Quanto è sicuro l'oscuramento delle informazioni sensibili utilizzando MS Paint?

201

Mi chiedo se è sicuro oscurare le informazioni sensibili da un'immagine semplicemente usando Microsoft Paint ?

Consideriamo lo scenario in cui i dati EXIF sono stati rimossi e non c'è nessuna immagine in miniatura, in modo che nessun dato possa essere trapelato in questo modo.

Ma mi interessa sapere se esiste un altro attacco, che può essere usato per recuperare informazioni nascoste dall'immagine?

    
posta Mirsad 14.06.2016 - 00:25
fonte

6 risposte

221

Come menzionato nelle risposte a una domanda molto simile , scribacchiare su parte di un'immagine distruggerà l'originale pixel, assumendo che l'editor non memorizzi alcun livello o annulli la cronologia nell'immagine salvata. (Vernice no.) Ci sono alcune cose a cui prestare attenzione, però:

  • La larghezza della regione oscurata pone un limite superiore alla lunghezza dei dati segreti
  • L'altezza della regione potrebbe dire agli aggressori se la rappresentazione testuale dei dati ha ascendenti o discendenti (come nelle lettere b e p )
  • Qualsiasi spazio nella regione oscurata fornisce informazioni sulla lunghezza relativa delle parti / parole dei dati (menzionate in Il commento di David Schwartz )

Se usi una sfocatura piuttosto che un rettangolo / pennello opaco, un determinato attaccante potrebbe provare molte diverse possibilità nell'immagine per vedere quale testo si avvicina alla tua immagine quando è sfocato. Alcuni effetti possono essere annullati quasi perfettamente, quindi assicurati che quello che usi implichi molta casualità o distruzione effettiva dei dati (ad esempio una pixellizzazione a blocchi). Ovviamente, Paint non ha effetti speciali, quindi dovresti stare bene.

Una possibile cosa da tenere in considerazione è la presenza di artefatti di compressione JPEG attorno ai dati segreti, che potrebbero essere utilizzati per ottenere indizi sulla forma del testo. Non fa mai male sovrascrivere più informazioni del necessario quando sei preoccupato della segretezza. (Questo attacco non è un problema se l'immagine non è mai passata attraverso la compressione JPEG prima della tua redazione.)

    
risposta data 14.06.2016 - 01:11
fonte
62

Ditto Ben N, ma lascia che aggiunga un paio di punti che sono troppo lunghi per essere inseriti come commenti.

Vorrei sottolineare la distinzione tra formati di dati stratificati e non stratificati. Disegnare una scatola nera su una sezione di un'immagine GIF, JPG o PNG distrugge i contenuti precedenti. Disegnare una scatola nera su una sezione di un'immagine nativa di Photoshop, Corel Draw o Paint Shop Pro non distrugge il contenuto precedente se si trova su un livello diverso.

Sarei molto cauto riguardo alla sfocatura. Dovresti sapere come il software fa la sfocatura. Se la sfocatura non implica alcuna casualità, se si tratta di un algoritmo deterministico, potrebbe essere possibile annullare la sfocatura con un software appropriato. In nessun modo mi baserei su di esso senza comprendere a fondo l'algoritmo. A meno che non ci fosse una buona ragione per sfocare piuttosto che il black out, io non lo farei.

Naturalmente qualsiasi tentativo di redazione con blocchi solidi deve coprire completamente il contenuto originale per essere sicuro. Vuoi disegnare una scatola nera, non scribacchiare su di essa con una penna nera che potrebbe lasciare degli spazi vuoti.

Alcuni formati potrebbero conservare un registro cronologico interno. Non proprio la stessa cosa, ma una volta ho avuto un caso in cui la mia organizzazione ha prodotto documenti in PDF, un'altra azienda ha modificato quei documenti e poi li ha inviati a noi. Abbiamo scoperto che gli errori erano stati introdotti nei documenti e, per dirla senza mezzi termini, li incolpava. Sostenevano che i documenti dovevano essere così fin dall'inizio perché non lo facevano. Apparentemente non erano a conoscenza del fatto che il PDF ha un registro interno di tutte le modifiche e sono stato in grado di identificare esattamente quale testo è stato modificato e l'ora e la data esatte di ogni modifica.

    
risposta data 14.06.2016 - 05:51
fonte
20

Quando si eliminano le informazioni sensibili in Paint, i pixel originali vengono distrutti. Ma usare Inkscape per oscurare parte di un'immagine vettoriale non distrugge i pixel, ma li copre. Se qualcuno rimuove la copertina nera, può vedere i pixel. Lo stesso vale per cose come Foxit Reader (ho quasi inviato un documento con informazioni sensibili che erano state coperte con un quadrato nero) .

