"L'apparenza inganna", recita l'adagio. Lo stesso concetto si applica ai contenuti digitali, dove persone con intenti malevoli possono ingannare i nostri occhi e farci credere ciò che vogliono che vediamo online. Per illustrare questo caso, mentre il nostro team analizzava campioni di malware, ci siamo imbattuti in un caso interessante che riguardava un file PDF, informazioni sensibili e la possibilità di una violazione dei dati.
Un'immagine o due?
Avevamo un file che conteneva un'immagine di una spiaggia deserta, o almeno così sembrava.
Il file sembrava innocuo. Non c'era nulla di sospetto. Ma dopo averlo fatto passare attraverso il motore Deep CDR (Content Disarm and Reconstruction), abbiamo scoperto che in realtà c'erano due immagini:
<</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 160490/Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
Quando abbiamo aperto il file in un lettore di testo, abbiamo notato che il tag relativo alla seconda immagine era stato nascosto:
Il tag alternativo che specifica l'immagine come predefinita per la stampa:
<</Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
L'immagine nascosta è definita da questo tag:
14 0 obj <</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 47955>>
L'uso di tag alternativi all'interno del PDF consente agli autori di definire quale immagine viene visualizzata quando viene stampata. Ciò significa che se nella seconda immagine sono presenti informazioni sensibili, qualcuno può trasmetterle a una fonte esterna e visualizzarle con un clic sul pulsante di stampa. Dopo aver stampato il file, ecco cosa abbiamo visto sulla carta. Il file stampato contiene tre numeri di carta di credito, che potrebbero essere informazioni sensibili di identificazione personale (PII).
Come risulta evidente da questo esempio, questa tattica può essere sfruttata per esporre informazioni riservate, causando violazioni dei dati o della conformità normativa. Peggio ancora, i malintenzionati possono usare questo stratagemma per coinvolgere altre persone a trasmettere informazioni sensibili senza saperlo. Subdolo, vero?
Come gestire le informazioni sensibili nascoste?
Informazioni sensibili come numeri di previdenza sociale, numeri di carte di credito, indirizzi IPv4 o Classless Inter-Domain Routing (CIDR) sono suscettibili di violazioni dei dati e della conformità normativa.
Una buona pratica per prevenire la perdita e l'esposizione dei dati è quella di controllare costantemente il contenuto dei file trasferiti. OPSWAT Proactive DLP (Data Loss Prevention) rileva e blocca i dati sensibili e riservati contenuti nei file e nelle e-mail. Ogni file caricato o scaricato dalle applicazioni web o trasferito attraverso proxy web, gateway sicuri, firewall per applicazioni web e sistemi di archiviazione può essere controllato a fondo prima di essere utilizzato con Proactive DLP.
Proteggere le informazioni sensibili e prevenire la perdita di dati con Proactive DLP
Proactive DLP rileva e blocca i dati sensibili in oltre 30 tipi di file supportati. Le informazioni sensibili rilevate nei PDF, nei documenti MS Word e nei fogli di calcolo MS Excel vengono automaticamente ridotte.
Proactive DLP è in grado di verificare la presenza di informazioni sensibili basate su immagini , sfruttando il riconoscimento ottico dei caratteri (OCR) per rilevare ed eliminare i dati riservati nei file PDF contenenti solo immagini o nei file PDF con immagini incorporate. La tecnologia rimuove anche i metadati contenenti informazioni potenzialmente riservate come nome, azienda, soggetto, posizione GPS, autore e altro ancora. Il file finale eliminato includerà filigrane per una maggiore sicurezza, responsabilità e tracciabilità.
Proactive DLP è una tecnologia di OPSWAT per la prevenzione della perdita di dati ed è una delle soluzioni chiave per la prevenzione della perdita di dati. MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosk, e MetaDefender Managed File Transfer. Per saperne di più su Proactive DLP e su come OPSWAT può proteggere la vostra organizzazione, parlate con uno dei nostri esperti di cybersicurezza delle infrastrutture critiche.
*Un ringraziamento speciale a Peter Simon per aver scoperto e gestito questo caso. Simon è uno dei nostri talentuosi e dedicati ingegneri software del team Proactive DLP .
