Metnin ortalama değerleri temsil eden piksellerle değiştirildiği pikselleştirme kullanarak metni bulanıklaştırmaya yönelik yaygın uygulama, güvenlik araştırmacısı Dan Petro’yu her zaman rahatsız etti. Sezgisel olarak, tekniğin altta yatan metin hakkında hala çok fazla bilgi sızdırdığını biliyordu.
Başka bir araştırmacı Twitter’da pikselli bir ifadeyi deşifre etmek için bir meydan okuma yayınladığında, saldırgan güvenlik şirketi Bishop Fox’ta baş araştırmacı olan Petro işe koyuldu. Sonraki altı ay boyunca, esasen karıştırılmış metne karşı bir sözlük saldırısı gerçekleştiren bir araç yarattı.
“Bu beni her zaman rahatsız etmiştir çünkü bunun güvenli bir redaksiyon yöntemi olmasının hiçbir yolu olmadığını biliyordum” diyor. “Açıkçası teknik bilgi sızdırıyor ve metni tekrar çıkarmanın bir yolu olmalı.”
Dün Petro sorunun bir analizini yayınladı ve açık kaynak aracını yayınladı, düzeltici olmayan, böylece başkaları onun çalışmalarını çoğaltabilir. JumpSec araştırmacısı başlangıçta meydan okumayı yayınladı Petro’ya rastgele metni doğru bir şekilde kurtardığını onayladı.
Blog gönderisi, yetersiz redaksiyonun veri sızıntısına yol açabileceğini zamanında hatırlatıyor, ancak diğer araştırmacılar sorunu en az son yirmi yılda araştırdı.
2005 yılında, Lehigh Üniversitesi’ndeki araştırmacılar ve bir belge işleme şirketi tarafından yayınlanan bir makale, redaksiyonun bilgi sızdırmasının birçok yolunu özetledi. Örneğin, metin tamamen karartılmamış olabilir veya yükselenler ve alçalanlar gibi belirli özellikler eksik redaksiyonla görünebilir. Ayrıca, sınırlı sayıda anahtar kelime varsa, düzeltilmiş metnin uzunluğu anahtar kelime sözlüğüyle eşleşmeye izin verebilir.
Araştırmacılar ayrıca kusurlu bir redaksiyon yöntemi olarak özellikle pikselleştirmeye odaklandılar. İçinde 2014 blog yazısıörneğin, bir makine öğrenimi ve robotik mühendisi pikselli metinleri kurtarmanın ardındaki matematiği özetledi. İçinde daha kapsamlı bir 2016 araştırma makalesi, dört araştırmacı, düşük kaliteli görüntüler üzerinde çalışırken bile %80’den daha iyi tanıma oranlarıyla iyi performans gösteren, Gizli Markov Modeli olarak bilinen olasılıklı bir yaklaşımı kullanmanın sınırlarını belirledi. Tanıma oranları, yalnızca metin önemli bir mozaik veya 20 veya daha fazla pikseli aşan bulanıklık yarıçapına sahip olduğunda düştü; bu, bulanıklık efektini elde etmek için ne kadar bilginin matematiksel olarak karıştırıldığının bir göstergesidir.
Araştırmacılar, bu makalede, “Mozaikleme ve bulanıklaştırma, çıplak gözle belirli bir estetik çekiciliğe sahip oldukları için popüler redaksiyon biçimleridir” dedi. “Bu yöntemlerin ürettiği görüntüler, metni oldukça düşündürür; sonuç olarak, belgelerin görsel görünümünü redaksiyon için kesme veya kara kutu yöntemleriyle aynı ölçüde bozmazlar. Ancak mozaikleme ve bulanıklaştırma kayıplı dönüşümlerdir. , çoğu kullanıcının fark ettiğinden çok daha fazla bilgiyi saklarlar.”
Pikselleştirme, belirli bir metin parçasının çözünürlüğünü esasen azaltarak bilgileri bulanıklaştırır – örneğin dikey olarak 16 piksel kullanabilen 12 noktalı metin, örneğin 4 piksel yüksekliğinde bir ızgaraya çevrilebilir. Bulanık görüntünün metin olduğunu bilen bir saldırgan, yazı tipi boyutunu ve gerçek yazı tipini biliyorsa, alttaki bilgileri kurtarabilir.
Petro, “Bunların oldukça makul varsayımlar olduğunu iddia ediyorum, çünkü gerçekçi bir senaryoda saldırgan muhtemelen tam bir rapor alacaktı, sadece bir parçası düzeltildi.” 15 Şubat blog yazısında belirtti. “Meydan okuma metnimizde, bize bu bilgiyi veren pikselli metnin hemen üzerinde birkaç kelime görebilirsiniz.”
Belirli bir pikselleştirme yöntemi bir kelimeyi benzersiz bir piksel modeline dönüştürdüğünden, sorun birçok yönden karmaya benzer. Bununla birlikte, genellikle sonuçların dağınık olmasını gerektiren karmadan farklı olarak, pikselleştirme, Hollywood benzeri bir parola kırma dizisinde, her seferinde bir karakter çözülebilir – Redacter aracı için video. Difüzyon, girdideki küçük bir değişikliğin tamamen farklı bir çıktıya yol açtığı güvenli hash fonksiyonlarının bir özelliğidir.
Petro, pikselli metni kurtaran ilk program geliştiricisi değil. Başka bir program, açıklama, benzer bir yaklaşım benimsiyor, ancak Bishop Fox araştırmacısı, sonuçların girdi görüntüsündeki gürültüye karşı çok hassas olduğunu buldu. Güvenlik firması Positive Security’deki araştırmacılar diğer yöntemleri araştırdıdüşük çözünürlüklü küçük resimlerden yüz görüntülerinin çözünürlüğünü iyileştirmenin yolları dahil.
Şirketler bunun yerine redaksiyon için bir kara kutu kullanmalıdır. Petro, hassas metnin tüm bölümleri kapsandığı sürece tekniğin çok az bilgi sızdırdığını söylüyor.
“Metni düzeltmenin tek güvenli yolu, metni tamamen kaplayan siyah bir çubuktur, çünkü çok az miktarda bilgi bile verileri tehlikeye atabilir” diyor. “O zaman bile, yeniden düzenlenmiş metnin uzunluğu gibi bağlam ipuçları hakkında endişelenmeniz gerekir”.