Quindi usare MS Paint per oscurare le informazioni sensibili è sicuro. Gli artefatti JPEG potrebbero mostrare parte del testo come @BenN dice .

Basta non sfocare se non sfocatura abbastanza e MS Paint non supporta comunque l'effetto sfocato.

    
risposta data 14.06.2016 - 05:52
fonte
15

Poiché un programma di immagini raster che non utilizza livelli né contiene una cronologia di annullamento dopo il salvataggio, la sovrascrittura dei pixel sensibili in Paint li modifica in modo irrevocabile nell'immagine salvata.

Altri ragionamenti:

Microsoft Paint è un semplice software collaudato con una lunga storia e una grande popolarità che funziona in modo nativo in semplici formati di file di immagini raster. Seriamente difetti negli algoritmi di Paint sarebbero stati probabilmente scoperti ormai.

Quando si riducono le informazioni in un file di immagine raster è meglio usare un formato semplice come .bmp, .jpg. Semplici formati sono molto più facili da ispezionare e storicamente hanno resistito a tali attacchi legali come il recupero dei dati.

Naturalmente, qualsiasi metodo di sicurezza può solo mostrare che non esiste alcuna vulnerabilità nota . Ma non sono riuscito a trovare la prova di un recupero riuscito di informazioni oscurate o cancellate in un'immagine raster nei formati di file .bmp o .jpg modificati con Paint.

L'igienizzazione delle immagini sfocata o con pixel ha mostrato vulnerabilità alle tecniche di recupero dei dati. Ma questo è al di fuori della portata della domanda.

    
risposta data 16.06.2016 - 05:26
fonte
13

Già alcune buone risposte qui, dicendo che Paint è sicuro. (Non ho motivo di credere altrimenti.)

Voglio solo aggiungere che mentre oscurando un rettangolo che copre completamente l'area e qualsiasi area circostante (elenca le informazioni che fanno parte di ecc.) usando un programma di editing di immagini ben studiato di base dovrebbe essere abbastanza sicuro, usando semplicemente any l'editor di immagini potrebbe non essere sicuro, come mostrato dal link

    
risposta data 14.06.2016 - 12:14
fonte
7

Alcuni commenti sulle risposte precedenti (tutto bene - Stack Exchange è come guardare dei buoni giocatori di cruciverba.) Un argomento interessante che a volte potrebbe essere la vita e la morte importanti. (La mia immaginazione iperattiva al lavoro, ma le donne maltrattate in un rifugio la cui posizione è fondamentale per mantenere il segreto sono un esempio che mi viene in mente).

Punti che non avevo considerato che mi sembrassero particolarmente importanti:

  1. Riduci gli spazi ed ecco perché: riduci sempre di più anziché di meno. Se stavo cercando di indovinare, assumerei una breve (cioè una o due parole) redazione per essere un nome o una data (come prima approssimazione). Quindi redatta più a lungo se possibile.

  2. Cerca di evitare le redazioni (particolarmente brevi) della stessa lunghezza . Quelle potrebbero contenere le stesse informazioni.

  3. Tutte le risposte fornite sono vere con la versione corrente di Paint (o anche con un'immagine di Photoshop appiattita ed esportata come bmp, png o jpg), ma qualsiasi aggiornamento di Paint può improvvisamente introdurre undo-through-save, o livelli o backup automatico. E Microsoft ha introdotto alcune nuove funzionalità in Paint in Windows 10.

  4. Accertarsi che il nero sia il nero è, come un altro poster ha sottolineato, molto importante - un esempio che si verifica immediatamente è il testo scansionato (più spesso in scala di grigi), ma è abbastanza facile con Paint . Assicurati di utilizzare lo strumento rettangolo e entrambi i selettori di colore sono impostati sul nero effettivo. (Anche se alcuni elementi artistici con lo strumento Pennello possono fornire informazioni false su ascendenti e discendenti.Se questo è etico o legale non ne ho idea).

  5. Come sviluppatore, mi sembra che ci possa essere un uso per uno strumento di redazione che tiene conto di tutto questo, o una macro di ricerca e redazione in Word.

  6. Ovviamente, cancella anche gli indizi contestuali sottili - "suo" o "lei" elimina il 50% del pool di ricerca (approssimativamente). Ma questo deriva dall'ambito di applicazione della domanda.

  7. Non sono sicuro della redazione del metodo per scopi legali, ma la sostituzione del testo redatto con [ REDACTED ] non lascerebbe quasi alcun indizio, se si ha accesso al testo originale. Potresti usare questa tecnica anche in Paint, ma mascherare la lunghezza del testo originale implicherebbe un sacco di operazioni di copia e incolla.

risposta data 19.06.2016 - 04:12
fonte

Leggi altre domande sui tag