"As aparências iludem", diz o ditado. A mesma noção aplica-se ao conteúdo digital, onde pessoas com intenções maliciosas podem enganar os nossos olhos e fazê-los acreditar no que querem que vejamos online. Para ilustrar este caso, enquanto a nossa equipa analisava amostras de malware, deparámo-nos com um caso interessante que envolvia um ficheiro PDF, informações sensíveis e a possibilidade de uma violação de dados.
Uma imagem, ou duas?
Tínhamos um ficheiro que continha uma imagem de uma praia deserta, ou assim parecia.
O ficheiro parecia inócuo. Não havia nada de suspeito nele. Mas depois de o passar pelo motor Deep CDR (Desarmamento e Reconstrução de Conteúdos), descobrimos que havia de facto duas imagens:
<</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 160490/Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
Quando abrimos o ficheiro num leitor de texto, reparámos que a etiqueta referente à segunda imagem tinha sido ocultada:
A etiqueta alternativa que especifica a imagem como predefinida para impressão:
<</Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
A imagem oculta é definida por esta etiqueta:
14 0 obj <</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 47955>>
A utilização de etiquetas alternativas no PDF permite aos autores definir a imagem que é apresentada quando impressa. Isto significa que, se houver informação sensível na segunda imagem, alguém pode passá-la para uma fonte externa e visualizá-la com um clique no botão de impressão. Depois de imprimir o ficheiro, eis o que vimos no papel. O ficheiro impresso contém três números de cartão de crédito, que podem ser Informações Pessoais Identificáveis (IPI) sensíveis.
Como se depreende deste exemplo, esta tática pode ser explorada para expor informações confidenciais, causando violações de dados ou violações da conformidade regulamentar. Pior ainda, os maus actores podem utilizar este estratagema para envolver outras pessoas na transmissão de informações confidenciais sem o saberem. Manhoso, não é?
Como é que lidamos com informações confidenciais ocultas?
As informações sensíveis, como números de segurança social, números de cartões de crédito, endereços IPv4 ou Classless Inter-Domain Routing (CIDR), são susceptíveis de violações de dados e de violações da conformidade regulamentar.
Uma boa prática para evitar a perda e exposição de dados é verificar constantemente o conteúdo dos ficheiros transferidos. OPSWAT Proactive DLP A prevenção de perda de dados (Data Loss Prevention) detecta e bloqueia dados sensíveis e confidenciais em ficheiros e mensagens de correio eletrónico. Todos os ficheiros carregados ou descarregados de aplicações Web, ou transferidos através de proxies Web, gateways seguros, firewalls de aplicações Web e sistemas de armazenamento, podem ser cuidadosamente verificados antes de serem utilizados com Proactive DLP.
Proteger informações sensíveis e evitar a perda de dados com Proactive DLP
Proactive DLP detecta e bloqueia dados sensíveis em mais de 30 tipos de ficheiros suportados. As informações confidenciais detectadas em PDFs, documentos do MS Word e folhas de cálculo do MS Excel serão automaticamente editadas.
Proactive DLP pode verificar a existência de informações confidenciais baseadas em imagens , tirando partido do Reconhecimento Ótico de Caracteres (OCR) para detetar e eliminar dados confidenciais em ficheiros PDF só de imagem ou em ficheiros PDF com imagens incorporadas. A tecnologia também remove metadados que contêm informações potencialmente confidenciais, tais como nome, empresa, assunto, localização GPS, autor e muito mais. O ficheiro final redigido incluirá marcas de água para maior segurança, responsabilidade e rastreabilidade.
Proactive DLP é uma tecnologia OPSWAT na Prevenção de Perda de Dados e é uma das principais soluções em MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosk, , e MetaDefender Managed File Transfer. Para saber mais sobre Proactive DLP e como OPSWAT pode proteger a sua organização, fale com um dos nossos especialistas em cibersegurança de infra-estruturas críticas.
*Agradecimentos especiais a Peter Simon por ter descoberto e tratado deste caso. Simon é um dos nossos talentosos e dedicados engenheiros de software da equipa Proactive DLP .
