutte tranne una.
@DavidSchwartz Con i caratteri proporzionali, sono possibili molte diverse larghezze in pixel della parola cancellata e conoscere la sua esatta lunghezza in pixel può fornire indizi sostanziali su quale parola fosse, anche se ci sono * modo * più di otto possibilità.Mentre l'area nera potrebbe non consentire a un aggressore di determinare direttamente questa lunghezza esatta in pixel, le posizioni delle parole adiacenti e la spaziatura del resto della riga potrebbero rivelarlo!
Gli artefatti JPEG che rivelano (sono influenzati da) i contenuti dell'area oscurata possono estendersi oltre un "blocco JPEG" [es.8x8 pixel]?
@Random832 Almeno in teoria, sì.Non c'è nulla che impedisca a un codificatore JPEG di eseguire un passaggio di diffusione degli errori.In pratica, sarei più preoccupato per la doppia codifica da un formato / codificatore diverso o per salvarlo con un offset di blocco diverso.
Una cosa da tenere a mente qui è che l'oscuramento non è l'unico modo per oscurare i dati.Dai un'occhiata a [questa immagine per esempio] (http://imgur.com/s8ADQlS).La lunghezza dell'immagine potrebbe essere considerata come un limite superiore, ma non c'è alcuna garanzia che l'acquisizione originale contenga il nome completo.Per curiosità, il nome originale era più lungo di "una politica".Questo può essere utilizzato anche sui paragrafi (ad esempio quando due parole su una riga devono essere vuote) modificando la posizione delle interruzioni di riga.
Quindi, per chiarire nel caso precedente, è sufficiente sostituire il testo con una copia identica di uno spazio vuoto.Che si tratti di spazi bianchi (la maggior parte degli editor di testo), un altro colore o persino un motivo.
Un modo divertente per affrontare il problema della sfocatura è cancellarlo con il colore di sfondo (strumento clone), scrivendo del testo casuale come "Sapevi che la torta di mele è deliziosa?"con lo stesso carattere, quindi sfocando _that_ pesantemente.Devi solo assicurarti che il testo che stai censurando abbia la stessa lunghezza del testo sostitutivo.
Cambiare il colore del pennello in Paint per abbinare il colore di sfondo del testo non risolverà la maggior parte dei problemi di lunghezza / altezza?
Potrebbero esserci informazioni nascoste in un'immagine dalla steganografia, ad es.per poter risalire a chi aveva fatto trapelare un documento.
Dipende anche se ti fidi di Paint come software.
Se vuoi davvero separare i metadati originali dalla nuova immagine, usa uno strumento di cattura delle foto (come lo Strumento di cattura che viene fornito con Windows) per copiarlo in Paint, apporta le tue modifiche, usa di nuovo lo Strumento di cattura per salvarlo come nuova immagine.Non dovrebbe esserci alcun modo reale per far sì che i dati che si trovavano intorno all'immagine originale siano presenti nell'immagine finale.
Quando blocchi l'indirizzo su una busta, non dimenticare di bloccare il codice a barre del punto di consegna USPS POSTNET.
Jay
2016-06-14 08:51:21 UTC
view on stackexchange narkive permalink

Idem Ben N, ma lasciami aggiungere un paio di punti che sono troppo lunghi per essere inseriti come commenti.

Sottolineerei la distinzione tra formati di dati a strati e senza strati. Disegnare una scatola nera su una sezione di un'immagine GIF, JPG o PNG distrugge i contenuti precedenti. Disegnare una scatola nera su una sezione di un'immagine nativa di Photoshop, Corel Draw o Paint Shop Pro non distrugge il contenuto precedente se si trova su un livello diverso.

Sarei molto cauto riguardo alla sfocatura. Dovresti sapere come il software fa la sfocatura. Se la sfocatura non implica alcuna casualità, se si tratta di un algoritmo deterministico, potrebbe essere possibile annullare la sfocatura con un software appropriato. In nessun modo potrei fare affidamento su di esso senza comprendere a fondo l'algoritmo. A meno che non ci fossero ottime ragioni per sfocare piuttosto che oscurare, semplicemente non lo farei.

