Security Professionals - ipfw add deny all from eindgebruikers to any

Risico PDF's: digitale Tipp-Ex®

27-03-2023, 23:38 door Erik van Straten, 20 reacties
TL;DR:
Als je een PDF-bestand wilt/moet verspreiden, waar vertrouwelijke informatie in staat die eerst verwijderd moet worden, ga dan niet uitsluitend met een PDF-editor aan de gang! Net als bij plaatjes die je digitaal bewerkt, bestaat de kans dat die vertrouwelijke informatie niet of onvolledig is verwijderd, ook al zie jij daar niets meer van.

Hoe dan wel
Ofwel:
•  Verwijder de vertrouwelijke passages in de PDF digitaal (verstuur/publiceer deze PDF niet!). Druk daarna de PDF af op papier en verzeker je ervan dat er geen vertrouwelijke informatie zichtbaar is op de afdruk (als het om veel pagina's gaat kan het verstandig zijn om per pagina te werken, om zo papierverspilling te voorkomen). Scan daarna het resultaat naar PDF en verspreid die laatste.

•  Druk de PDF af op papier. Leef je uit met Tipp-Ex® en/of stukjes papier en Pritt (spaarzaam) om de vertrouwelijke passages te maskeren. Wacht tot gebruikte vloeistoffen zijn opgedroogd en scan het resultaat naar PDF. Double-check de resulterende PDF visueel op achtergebleven vertrouwelijke informatie.

Gebruik in beide gevallen dusdanig afwijkende bestandsnamen dat verwisseling wel héél stom zou zijn, en laat iemand anders jouw werk controleren vóórdat het resultaat wordt verzonden of gepubliceerd.

@Security professionals: schrijf procedures, pas dataminimalisatie toe, train het personeel, vereis 4 ogen vóór publicatie, voer zelf steekproeven uit en eis directe betrokkenheid bij gevoelige dossiers!

Acrobalypse
Na de https://acropalypse.app/ in Google Pixel smartphones en iets vergelijkbaars in Windows tools (https://security.nl/posting/790258/#Windows+snipping+tool...) kwam ik vandaag een PDF "tegen" met daarin gemaskeerde vertrouwelijke informatie die ik er met twee verschillende PDF-lezers uit kon extracten - simpel door de onzichtbaar gemaakte tekst te selecteren en naar het klembord te kopiëren (*). Er was duidelijk ook over een met de hand gezette handtekening "gekrast" met een "digitale pen"; waarschijnlijk kan ik die handtekening ook uit de PDF extracten - maar niet simpel met de door mij gebruikte PDF-lezers.

(*) Voordat iemand dit overweegt: vertrouw nooit op instellingen in PDF's om kopiëren naar het klembord te blokkeren. De meeste PDF-lezers houden zich hieraan, maar garanties heb je niet.

Te veel datalekken door één partij
M.i. gaat het hierbij om een blunder van een, naar verluidt, hardleerse partij. Het gaat hier hoogstwaarschijnlijk niet om één vakkundige medewerker die deze fout kan en mag worden aangerekend (security awareness bij je personeel komt niet vanzelf aanwaaien), maar een falend systeem met ongeschikte eindverantwoordelijken. Met uiteindelijk nietsvermoedende (hier kwetsbare) landgenoten als slachtoffers die zich nauwelijks kunnen verweren en niemand die verantwoordelijkheid neemt. Niet alleen was hier sprake van gemaskeerde informatie, ook was er onnodig veel aanvullende (handgeschreven) informatie zichtbaar - die irrelevant is voor de meeste (zo niet alle) lezers.

De betreffende PDF lijkt ondertussen offline te zijn gehaald (ik heb de betreffende partij vanmiddag tegen 15:00 gewaarschuwd via een formulier (**) op hun website, na ook de AP te hebben "getipt"). Zonder hier man en paard te noemen, hoop ik dat alle security professionals die dit lezen zich serieus gaan afvragen of en hoe dit in hún organisatie geregeld is, want vergelijkbare "ongelukjes" verwacht ik op veel meer plaatsen.

(**) Naast mijn naam en e-mailadres was ook mijn telefoonnummer een verplicht veld. Omdat deze partij teveel lekt, heb ik daar hun eigen telefoonnummer ingevuld. Tip voor security professionals: maak het melders zo makkelijk mogelijk. Zeker als je het op prijs stelt als derden datalekken melden, moet je zo min mogelijk velden verplicht maken. De AP laat tippers een simpel rekensommetje uitvoeren om (een deel van de) gebruikelijke spam te voorkomen.
Reacties (20)
28-03-2023, 06:45 door Anoniem
In de praktijk blijkt de kleur van de text van die stukken op 'wit' zetten veel makkelijker te zijn! :)
28-03-2023, 09:07 door Anoniem
Ik weet al langer dat PDF's niet te vertrouwen zijn als het gaat om geheimhouding.
Geld hetzelfde voor Word documenten, trouwens...

