Geblurde informatie kan worden teruggehaald
Toch een document versturen met gevoelige informatie? 'Geen probleem', horen we je denken. 'De techniek staat immers voor niets, en in Photoshop heb je deze gevoelige informatie in een handomdraai vakkundig onleesbaar gemaakt'. En tot op zekere hoogte klopt dat natuurlijk gewoon.
Deze medaille heeft echter ook een keerzijde. Beveiligingsexpert Sipke Mellema heeft namelijk een tool ontwikkeld waarmee geblurde informatie via een algoritme kan worden teruggehaald. Hij deelt op LinkedIn wat inzichten en informatie over deze tool.
Onderstaand een voorbeeld dat we voor de gelegenheid even hebben geleend. De onderste regel betreft het origineel, de bovenste regel betreft deze regel nadat 'ie is voorzien van een blur, en de middelste laag is wat je te zien krijgt als je de bovenste regel laat 'ontblurren'. Zoals je ziet is het niet honderd procent teruggedraaid, maar de informatie is zonder meer dermate goed leesbaar dat je exact weet wat er staat.
Het behoeft geen nadere toelichting dat dit trucje dus óók werkt op echt gevoelige informatie die in een eerder stadium is voorzien van een blur. Zo kunnen kwaadwillenden in theorie toch aan wachtwoorden, creditcardgegevens en burgerservicenummers komen, ook al denk je dat de informatie onleesbaar - en dus veilig - is.
Een uitgebreide technische verhandeling over hoe deze tool precies werkt, is voor onze doeleinden wellicht een stap te ver. Wie daar interesse in heeft, kan het stuk van Sipke Mellema op LinkedIn er eens rustig op nalezen.
In de basis komt het min of meer op het volgende neer: als basis voor de tool - er is immers vergelijkingsmateriaal nodig op basis waarvan de geblurde tekst kan worden teruggehaald - geldt dat er sprake is van een bronbestand van alle mogelijke karaktercombinaties in voorkomen. Voor de rest is het eigenlijk gewoon vergelijken op pixelniveau. Dat gebeurt uiteraard niet door met een vergrootglas drie centimeter van je beeldscherm af te zitten: de tool bevat een algoritme dat de vergelijkingen maakt, met het resultaat uit bovenstaande afbeelding als gevolg.
Hoe moet je gevoelige informatie wel onleesbaar maken?
Om deze vraag te beantwoorden, verwijzen we je graag naar de afbeelding bovenaan dit bericht. Als voorbeeld hebben we een recente spookfactuur uit de mailbox gevist waarin we informatie op twee verschillende manieren hebben geblurd. Vervolgens was het nog even goed zoeken in de beeldbank naar een cybersecurity-achtige afbeelding zónder de gebruikelijke dooddoener in de vorm van de hacker-met-capuchon (bepaald geen sinecure!) en konden we na het samenvoegen van beide afbeeldingen aan de slag.
In de afbeelding zien we twee methoden om tekst onleesbaar te maken. Er is de kenmerkende 'vage' blur (ook wel bekend als de 'Gaussian blur', vernoemd naar wiskundige Carl Friedrich Gauss) waar bovenstaande stuk tekst betrekking op heeft, maar andere delen uit de tekst hebben we voorzien van een zwarte balk.
De tekstdelen die we van een zwarte balk hebben voorzien, zijn échte persoonsgegevens (naam, woonadres, bankrekeningnummer). De gegevens die we van een zogenaamde 'Gaussian blur' hebben voorzien, zijn gegevens die door oplichters verzonnen zijn (dossier- en klantnummer, e-mailadres).
Het behoeft geen nadere toelichting dat laatstgenoemde variant met behulp van deze tool weer leesbaar kan worden gemaakt: in het geval van de zwarte balk wordt dat toch echt een stuk ingewikkelder.
Moet jij een document versturen waar gevoelige informatie in staat waarvan je denkt dat het wellicht niet onverstandig is om alle vormen van misbruik uit te sluiten? Dan weet je welke variant je moet kiezen.
Bron: LinkedIn Sipke Mellema