Ovviamente qualsiasi tentativo di oscurare con blocchi pieni deve coprire completamente il contenuto originale per essere sicuro. Vuoi disegnare una scatola nera, non scarabocchiarci sopra con una penna nera che potrebbe lasciare spazi vuoti.

Alcuni formati possono mantenere un registro della cronologia interno. Non proprio la stessa cosa, ma una volta ho avuto un caso in cui la mia organizzazione ha prodotto documenti in PDF, un'altra società ha modificato quei documenti e poi ci ha rispediti. Abbiamo scoperto che erano stati introdotti errori nei documenti e, per dirla senza mezzi termini, li abbiamo incolpati. Hanno affermato che i documenti dovevano essere così all'inizio perché non l'hanno fatto. Apparentemente non sapevano che il PDF ha un registro interno di tutte le modifiche e sono stato in grado di identificare esattamente quale testo è stato modificato e l'ora e la data esatte di ogni modifica.

Nel 2005 c'è stato un caso in cui un soldato americano ha ucciso un agente segreto italiano in Iraq.Gli Stati Uniti hanno pubblicato un rapporto che conteneva informazioni riservate, incluso il nome del soldato che ha sparato.Era un PDF e le informazioni segrete erano state ricoperte da uno strato nero.È stato subito scoperto che [il testo sotto era ancora presente] (https://en.wikipedia.org/wiki/Rescue_of_Giuliana_Sgrena#Release_of_classified_information_in_US_report), e un semplice copia / incolla avrebbe rivelato tutto.Quindi questo è un rischio reale!
Nel 2007 [Christopher Paul Neil] (https://en.wikipedia.org/wiki/Christopher_Paul_Neil) è stato arrestato per pornografia infantile, perché ha usato lo strumento "twirl" di Photoshop per oscurare il suo volto.Sono stati in grado di annullare l'effetto e rivelare il suo volto: https://www.schneier.com/blog/archives/2007/10/untwirling_a_ph.html
Potrebbe valere la pena aggiornare la tua risposta poiché almeno un PNG creato in Adobe Fireworks utilizza i livelli in modo da non distruggere il contenuto sottostante.Tuttavia non sono sicuro della compatibilità incrociata con altri editor di immagini (in particolare Photoshop)
In realtà non è richiesta la casualità, solo la non reversibilità.(ad es. una funzione hash non è casuale. Né si disegna una scatola nera. Né si imposta ogni pixel sulla media di tutti i pixel in una regione. Quest'ultima riduce drasticamente il contenuto di informazioni della regione, ma contiene ancora parte della sorgenteinformazione.)
@PeterCordes Sì, parole pigre da parte mia.La casualità è * un * modo per renderlo non reversibile, ma certamente non l'unico modo o anche il modo migliore.
@CrazyDino Più precisamente, questo è il formato [APNG] (https://en.wikipedia.org/wiki/APNG) (indipendentemente dal fatto che sia effettivamente animato o meno).Come le GIF animate, i PNG animati utilizzano i livelli come fotogrammi e se un livello contiene le informazioni sensibili, non viene veramente distrutto.
@PeterCordes Anche una funzione hash è pericolosa nei casi in cui l'input ha solo pochi valori possibili: l'attaccante può semplicemente confrontare l'hash con l'hash di tutti i possibili input.
@BrunoLeFloch Suppongo di sì.Mi viene in mente un articolo che ho letto circa 20 anni fa - quindi perdonami se non riesco a ottenere i dettagli giusti - da qualcuno che ha lavorato sulla sicurezza di Unix.Ha detto che a un certo punto hanno deciso di generare password automaticamente come stringhe casuali di caratteri, piuttosto che lasciare che gli utenti creino le proprie password, per evitare "Password1" e simili.Tranne che ... la funzione del numero casuale ha preso un intero a 2 byte come seme.Quindi, anche se una stringa di (penso) 8 caratteri alfanumerici potrebbe sembrare che ci fossero centinaia di miliardi di valori possibili ... in realtà c'erano solo 64k....
... E così uno degli sviluppatori è riuscito a violare tutte le password semplicemente scappando da un elenco di tutte le 64k password e poi eseguendolo attraverso la funzione hash e confrontandolo con il file passwd.
@jay senza sale, oltre a nessuna entropia?Avrebbero dovuto saperlo meglio.
@JDługosz Apparentemente il modo in cui hanno sviluppato la sicurezza Unix è stato avere un "bravo ragazzo" che sviluppava funzioni di sicurezza e un "cattivo" che ha cercato di infrangerle, finché non hanno ottenuto cose difficili da violare.Mi sembra un lavoro divertente.
Buon punto sui livelli.Un punto dati importante: i PDF sono basati su PostScript, che è un formato [vector] (https://en.wikipedia.org/wiki/Vector_graphics).Tuttavia, possono anche contenere dati raster (immagine o bitmap).È davvero diventato un formato "contenitore", come indica questa risposta, inclusi commenti, cronologia, livelli, ecc. Contenitore = livelli.L'unico modo "sicuro" per nascondere i dati in un PDF è convertirlo prima in bitmap in modo da non poter eseguire alcun algoritmo per rasterizzarlo poiché la rasterizzazione è già stata eseguita.Ovviamente perdi l'indipendenza dalla risoluzione, ma questo è il prezzo della sicurezza.
Suici Doga
2016-06-14 08:52:24 UTC
view on stackexchange narkive permalink

