Para esconder dados sensíveis e imagens na internet, a grande maioria recorre a ferramentas de desfocagem, pixelização e giro. Entretanto, de acordo com um pesquisador, esta é “uma maneira inútil, ruim, insegura, e segura de conseguir que dados seus sensíveis vazem”. Isso porque esta semana, ele demonstrou a capacidade de recuperar completamente textos redatados que haviam usado técnicas de pixelização.

Dan Petro, o principal pesquisador da empresa de segurança ofensiva Bishop Fox, escreveu na última quarta-feira (16) uma ferramenta de código aberto capaz de reconstruir textos a partir de imagens encobertas e pixeladas. Unredacter, como é chamada, está disponível na plataforma GitHub e pode ser usada por qualquer pessoa, segundo Petro.

Reversão dos pixels encobertos

“Os criadores de conteúdo e jornalistas devem estar cientes dos riscos adicionais ao redigir informações em vídeos e usar um tamanho suficientemente alto de mosaico/borrões, ou melhor ainda, usar uma caixa opaca e monocolorida”, diz o pesquisador da Positive Security Fabian Bräunlein.

O pesquisador concorda, em vez de utilizar pixelização para publicar imagens sensíveis online, Petro mostra que é mais seguro simplesmente usar barras opacas sobre o texto a ser escondido. “Sem pixelização, sem desfoque, sem ruídos, sem redemoinhos”, recomenda ele.

Movido por um desafio aberto da Jumpsec Labs para decifrar um texto em uma imagem, Petro começou a estudar várias técnicas de pixelização e desobstrução para chegar a uma solução, que foi a vencedora.

Pixelização para esconder texto e imagem não é tão segura quanto se imaginava

Imagem pixelizada enviada para o pesquisador. Imagem: Bishop Fox

A pedido da empresa de pesquisa em segurança digital, Petro revelou parcialmente a solução. “Cheguei a Caleb Herbert da Jumpsec, e eles confirmaram que meu palpite estava correto”, afirma Petro. “Caleb também me pediu que não revelasse a solução, para que você mesmo lesse isto. (Está embaçado acima, e não há como você ler um texto embaçado, certo?)”.

Pixelização para esconder texto e imagem não é tão segura quanto se imaginava

Texto não editado recuperado de pixels — apenas os 4 primeiros caracteres mostrados. Imagem: Bishop Fox

Curiosamente, a solução parcialmente divulgada por Petro é borrada em vez de pixelizada. Assim, outros podem continuar o desafio de suas próprias maneiras, sem serem capazes de recuperá-la a partir da imagem embaçada de Petro.

Como a pixelização funciona

Pixelização para esconder texto e imagem não é tão segura quanto se imaginavaPixelização para esconder texto e imagem não é tão segura quanto se imaginava

Em um post no blog da Bishop Fox, o pesquisador explica como é possível reverter textos pixelizados explicando o funcionamento do método. “O algoritmo é bastante simples; você divide sua imagem em uma grade de um determinado tamanho de bloco (o exemplo acima é 8×8). Então, para cada bloco, você define a cor da imagem redacionada igual à cor média do original para aquela mesma área. É isso mesmo — apenas uma média de pixels contínuos para cada bloco”.

Pixelização para esconder texto e imagem não é tão segura quanto se imaginava

Imagem: Bishop Fox

“O efeito mais ou menos “mancha” a informação da imagem ao longo de cada bloco. Mas enquanto algumas informações se perdem no processo, elas vazam absolutamente muito. E é esta informação vazada usaremos a nosso favor”, explica o especialista.

Petro observa que, por ser tão simples, o algoritmo é amplamente usado. Desta forma, se a redação foi realizada em programas de edição como GiMP, Photoshop ou basicamente em qualquer outra ferramenta, isso pouco importará, pois ela se tornará a mesma.

Posteriormente, Petro supõe informações “bastante razoáveis” que um atacante saiba em um contexto em que tenha provavelmente recebido um relatório completo, com apenas uma parte redigida, como:

  • O tipo de fonte do texto redatado;
  • O tamanho da fonte do texto redigido;
  • Que a redação é de texto, para começar.

Soluções similares usada em imagens de baixa resolução

Apesar de conhecidas ferramentas similares, como o Google Brain, que já foi capaz de fornecer funcionalidade como “zoom e melhoria” para fotos, baseada sob extensa pesquisa; e o Depix, que tenta fazer exatamente o que Unredacter faz, mas nenhuma solução concreta lançada até agora prometia recuperação precisa do texto presente nas imagens pixeladas, ao mesmo tempo em que o ruído era removido.

Em janeiro, de acordo com o The Hacker News, os pesquisadores da Positive Security propuseram métodos similares para reverter conteúdos pixelizados em vídeos.

Pixelização para esconder texto e imagem não é tão segura quanto se imaginava

Google Brain reconstrói imagens (centro) a partir de imagens de baixa resolução fornecidas (esquerda).
A coluna da direita mostra as imagens reais antes da pixelização. Imagem: Google

No post, Petro explica que o Depix tenta fazer exatamente isso, mas por meio de um “um processo realmente inteligente de procurar que permutações de pixels poderiam ter resultado em certos blocos pixelizados, dada uma sequência De Bruijn”. Entretanto, ele explica que “um pesquisador da Jumpsec apontou que talvez ela não funcione tão bem na prática quanto se gostaria”.

Pixelização para esconder texto e imagem não é tão segura quanto se imaginava

Texto parcialmente recuperado pelo Depix na segunda linha a partir da entrada pixelizada. Imagem: GitHub

Unredacter: ferramenta recupera texto encoberto por pixels

O sucesso em decifrar o desafio proposto pela Jumpsec levou o pesquisador em conjunto com a Bishop Fox a lançar a Unredacter, uma ferramenta de código aberto disponível no GitHub.

Abaixo é possível observar a ferramenta reconstruindo o texto original — totalmente e corretamente — a partir de uma entrada pixelada dada:

Pixelização para esconder texto e imagem não é tão segura quanto se imaginava

Imagem: GitHub

Além de evitar “esconder” informações sensíveis com desfoque, pixelização ou redemoinhos, Petro também incluiu as seguintes observações. “Ao redigir o texto, ele deve ser editado como uma imagem, adverte o pesquisador, em vez de ser obscurecido usando o estilo HTML/CSS simples. Por exemplo, o texto mascarado usando a mesma cor de fundo do próprio corpo do texto pode ser revelado trivialmente quando destacado. A última coisa que você precisa depois de fazer um grande documento técnico é vazar acidentalmente informações sensíveis por causa de uma técnica de redação insegura”, conclui o pesquisador.

 

Com informações de The Hacker News e BleepingComputer

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários
plugins premium WordPress