Maar als we het hebben over het lekken van data, ook .jpg afbeeldingen kunnen dat doen.
Telkens opnieuw opslaan met kleine aanpassingen maakt het dat je aan de hand van compressie kan zien in welke volgorde iets is aangepast.
Dat hoeft niks uit te maken, maar als de tegenpartij die informatie interresant vind, dan is dat ook een risico.

Daarom ook de lijdraad:
Als je met zeer gevoelige informatie werkt, scrub je bestanden dan goed!
Heb desnoods een IT'er meekijken en/of er een standaard procedure voor opzetten!
28-03-2023, 10:00 door Anoniem
Door Erik van Straten: TL;DR:
Als je een PDF-bestand wilt/moet verspreiden, waar vertrouwelijke informatie in staat die eerst verwijderd moet worden, ga dan niet uitsluitend met een PDF-editor aan de gang! Net als bij plaatjes die je digitaal bewerkt, bestaat de kans dat die vertrouwelijke informatie niet of onvolledig is verwijderd, ook al zie jij daar niets meer van.

Hoe dan wel
Ofwel:
•  Verwijder de vertrouwelijke passages in de PDF digitaal (verstuur/publiceer deze PDF niet!). Druk daarna de PDF af op papier en verzeker je ervan dat er geen vertrouwelijke informatie zichtbaar is op de afdruk (als het om veel pagina's gaat kan het verstandig zijn om per pagina te werken, om zo papierverspilling te voorkomen). Scan daarna het resultaat naar PDF en verspreid die laatste.

•  Druk de PDF af op papier. Leef je uit met Tipp-Ex® en/of stukjes papier en Pritt (spaarzaam) om de vertrouwelijke passages te maskeren. Wacht tot gebruikte vloeistoffen zijn opgedroogd en scan het resultaat naar PDF. Double-check de resulterende PDF visueel op achtergebleven vertrouwelijke informatie.

Gebruik in beide gevallen dusdanig afwijkende bestandsnamen dat verwisseling wel héél stom zou zijn, en laat iemand anders jouw werk controleren vóórdat het resultaat wordt verzonden of gepubliceerd.



Als je als organisatie veel of vaak documenten moet anonimiseren, dan is de hobby oplossing van de originele poster niet echt werkbaar meer. Te veel handwerk, en dus kans op fouten.
Dan moet je als organisatie de afweging gaan maken of je geen anonimisering software moet aanschaffen of als dienst afnemen. (Saas; het nieuwe verdienmodel in deze markt)

De software scant de documenten op termen (uit een lijst met standaard waarden, aangevuld met die van de gebruiker), en geeft aan wat geanonimiseerd moet worden. na een visuele check waar nog aanpassingen doorgevoerd kunnen worden, wordt het document geanonimiseerd, en het resultaat opgeslagen als een nieuw plaatje/afbeelding in een pdf met een totaal andere naam.
De originele data die gemaskeerd is, is niet meer te ontlenen uit het plaatje in het definitieve document.

Je hebt nog steeds controlewerk, maar geen handwerk meer. En het resultaat ziet er altijd netjes en hetzelfde uit.
28-03-2023, 10:52 door Anoniem
Door Anoniem:
[..]
Als je met zeer gevoelige informatie werkt, scrub je bestanden dan goed!
Heb desnoods een IT'er meekijken en/of er een standaard procedure voor opzetten!

Dat schat "de IT'er" wel hoog in. Het scrubben van (meta)data is een fors specialistisch stukje IT domein, en het overgrote deel van "een ITer" uit je organisatie weet daar helemaal niks van .
28-03-2023, 11:30 door Anoniem
Open de PDF maak een screenshot van de PDF plak deze in reguliere paint applicatie of equivalent. Streep alles af wat je onzichtbaar wilt hebben open de afbeelding en maak een screenshot van de screenshot voeg de afbeeldingen terug als PDF. Gooi tijdelijke bestanden weg.

Of koop gewoon een redacting marker of security stamp en streep, stempel alles af laat even drogen en gooi het document in je scanner. Kunt ook dunne smalle ondoorzichtige zwarte tape gebruiken veel minder gedoe dan met lijm en papiertjes aan de slag te moeten. Na inscannen zet bestand om naar PDF en gooi tijdelijke bestanden weg.