Quando si oscurano le informazioni sensibili in Paint, i pixel originali vengono distrutti. Ma l'uso di Inkscape per oscurare parte di un'immagine vettoriale non distrugge i pixel, ma li copre. Se qualcuno rimuove la copertura nera, può vedere i pixel. Lo stesso vale per cose come Foxit Reader (ho quasi inviato un documento con informazioni sensibili che erano state coperte da un quadrato nero).

Quindi usare MS Paint per oscurare le informazioni sensibili è salvo. Gli artefatti JPEG potrebbero mostrare parte del testo come @BenN dice.

Basta non sfocarlo se non si sfoca abbastanza e MS Paint non supporta comunque la sfocatura.

Buon punto: anche gli editor più complicati come Photoshop hanno impostazioni di trasparenza in diversi punti, e se uno viene impostato al 98% anziché al 100%, il colore può _ sembrare_ nero, ma i dati originali sono in realtà solo mescolati con un colore quasi nero epuò essere recuperato.
geoO
2016-06-16 08:26:02 UTC
view on stackexchange narkive permalink

Poiché un programma di immagini raster che non utilizza livelli né contiene una cronologia di annullamento dopo il salvataggio, la sovrascrittura dei pixel sensibili in Paint li modifica irrevocabilmente nell'immagine salvata.

Ulteriori ragionamenti:

Microsoft Paint è un software semplice e collaudato con una lunga storia e una grande popolarità che funziona in modo nativo in semplici formati di file di immagini raster. Probabilmente a questo punto sarebbero stati scoperti gravi difetti negli algoritmi di Paint.

Quando si oscurano le informazioni in un file di immagine raster è meglio usare un formato semplice come .bmp, .jpg. I formati semplici sono molto più facili da ispezionare e storicamente hanno resistito ad attacchi forensi come il recupero dei dati.

Ovviamente, qualsiasi metodo di sicurezza può solo mostrare che non esiste alcuna vulnerabilità nota . Ma non sono riuscito a trovare la prova di alcun ripristino riuscito di informazioni oscurate o oscurate in un'immagine raster nei formati di file .bmp o .jpg che sono stati modificati utilizzando Paint.

La sanificazione dell'immagine sfocata o pixelata ha mostrato vulnerabilità alle tecniche di recupero dei dati. Ma questo è al di fuori dello scopo della domanda.

