Düzenlenmiş Belgeler Düşündüğünüz Kadar Güvenli Değil


Levchenko, “Redaksiyonu güya doğru bir şekilde yapsanız bile, metni kaldırsanız bile, redaksiyona tabi tutulan içeriğe bağlı pek çok gizli bilgi vardır ve bu bile bilgi sızdırabilir,” diyor Levchenko. “PDF’deki bir adı düzeltirseniz, saldırganın herhangi bir bağlamı varsa – bunun bir Amerikalı olduğunu biliyorlar – yüksek olasılıkla bu adı kurtarabilir veya çok küçük bir aday listesine indirgeyebilirler. ”

Edact-Ray, gliflerin boyutuna (genel olarak karakterler veya harfler) ve bunların konumlandırılmasına odaklanır. “Birçok insan için ‘L’ harfinin ‘M’ harfinden daha ince olduğu ve sadece ‘L’ harfini düzeltirseniz, bunun bir redaksiyondan farklı olduğunu söyleyebileceğiniz oldukça açıktır. sadece ‘M’ harfi,” diyor Bland. Araç, neyin değiştirildiğini tahmin etmek için redaksiyonun boyutunu ve harflerin konumunu önceden tanımlanmış bir kelime “sözlüğü” ile otomatik olarak karşılaştırabilir.

Yazılım, orijinal belgenin – örneğin Microsoft Word’de – nasıl üretildiği çıkarım yapılarak ve ardından belgenin ayrıntılarında tersine mühendislik yapılarak oluşturulur. Levchenko, “Bu bize metnin nasıl düzenlendiğini anlatıyor” diyor. “Bunu öğrendikten sonra, bu aracın metni nasıl düzenlediğine ve belgenin geri kalanında nasıl ve hangi bilgileri depoladığına dair bir modelimiz var.” Buradan, orijinal metnin ne olabileceğini simüle etmek ve bir dizi potansiyel veya muhtemel eşleşme üretmek nihai olarak mümkündür. Ekip, test sırasında saniyede 80.000 tahmini ortadan kaldırmayı başardı.

Ekibin araştırma makalesi, “Örneğin, 10 noktalı Calibri kullanılarak Microsoft Word seti tarafından oluşturulan bir PDF’den bir soyadının çıkarılmasının, tüm vakaların yüzde 14’ünde adı benzersiz bir şekilde tanımlamak için yeterli artık bilgi bıraktığını bulduk.” “hassas redaksiyonların kapsamı üzerinde bir alt sınır” olması muhtemeldir.

Redaksiyon tekniklerini inceleyen Lehigh Üniversitesi’nde bilgisayar bilimi profesörü olan Daniel Lopresti, araştırmanın etkileyici olduğunu söylüyor. Araştırmaya dahil olmayan Lopresti, “Bir belgenin tipografisinin neredeyse görünmez yönlerinden yararlanmak da dahil olmak üzere, redaksiyon araçlarına ve bunların kırılma yollarına ilişkin kapsamlı bir çalışma sunuyor” diyor. “Çizdiği resim ürkütücü; çoğu zaman redaksiyon kötü yapılır.”

Araştırmada vurgulanan gerçek dünyadaki redaksiyon hatalarından etkilenen kuruluşların büyük çoğunluğu (ABD Adalet Bakanlığı, ABD mahkemeleri sistemi, Genel Müfettişlik Ofisi ve Adobe dahil) WIRED’in yorum talebine yanıt vermedi. Bland ve araştırma makalesi, birçok kuruluşun ekibin araştırmasıyla ilgilendiğini söylüyor.

Microsoft, PDF’lere dönüştürülen Word belgelerinden sızan verileri ele almadı. Microsoft Kıdemli Direktörü Jeff Jones, “Müşteriler bir belgeyi PDF olarak kaydedebilir, ancak bilgileri sansürlemek veya gizlemek redaksiyon aracının rolüdür” diyor. Jones, insanların verileri ve dosyalarını paylaşılacak bir biçime dönüştürmeden önce “incelemeleri” gerektiğini ekliyor.



Source link