Zet de PDF in een one time secret (OTS) link met verloop datum en instructies wat gedaan moet worden met het document. Zet op de OTS link een wachtwoord. Verstuur de OTS ten alle tijden wel via je eigen beheerde server geen publieke dienst.

Stuur het nodige wachtwoord via sms of andere service naar geautoriseerd persoon zonder er bij te zetten wat het voor is en bel er achteraan. Of nog beter zet het wachtwoorde in een tijdelijke shared keyvault.


En voor de love of all that is holy shred je documenten meteen.
28-03-2023, 11:41 door Briolet - Bijgewerkt: 28-03-2023, 11:44
Sommige pdf programma's geven nog een waarschuwing. b.v. als je een uitsnede van een pdf maakt, dat wel de hele inhoud behouden blijft. Alleen de zichtbaarheid wordt dan aangepast.

Veel pdf-jes bevatten een tekstlaag achter een plaatje. Mijn scanner gebruikt ook ocr om tekst uit een plaatje te halen en achter het plaatje te plakken. Op die manier kun je ook in gescande documenten zoeken. Als je alleen in het plaatje stukken wit maakt, blijft die tekstlaag intact.

Als het er om gaat om niet getoonde delen ook echt kwijt te raken, lijkt het me dat je de pdf ook als jpg kunt exporteren en daarna weer om te zetten naar een pdf. Bij het jpg formaat is er geen risico dat er een onzichtbare laag in blijft zitten. jpg kent ook geen alfakanaal waar wat kan achterblijven.

Het werken via een papieren versie die je weer moet inscannen lijkt me in de meeste gevallen van verwijderde informatie niet nodig.

Erik: In elk geval blijft het verstandig mensen te blijven waarschuwen voor het gevaar van een pdf.
28-03-2023, 11:43 door Anoniem
Door Erik van Straten: Hoe dan wel

Gebruik Dangerzone van Micah Lee, voor het veilig lezen en opschonen van potentieel gevaarlijke documenten:

https://theintercept.com/staff/micah-lee/

Dangerzone werkt als volgt: Je geeft het een document waarvan je niet weet of je het kunt vertrouwen (bijvoorbeeld een e-mailbijlage). Binnen een sandbox converteert Dangerzone het document naar een PDF (als het dat nog niet is), en converteert vervolgens de PDF naar ruwe pixelgegevens: een enorme lijst van RGB-kleurwaarden voor elke pagina. Dan, in een aparte sandbox, neemt Dangerzone deze pixelgegevens en zet ze terug om in een PDF.

Werkt onder Windows, macOS en Linux

De twee sandboxen hebben geen netwerktoegang, dus een kwaadaardig document kan dan niet naar huis bellen.
28-03-2023, 13:58 door Anoniem
Door Briolet:
Erik: In elk geval blijft het verstandig mensen te blijven waarschuwen voor het gevaar van een pdf.
Eigenlijk is het niet zo zeer "het gevaar van een PDF" maar meer "het gevaar van een PDF editor".
Oorspronkelijk was dit "een gevaar van een tekstverwerker". Als je documenten opstuurde (het bestand van je
tekstverwerker, bijv Word) dan was er het probleem dat dit bestand vaak nog vorige versies van de tekst bevatte,
ofwel omdat dit expliciet in de tekstverwerker zat als feature (verschil met vorige versie tonen) ofwel omdat de programmeur
slordig was en niet alles wat je delete ook echt uit het bestand weggepoetst werd (vergelijkbaar probleem met die rel
rond Windows knipsels die er nu is). De oplossing was dan "maak van je document een PDF, dat is een weergave van
wat er op papier komt". Dan kunnen mensen het ook niet zo makkelijk weer verder gaan bewerken.
En dat was ook zo, tot men dat weer onhandig vond en PDF editors ging maken. Dan kom je terug op hetzelfde
probleem als wat men (in dit geval) juist wilde oplossen met PDF.
28-03-2023, 14:19 door Anoniem
Door Anoniem:
Door Erik van Straten: Hoe dan wel

Gebruik Dangerzone van Micah Lee, voor het veilig lezen en opschonen van potentieel gevaarlijke documenten:

Dangerzone kan de veilige PDF's die het maakt optioneel OCR-en, zodat het weer een doorzoekbare tekstlaag heeft. :)

https://github.com/freedomofpress/dangerzone/


Er wordt aan gewerkt om Dangerzone een vast onderdeel van Tails te maken. Tot die tijd kan een IT expert de volgende procedure volgen om Dangerzone persistent onder Tails te maken:

