Onderzoek: veiligheidsdiensten lekken gevoelige data via pdf-bestanden
Tientallen veiligheidsdiensten wereldwijd lekken gevoelige data via pdf-bestanden omdat ze de documenten niet of niet goed opschonen, zo blijkt uit onderzoek van de Franse onderzoeksorganisatie INRIA. Voor het onderzoek werden bijna 40.000 pdf-bestanden van 75 veiligheidsdiensten uit 47 landen geanalyseerd.
Bij 76 procent van de bestanden lukte het de onderzoekers om te achterhalen met welke tool en op welk besturingssysteem de pdf was gemaakt. Door pdf-bestanden van dezelfde bron over een langere tijd te verzamelen kan het gedrag van een bepaalde medewerker worden achterhaald, aldus de onderzoekers. Zo kan bijvoorbeeld duidelijk worden of software regelmatig wordt geüpdatet.
Zo vonden de onderzoekers een medewerker van een veiligheidsdienst die zijn software over een periode van vijf jaar niet had geüpdatet. Deze informatie is met name interessant voor aanvallers die het hebben gemunt op medewerkers met een "slecht softwaregedrag", stellen de onderzoekers verder.
Door het analyseren van de pdf-bestanden van verschillende medewerkers van dezelfde dienst is het ook mogelijk om het softwarebeleid van de betreffende dienst te achterhalen. Tenminste negentien van de onderzochte veiligheidsdiensten in de dataset blijken dezelfde software voor meer dan twee jaar te gebruiken. Zo'n 38 veiligheidsdiensten doen het beter en updaten of veranderen geregeld hun software.
Verder blijkt dat 24 procent van de onderzochte pdf-bestanden is opgeschoond. Zeven van de 47 veiligheidsdiensten schonen hun documenten op voordat ze die op internet publiceren. De manier waarop dit gedaan wordt laat echter te wensen over. Bij 65 procent van de opgeschoonde pdf-bestanden is het namelijk nog steeds mogelijk om gevoelige informatie te achterhalen. Slechts drie veiligheidsdiensten weten hun pdf-documenten op een adequate wijze op te schonen.
"Ons onderzoek laat zien dat de gepubliceerde pdf-bestanden van verschillende veiligheidsdiensten niet zijn opgeschoond op een niveau van wat je van dergelijke organisaties mag verwachten", zo concluderen de onderzoekers. "Veel pdf-bestanden die deze diensten publiceren bevatten verborgen informatie die is te gebruiken om hun medewerkers aan te vallen." Veiligheidsdiensten worden dan ook aangeraden om hun pdf-bestanden beter op te schonen.
Het rapport "Exploitation and Sanitization of Hidden Data in PDF Files" bevat een overzicht van de 47 betreffende veiligheidsdiensten. Nederlandse diensten zijn niet in het onderzoek meegenomen.
In Kladblok copy-pasten en dan terugplakken in een nieuw document.
In Kladblok copy-pasten en dan terugplakken in een nieuw document.
Uh, een nieuw document (word, pdf) waarin weer veel metadata blijft hangen ?
Overigens zijn er niet zo veel documenten die bruikbaar blijven na een rondje kladblok.
Tabellen, grafieken, plaatjes, en zelfs een nette indeling van hoofdstuk, paragraaf helpen veel om een document leesbaar te houden. Daar verlies je veel of bijna alles van na een rondje door kladblok.
Beetje meer denkwerk als je wilt laten zien dat je het beter kan ...
In Kladblok copy-pasten en dan terugplakken in een nieuw document.
En plaatjes, logo's, grafieken en tabellen?
In Kladblok copy-pasten en dan terugplakken in een nieuw document.
Uh, een nieuw document (word, pdf) waarin weer veel metadata blijft hangen ?
Overigens zijn er niet zo veel documenten die bruikbaar blijven na een rondje kladblok.
Tabellen, grafieken, plaatjes, en zelfs een nette indeling van hoofdstuk, paragraaf helpen veel om een document leesbaar te houden. Daar verlies je veel of bijna alles van na een rondje door kladblok.
Beetje meer denkwerk als je wilt laten zien dat je het beter kan ...
De context begrijpen zonder dat deze uitgespeld is blijkbaar lastig, maar wellicht overschat ik mijn publiek. De door jou gequote opmerking ging uiteraard over het opschonen van documenten, niet over metadata. Van dat laatste begrijpt iedereen ook zonder nadere uitleg wel dat dat niet gaat helpen. Sowieso betreft het natuurlijk een opmerking met een knipoog, want dergelijke trucjes om opmaak plat te slaan kennen evidente beperkingen.
