"Görünüş aldatıcı olabilir" diye bir atasözü vardır. Aynı kavram, kötü niyetli kişilerin çevrimiçi ortamda görmemizi istedikleri şeylere inanmamız için gözlerimizi kandırabildiği dijital içerikler için de geçerlidir. Bu durumu açıklamak için, ekibimiz kötü amaçlı yazılım örneklerini analiz ederken, bir PDF dosyası, hassas bilgiler ve veri ihlali potansiyelini içeren ilginç bir vakayla karşılaştık.
Bir Görüntü mü, İki mi?
Elimizde ıssız bir plajın görüntüsünü içeren bir dosya vardı, ya da öyle görünüyordu.
Dosya zararsız görünüyordu. Şüpheli bir şey yok. Ancak çalıştırdıktan sonra Deep CDR (Content Disarm and Reconstruction) motorunu kullandığımızda, aslında iki görüntü olduğunu keşfettik:
<</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 160490/Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
Dosyayı bir metin okuyucuda açtığımızda, ikinci resme atıfta bulunan etiketin gizlendiğini fark ettik:
Görüntüyü yazdırma için varsayılan olarak belirten alternatif etiket:
<</Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
Gizli görüntü bu etiket tarafından tanımlanır:
14 0 obj <</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 47955>>
PDF içinde alternatif etiketlerin kullanılması, yazarların yazdırıldığında hangi görüntünün görüntüleneceğini tanımlamasına olanak tanır. Bu, ikinci görüntüde hassas bilgiler varsa, birisinin bunu harici bir kaynağa aktarabileceği ve yazdır düğmesine tıklayarak görüntüleyebileceği anlamına gelir. Dosyayı yazdırdıktan sonra, kağıt üzerinde gördüklerimiz şunlardı. Yazdırılan dosya, hassas Kişisel Tanımlanabilir Bilgi (PII) olabilecek üç kredi kartı numarası içeriyor.
Bu örnekten de anlaşılacağı üzere, bu taktik gizli bilgileri açığa çıkarmak için kullanılabilir ve veri ihlallerine veya mevzuata uygunluk ihlallerine neden olabilir. Daha da kötüsü, kötü niyetli kişiler bu taktiği kullanarak diğer kişilerin hassas bilgileri bilmeden aktarmasını sağlayabilir. Sinsice, değil mi?
Gizli Hassas Bilgilerle Nasıl Başa Çıkıyoruz?
Sosyal güvenlik numaraları, kredi kartı numaraları, IPv4 adresleri veya Sınıfsız Etki Alanları Arası Yönlendirme (CIDR) gibi hassas bilgiler veri ihlallerine ve mevzuata uygunluk ihlallerine açıktır.
Veri kaybını ve verilerin açığa çıkmasını önlemek için iyi bir uygulama, aktarılan dosyaların içeriğini sürekli kontrol etmektir. OPSWAT Proactive DLP (Veri Kaybını Önleme) dosyalar ve e-postalardaki hassas ve gizli verileri tespit eder ve engeller. Web uygulamalarından yüklenen veya indirilen veya web proxy'leri, güvenli ağ geçitleri, web uygulaması güvenlik duvarları ve depolama sistemleri aracılığıyla aktarılan her dosya, Proactive DLP ile kullanılmadan önce kapsamlı bir şekilde kontrol edilebilir.
Hassas Bilgileri Koruyun ve Veri Kaybını Önleyin Proactive DLP
Proactive DLP desteklenen 30'dan fazla dosya türündeki hassas verileri tespit eder ve engeller. PDF'lerde, MS Word belgelerinde ve MS Excel elektronik tablolarında tespit edilen hassas bilgiler daha sonra otomatik olarak redakte edilecektir.
Proactive DLP Optik Karakter Tanıma (OCR) özelliğinden yararlanarak görüntü tabanlı hassas bilgileri kontrol edebilir ve yalnızca görüntü içeren PDF dosyalarındaki veya gömülü görüntü içeren PDF dosyalarındaki gizli verileri tespit edip düzeltebilir. Teknoloji ayrıca isim, şirket, konu, GPS konumu, yazar ve daha fazlası gibi potansiyel olarak gizli bilgiler içeren meta verileri de kaldırır. Redakte edilen son dosya, gelişmiş güvenlik, hesap verebilirlik ve izlenebilirlik için filigranlar içerecektir.
Proactive DLP Veri Kaybını Önleme alanında bir OPSWAT teknolojisidir ve veri kaybı önleme alanındaki temel çözümlerden biridir. MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kioskve MetaDefender Managed File Transfer. Proactive DLP ve OPSWAT 'un kuruluşunuzu nasıl koruyabileceği hakkında daha fazla bilgi edinmek için kritik altyapı siber güvenlik uzmanlarımızdan biriyle görüşün.
*Bu vakayı keşfettiği ve ele aldığı için Peter Simon'a özel teşekkürler. Simon, Proactive DLP ekibindeki yetenekli ve kendini işine adamış yazılım mühendislerimizden biridir.