Installing Dangerzone in Tails
micahflee @micahflee · 1 year ago

https://gitlab.tails.boum.org/tails/tails/-/issues/18135#note_172343

Dangerzone can convert these types of document into safe PDFs:

PDF (.pdf)
Microsoft Word (.docx, .doc)
Microsoft Excel (.xlsx, .xls)
Microsoft PowerPoint (.pptx, .ppt)
ODF Text (.odt)
ODF Spreadsheet (.ods)
ODF Presentation (.odp)
ODF Graphics (.odg)
Jpeg (.jpg, .jpeg)
GIF (.gif)
PNG (.png)

Dangerzone was inspired by Qubes trusted PDF

n.b. Dangerzone is de vervanging van "PDF Redact Tools" (onveilig), een project dat niet meer wordt onderhouden.
28-03-2023, 16:51 door Anoniem
Door Anoniem: Open de PDF maak een screenshot van de PDF ... etc.

Ff pdfje van 100 A4 pagina's printscreenen ...
28-03-2023, 22:40 door Anoniem
Door Erik van Straten: Druk de PDF af op papier

Scanners en fotokopieerapparaten, met een hoge resolutie, pikken zonder moeite de MIC-code tracking dots van kleurenprinters op.[1] Die dots zijn voor het blote oog niet zichtbaar. Een klokkenluider kan een dergelijk risico niet lopen. Gaat men toch over tot knippen-en-plakken, gebruik dan een veilige printer en een goede cross-cut papiervernietiger:[2] Een veilige printer en scanner zijn voor dit doel met cash gekocht en deze worden na gebruik vernietigd. Men dient beducht te zijn voor onveilige netwerkprinters en/of fotokopieermachines met een daarin verborgen interne harde schijf.[3]

[1] https://en.wikipedia.org/wiki/Machine_Identification_Code#Visibility
[2] https://en.wikipedia.org/wiki/Paper_shredder#Security_levels
[3] https://en.wikipedia.org/wiki/Photocopier#Forensic_identification
29-03-2023, 01:11 door Erik van Straten
Ik vond Acrobalypse wel aardig gevonden voor lekkende PDF's - maar kennelijk leidt dat tot minder ophef dan mijn advies ;-)

Serieus dan maar weer: PDF is een complex format waar je met gangbare tools (zoals een zip-programma en een teksteditor bij .docx bestanden, of een hex-editor) niet snel achterhaalt wat daarin is opgenomen.

O.a. Didier Stevens heeft een aantal tools geschreven voor het spitten naar malware in PDF's (https://blog.didierstevens.com/programs/pdf-tools/) waar je mogelijk ook gemaskeerde tekstfragmenten mee kunt opsporen, maar zekerheid geven doen ook deze tools niet.

Het fundamentele probleem is dat, tenzij een tool alle ins en outs van de gebruikte PDF-versie (met niet uit te sluiten ongedocumenteerde PDF-writer-specifieke extensies en/of implementatiefouten) kent, én die tool volledig en bugvrij is, én die tool géén informatie achterhoudt die de maker oninteressant leek, je nooit zeker weet of er informatie in een bestand verstopt zit die jij niet ziet - maar een ander mogelijk wel zichtbaar kan maken.

Door zo'n bestand af te drukken kun je zelf, met je eigen ogen, zien welke informatie een ontvanger van een naar PDF (evt. met OCR) omgezette scan zal zien (los van evt. fouten als OCR wordt toegepast).

Nb. zelfs dat sluit niet uit dat er bewust aangebrachte patronen (steganografie) in de tekst "gesmokkeld" worden, maar dat was in dit geval niet het risico (het ging om het verwijderen van persoonsgegevens die de doelgroep niets aangaan). Als je tevens het "naar buiten smokkelen" van vertrouwelijke informatie wilt voorkómen, heb je een nóg grotere uitdaging (en geen enkele garantie dat je alles vindt).

Met de door anderen in deze pagina voorgestelde puur digitale oplossingen heb je simpelweg minder zekerheid (behoudens screenshots maken en die naar PDF converteren, maar dat lijkt mij meer werk; bovendien zie ik op papier regelmatig dingen die ik op een scherm over het hoofd zie). En bij SaaS-oplossingen loop je ook nog eens het risico dat derden potentieel toegang hebben tot mogelijk aanwezige vertrouwelijke informatie in documenten die jij wilt "schoonpoetsen".