A volte una risposta molto breve è molto buona.
@Joshua No.Le risposte devono essere più lunghe per essere considerate * molto buone *.È la dimensione che conta;non solo la qualità.Inoltre, sono necessarie citazioni e ragionamenti.
@ Έρικ Κωνσταντόπουλος "Le risposte devono essere più lunghe per essere considerate molto buone."Cosa strana da dire.Una risposta dovrebbe essere lunga quanto necessario.Questa è comunque una meta domanda.
@geoO Meta?R U SRS?Questo è il sito principale, non META!
Il punto è che hai fatto una meta domanda.Sulla domanda * lunghezza. * Più lunga! = Migliore.Comunque ho ampliato notevolmente la mia risposta.Il problema è che non puoi dimostrare un negativo.Un ripristino riuscito dei dati oscurati significa che non è un metodo sicuro.Non riesco a trovare un tale attacco riuscito.Le mie ispezioni esadecimali delle bitmap modificate in Paint mostrano che il recupero dei dati non è possibile.
Erik I
2016-06-14 15:14:12 UTC
view on stackexchange narkive permalink

Già alcune buone risposte qui, dicendo che Paint è sicuro. (Non ho motivo di credere il contrario.)

Voglio solo aggiungerlo mentre oscuriamo un rettangolo che copre completamente l'area e tutte le aree circostanti (elenca le informazioni di cui fanno parte ecc.) Usando un base ben studiato il programma di modifica delle immagini dovrebbe essere abbastanza sicuro, l'uso di qualsiasi editor di immagini potrebbe non essere sicuro, come mostrato da http://www.underhanded-c.org/_page_id_17 .html

Colin
2016-06-19 07:12:56 UTC
view on stackexchange narkive permalink

Alcuni commenti sulle risposte precedenti (tutto bene - Stack Exchange è come guardare giocatori di cruciverba davvero bravi). Un argomento interessante che a volte potrebbe essere importante per la vita o la morte. (La mia immaginazione iperattiva al lavoro, ma le donne maltrattate in un rifugio la cui posizione è fondamentale da mantenere segreta sono un esempio che mi viene in mente).

Punti che non avevo considerato mi sembravano particolarmente importanti:

  1. Oscura spazi, ed ecco perché: oscura sempre di più anziché di meno. Se provassi a indovinare, presumo che una redazione breve (cioè una o due parole) sia un nome o una data (come prima approssimazione). Quindi redigete più a lungo se possibile.

  2. Sforzatevi di evitare le redazioni (in particolare quelle brevi) della stessa lunghezza. È probabile che contengano le stesse informazioni.

  3. Tutte le risposte fornite sono vere con la versione corrente di Paint (o anche un'immagine di Photoshop appiattita ed esportata come bmp, png o jpg), ma qualsiasi aggiornamento di Paint potrebbe improvvisamente introdurre l'annullamento del salvataggio, i livelli o il backup automatico. E Microsoft ha effettivamente introdotto alcune nuove funzionalità in Paint in Windows 10.

  4. Assicurarsi che il nero sia nero è, come ha sottolineato un altro poster, molto importante: un esempio che si verifica immediatamente è il testo digitalizzato (il più delle volte in scala di grigi), ma è abbastanza facile con Paint. Assicurati solo di utilizzare lo strumento rettangolo e che entrambi i selettori di colore siano impostati sul nero effettivo. (Anche se alcune abilità artistiche con lo strumento Pennello possono fornire false informazioni su ascendenti e discendenti. Non ho idea se questo sia etico o legale).

  5. Come sviluppatore, mi colpisce che potrebbe esserci un uso di uno strumento di redazione che tenga conto di tutto questo, o una macro di ricerca e redazione in Word.

  6. Ovviamente , redigere anche indizi contestuali sottili - "suo" o "lei" elimina il 50% del pool di ricerca (approssimativamente). Ma questo esula dall'ambito della domanda.

  7. Non sono sicuro della redazione del metodo per scopi legali, ma sostituire il testo redatto con [ REDATTO ] non lascerebbe quasi nessun indizio, se hai accesso al testo originale. Puoi usare questa tecnica anche in Paint, ma mascherare la lunghezza del testo originale comporterebbe molto taglio e incolla.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...