Maar goed, mea culpa. Ik had op een grootmeester die open deuren intrapt moeten rekenen.
In Kladblok copy-pasten en dan terugplakken in een nieuw document.
En plaatjes, logo's, grafieken en tabellen?
In Kladblok copy-pasten en dan terugplakken in een nieuw document.
En plaatjes, logo's, grafieken en tabellen?
ASCII art.
In Kladblok copy-pasten en dan terugplakken in een nieuw document.
En plaatjes, logo's, grafieken en tabellen?
ASCII art.
Een goatse?
Het mooiste lek dat ik eens gelezen heb was een document van de FBI die alles zwart had gemaakt. Echter, als je de zwarte gemaakte tekst met de muis selecteerde, was deze gewoon zichtbaar EN kopiëerbaar. Het bleek dat ze alleen de achtergrond hadden zwarte gemaakt.
Artikel stond op The Register.
dat er oudere versies van de software gebruikt worden hoeft niks mis mee te zijn als je snapt dat de systemen om rapporten en dergelijke te maken waarschijnlijk helemaal niet aan Internet hangen, dus dat probleem is wel te overzien. maar je weet het nooit....
het probleem zit dus toch overal tussen de rugleuning en het toetsenbord
Ik ken wel exiftools maar pdf "metadata tools" heb ik nooit gebruikt.
In Kladblok copy-pasten en dan terugplakken in een nieuw document.
Uh, een nieuw document (word, pdf) waarin weer veel metadata blijft hangen ?
Overigens zijn er niet zo veel documenten die bruikbaar blijven na een rondje kladblok.
Tabellen, grafieken, plaatjes, en zelfs een nette indeling van hoofdstuk, paragraaf helpen veel om een document leesbaar te houden. Daar verlies je veel of bijna alles van na een rondje door kladblok.
Beetje meer denkwerk als je wilt laten zien dat je het beter kan ...
De context begrijpen zonder dat deze uitgespeld is blijkbaar lastig, maar wellicht overschat ik mijn publiek. De door jou gequote opmerking ging uiteraard over het opschonen van documenten, niet over metadata. Van dat laatste begrijpt iedereen ook zonder nadere uitleg wel dat dat niet gaat helpen. Sowieso betreft het natuurlijk een opmerking met een knipoog, want dergelijke trucjes om opmaak plat te slaan kennen evidente beperkingen.
Maar goed, mea culpa. Ik had op een grootmeester die open deuren intrapt moeten rekenen.
Goh...
Topic start over opschonen van metadata .
Geen verdere context.
"suggestie" om de boel naar plat ascii te duwen als oplossing.
Commentaar dat dat evidente nadelen heeft .
Recovery dat je bedoelt documenten "op te schonen" , maar niet metadata .
Opschonen in de zin van verlies van alle formatting en tabellen,grafieken etc ? Aparte definitie van 'opschonen' - des te meer vanaf een topicstart over opschonen van metadata waarin informatie over auteur/systeemomgeving lekt.
Hint : smileys zijn uitgevonden om een knipoog aan te geven in text - juist omdat de fysieke uitdrukking van een spreker ontbreekt .
Het barst hier van de mensen die werkelijk stomme suggesties serieus menen.
Jij beweert dat je post wel zo leek, maar niet zo bedoeld was... Uh. Vast.
Misschien kent je omgeving je - en weten ze wel dat je humor bedoelt en een dom idee een grapje is. Als anonieme poster op forum krijg je die coulance niet.
Ik ken wel exiftools maar pdf "metadata tools" heb ik nooit gebruikt.
Pagina 5 :
N/A (= Not Applicable - geen tool dus)
pdfxplr
strings
grep
exiftool
Oftewel 'veel met het handje' .
PDF is een feitelijk een programmeertaal - vrijwel postscript .
Met ietwat oefening is het wel leesbaar en begrijpelijk .
Maak dus een paar 'Hello World' documenten in PDF, en kijk naar alles wat erin en er omheen zit.
Niet dus.
De schrijvers van het artikel gebruikten pdfTeX-1.40.21.
Weliswaar de 'stable version' van 27 maart 2020, maar zeker niet de meest recente versie waarin alle bugs zijn verholpen!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.