Kortom: digitaal maskeren, afdrukken en die afdruk (na visuele inspectie) weer scannen naar PDF, is wellicht niet de snelste en milieuvriendelijkste oplossing voor het onderhavige probleem, maar wel de zekerste. Waarbij "[...] shred je documenten meteen" m.i. wél een goed advies is.
29-03-2023, 06:05 door Anoniem
Door Erik van Straten: Kortom: digitaal maskeren, afdrukken en die afdruk (na visuele inspectie) weer scannen naar PDF, is wellicht niet de snelste en milieuvriendelijkste oplossing voor het onderhavige probleem, maar wel de zekerste. Waarbij "[...] shred je documenten meteen" m.i. wél een goed advies is.

Blijft het probleem over dat niet digitaal maskeren arbeidsintensief is. Het zal werken voor een enkele of een paar pagina's (misschien zelfs die 100 A4-tjes), maar niet voor een groot volume.
Denk bv aan een grote overheidsorganisatie met veel WOB/WOO verzoeken. (ook zo'n verdienmodel)

Tenzij je daar dan weer mankracht (met bijbehorende kosten, beschikbaarheid, (in)consequente zorgvuldigheid) tegen aan kan gooien.
Maar wij leven niet in China of India met hun bevolkingsoverschot.
29-03-2023, 09:41 door Anoniem
Door Anoniem: Het scrubben van (meta)data is een fors specialistisch stukje IT domein

Investigating Visual Media
Behind the Data: Investigating metadata
first published on December 1, 2017

https://exposingtheinvisible.org/en/guides/behind-the-data-metadata-investigations/

Activists, experts, investigative journalists and human rights defenders are increasingly taking an interest in metadata, as are governments and corporations. Using metadata has proven helpful in various cases in fighting corruption, or as a weapon to crackdown on dissidents and human rights defenders.
29-03-2023, 10:27 door Anoniem
Je kunt ook naar een PDF-bestand printen en dan 'force rasterization' oid aanzetten. Eventuele digitale markeringen die eerst als aparte laag aanwezig waren overschrijven dan effectief de tekst waar ze overheen lagen. Wordt het bestand wel groter van en de tekst is niet meer doorzoekbaar, maar je hebt er geen speciale tools voor nodig.
29-03-2023, 11:35 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Kortom: digitaal maskeren, afdrukken en die afdruk (na visuele inspectie) weer scannen naar PDF, [...]
Blijft het probleem over dat niet digitaal maskeren arbeidsintensief is.
Lezen?
29-03-2023, 13:27 door Anoniem
Door Erik van Straten: Ik vond Acrobalypse wel aardig gevonden voor lekkende PDF's

Erik maakte een spelfout: ACropalypse

https://en.wikipedia.org/wiki/ACropalypse
29-03-2023, 17:13 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Ik vond Acrobalypse wel aardig gevonden voor lekkende PDF's

Erik maakte een spelfout: ACropalypse

https://en.wikipedia.org/wiki/ACropalypse
Als ik een toepasselijk woord bedenk dat (nog) niet op Wikipedia staat, wil dat niet zeggen dat het dus een spelfout is.

Zelfs DDG kent het woord al: https://duckduckgo.com/?q=%22acrobalypse%22.
30-03-2023, 06:04 door Anoniem
Hoe werkt het digitrale 'zwart lakken' dan?
Waarom kleven er risico's aan?

Alles wat de staat verliezen kan, gaat sowieso 75 achter slot.
Staasgeheim.
30-03-2023, 08:32 door Anoniem
Binnen de overheid heb je te maken met twee verplichtingen. Ten eerste de plicht om alle stukken duurzaam op te slaan en te bewaren en dat wil zeggen in pdf/a format. Daarnaast hebben burgers het recht om middels de Wet Open overheid (WOO) informatie op te vragen.
Bij een verzoek moeten soms tientallen of meer stukken worden verzameld, beoordeeld en eventueel geschoond worden om vrij te geven. Schonen wil meestal alleen zeggen dat er strenge regels zijn wat wel mag worden verwijderd en meestal is dit alleen privacy informatie. (dit om eventuele wappies voor te zijn).
Voor de overheid is het heel lastig om te schonen want echt goede oplossingen hebben we in de praktijk nog niet gezien. Veelal is het dus een welwillende ambtenaar die moet gaan schonen. Zoals hierboven beschreven is het dus een drama om dit goed te kunnen doen en zeer tijdrovend. Transparantie is niets op tegen maar dan moet het wel praktisch haalbaar zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.