Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • Dit is waarom je wachtwoorden en andere gevoelige informatie niet zomaar moet blurren in je documenten

    Dit is waarom je wachtwoorden en andere gevoelige informatie niet zomaar moet blurren in je documenten

    Wie belangrijke documenten moet versturen waar gevoelige informatie in staat, kan ervoor kiezen om deze informatie te blurren als de ontvangende partij deze gegevens niet nodig heeft. Veilig, want met een degelijke blur zijn bijvoorbeeld wachtwoorden, burgerservicenummers en andere gegevens niet meer te zien. Toch gaat die vlieger niet helemaal op: er is namelijk een tool waar geblurde informatie mee kan worden teruggehaald. Wat moet je precies weten?

    Voor een aanzienlijk deel van werkend Nederland is thuiswerken al een maand of negen de norm, en het lijkt er niet op dat daar heel snel verandering in komt. Het zal ongetwijfeld met enige regelmaat voorkomen dat er documenten met gevoelige informatie moeten worden uitgewisseld: documenten waar bijvoorbeeld inloggegevens zoals gebruikersnamen en wachtwoorden in staan, en misschien ook paspoortnummers, creditcardnummers, adressen, burgerservicenummers, telefoonnummers en andere persoonsgegevens.

    Geblurde informatie kan worden teruggehaald

    Toch een document versturen met gevoelige informatie? 'Geen probleem', horen we je denken. 'De techniek staat immers voor niets, en in Photoshop heb je deze gevoelige informatie in een handomdraai vakkundig onleesbaar gemaakt'. En tot op zekere hoogte klopt dat natuurlijk gewoon.

    Deze medaille heeft echter ook een keerzijde. Beveiligingsexpert Sipke Mellema heeft namelijk een tool ontwikkeld waarmee geblurde informatie via een algoritme kan worden teruggehaald. Hij deelt op LinkedIn wat inzichten en informatie over deze tool.

    Onderstaand een voorbeeld dat we voor de gelegenheid even hebben geleend. De onderste regel betreft het origineel, de bovenste regel betreft deze regel nadat 'ie is voorzien van een blur, en de middelste laag is wat je te zien krijgt als je de bovenste regel laat 'ontblurren'. Zoals je ziet is het niet honderd procent teruggedraaid, maar de informatie is zonder meer dermate goed leesbaar dat je exact weet wat er staat.

    Zo wordt onleesbare tekst toch leesbaar gemaakt
    Sipke Mellema, via LinkedIn
    Zo wordt onleesbare tekst toch leesbaar gemaakt

    Het behoeft geen nadere toelichting dat dit trucje dus óók werkt op echt gevoelige informatie die in een eerder stadium is voorzien van een blur. Zo kunnen kwaadwillenden in theorie toch aan wachtwoorden, creditcardgegevens en burgerservicenummers komen, ook al denk je dat de informatie onleesbaar - en dus veilig - is.

    Een uitgebreide technische verhandeling over hoe deze tool precies werkt, is voor onze doeleinden wellicht een stap te ver. Wie daar interesse in heeft, kan het stuk van Sipke Mellema op LinkedIn er eens rustig op nalezen.

    In de basis komt het min of meer op het volgende neer: als basis voor de tool - er is immers vergelijkingsmateriaal nodig op basis waarvan de geblurde tekst kan worden teruggehaald - geldt dat er sprake is van een bronbestand van alle mogelijke karaktercombinaties in voorkomen. Voor de rest is het eigenlijk gewoon vergelijken op pixelniveau. Dat gebeurt uiteraard niet door met een vergrootglas drie centimeter van je beeldscherm af te zitten: de tool bevat een algoritme dat de vergelijkingen maakt, met het resultaat uit bovenstaande afbeelding als gevolg.

    Hoe moet je gevoelige informatie wel onleesbaar maken?

    Om deze vraag te beantwoorden, verwijzen we je graag naar de afbeelding bovenaan dit bericht. Als voorbeeld hebben we een recente spookfactuur uit de mailbox gevist waarin we informatie op twee verschillende manieren hebben geblurd. Vervolgens was het nog even goed zoeken in de beeldbank naar een cybersecurity-achtige afbeelding zónder de gebruikelijke dooddoener in de vorm van de hacker-met-capuchon (bepaald geen sinecure!) en konden we na het samenvoegen van beide afbeeldingen aan de slag.

    In de afbeelding zien we twee methoden om tekst onleesbaar te maken. Er is de kenmerkende 'vage' blur (ook wel bekend als de 'Gaussian blur', vernoemd naar wiskundige Carl Friedrich Gauss) waar bovenstaande stuk tekst betrekking op heeft, maar andere delen uit de tekst hebben we voorzien van een zwarte balk.

    De tekstdelen die we van een zwarte balk hebben voorzien, zijn échte persoonsgegevens (naam, woonadres, bankrekeningnummer). De gegevens die we van een zogenaamde 'Gaussian blur' hebben voorzien, zijn gegevens die door oplichters verzonnen zijn (dossier- en klantnummer, e-mailadres).

    Het behoeft geen nadere toelichting dat laatstgenoemde variant met behulp van deze tool weer leesbaar kan worden gemaakt: in het geval van de zwarte balk wordt dat toch echt een stuk ingewikkelder.

    Moet jij een document versturen waar gevoelige informatie in staat waarvan je denkt dat het wellicht niet onverstandig is om alle vormen van misbruik uit te sluiten? Dan weet je welke variant je moet kiezen.

    Bron: LinkedIn Sipke Mellema

  • Ook interessant