Start Empfohlen Das PDF-Schwärzungsproblem: TSA hat möglicherweise alte Software verwendet

Das PDF-Schwärzungsproblem: TSA hat möglicherweise alte Software verwendet

17
0


Das Problem bei der Veröffentlichung eines Sicherheitskontrollhandbuchs der Transportation Security Administration war nicht, wie viele Nachrichtenagenturen gestern berichteten, die Tatsache, dass es „da draußen im Internet“ erschien. Wie die US-Heimatschutzministerin Janet Napolitano heute Morgen gegenüber Reportern sagte: nach Washington Post, das TSA-Handbuch sollte im Internet veröffentlicht worden sein – es war Teil eines Caches mit Dokumenten, die absichtlich auf einer Website für das öffentliche Beschaffungswesen veröffentlicht wurden.

Das eigentliche Problem besteht darin, dass die Teile des PDF-Dokuments, die eigentlich geschwärzt – oder aus der Datei entfernt und durch Blackouts ersetzt werden sollten – nicht entfernt wurden. Sek. Napolitano sagte heute Morgen, dass gegen die verantwortlichen TSA-Mitarbeiter Disziplinarmaßnahmen ergriffen werden könnten, und deutete an einem Punkt an, dass unweigerlich nur eine Person schuld sei.

Aber die Tatsache, dass Blackouts angewendet wurden, der zugrunde liegende Text jedoch erhalten blieb, weist darauf hin, dass die mögliche Ursache tiefer liegen kann als nur ein persönlicher Fehler. Betanews-Tests bestätigen, dass der vermeintlich geschwärzte Text aus dem TSA-Screening-Dokument lediglich durch schwarze Rechtecke verdeckt und nicht gelöscht wurde. Aus einem ordnungsgemäß geschwärzten Dokument muss deutlich hervorgehen, wo sich der Originaltext befand, um seine Entfernung mutig anzuzeigen. Der Zweck des Blackouts besteht im Allgemeinen darin, klare Beweise für die Löschung zu hinterlassen und den Lesern somit nicht den Eindruck zu erwecken, dass der entfernte Text irgendwo und von beliebiger Länge gewesen sein könnte.

Unsere Tests mit Adobe Acrobat Professional, begleitet von unseren Recherchen zu Adobe-Dokumenten, weisen darauf hin, dass die TSA möglicherweise keine aktualisierte Software verwendet hat. Wenn dies der Fall gewesen wäre, wäre der Redaktionsprozess seiner Mitarbeiter möglicherweise gründlicher gewesen und der zugrunde liegende vertrauliche Text möglicherweise ordnungsgemäß gelöscht worden.

Acrobat Professional 8 war die erste Version der Adobe-Software, die eigene integrierte Tools für die echte Schwärzung enthielt. Bis dahin hat Adobe die Kunden auf ein noch auf dem Markt befindliches Zusatzprodukt verwiesen, hergestellt von Appligent, genannt Redax. Dieses Tool generiert ein sicher geschwärztes PDF-Dokument, während der Benutzer Segmente des Originaldokuments zum Schwärzen markiert. Das dynamische Anwenden der Änderungen auf ein Duplikat stellt sicher, dass kein Originaltext tatsächlich aus seiner Datei gelöscht wird, während gleichzeitig sichergestellt wird, dass die geschwärzte Version des Dokuments tatsächlich erstellt wird.

In Acrobat Professional 8 (was nicht einmal die neueste Version ist) ist der Textredaktionsprozess nicht einfach oder intuitiv, obwohl er so akribisch ist, dass er nur bewusst und mit vollem Bewusstsein der Ergebnisse durchgeführt werden kann. Es gibt eine Schwärzungssymbolleiste, deren Hauptschaltfläche heißt Zur Schwärzung markieren. Diese Schaltfläche verwandelt das Cursorwerkzeug in einen Textmarker, um Text anzuzeigen, der nicht nur mit Blackouts markiert, sondern auch aus einer Kopie der Datei entfernt werden soll.

Das Redaktionswerkzeug von Adobe Acrobat 8 ​​warnt den Benutzer deutlich, was er zu tun hat und wie er dabei vorgehen sollte.

Acrobat 8 ​​weist den Benutzer deutlich darauf hin, dass die geschwärzte Datei als Kopie gespeichert werden soll. Es ist daher nicht so gründlich wie das Redax-Tool, das die geschwärzte Datei als gleichzeitige Kopie verwaltet. Trotzdem führt Acrobat den Benutzer durch den Prozess.

In Betanews-Tests mit einem anderen Rechtsdokument, das nichts mit der TSA-Angelegenheit zu tun hat, haben wir die Redaktionssymbolleiste verwendet, um einen Absatz zu markieren. Wir haben dann auf geklickt Schwärzungen anwenden. Als Ergebnis erschien der geschwärzte Text unter Verwendung der Standardeinstellungen von Acrobat 8 ​​komplett in Schwarz.

Wir haben dann unser geschwärztes Testdokument in einer separaten Datei gespeichert. Wir haben dann versucht, Text um den geschwärzten Absatz herum zu kopieren und ihn in eine Notepad-Datei einzufügen, um zu sehen, ob der geschwärzte Text noch vorhanden und lesbar war, wie im TSA-Dokument. Der geschwärzte Text fehlte im kopierten Element, obwohl der nicht geschwärzte Text richtig eingefügt wurde.

Das Redaktionstool in Adobe Acrobat Professional 8 bei der Arbeit an einem anderen Dokument als dem, das an dem TSA-Sicherheitsvorfall beteiligt war.

Wir haben auch die gespeicherte, geschwärzte Datei untersucht. PDF-Text ist nicht wie HTML-Markup, daher können Sie den Hauptinhalt des Inhalts nicht nur aus dem Quellmaterial lesen – Adobe maskiert und komprimiert ihn. Dennoch weist der deutlich veränderte Anteil des komprimierten Codes in der Nähe des geschwärzten Textes in Verbindung mit der etwas kleineren Dateigröße im Verhältnis zu dem von uns geschwärzten Absatz darauf hin, dass der Inhalt des Absatzes nicht erscheinen in unserem Testdokument – es war weg, wie es sein sollte.

Kurz gesagt, hätte die TSA aktualisierte Adobe-Software verwendet, wäre der Sicherheitsvorfall nie passiert.

Im TSA-Dokument sind die vermeintlich geschwärzten Teile mit vierseitigen schwarzen Rechtecken mit roten Rändern maskiert, was darauf hinweist, dass sie einfach als geometrische Objekte gezeichnet wurden. Vor der Veröffentlichung von Acrobat 8 ​​war Adobe sich der Kundenwünsche nach echten Schwärzungstools voll bewusst.

In ein Beitrag vom Dezember 2005 in Adobes eigenem Blog Für Juristen räumte der Business Development Manager des Unternehmens, Rick Borstein, nicht nur ein, dass das Fehlen einer integrierten Redaktion ein fehlendes Merkmal war, sondern auch ein Sicherheitsbedenken für die US-Regierung.

„Ein PDF, das von der US-Regierung verteilt wurde, enthielt abgedeckten Text, der vollständig zugänglich war“, schrieb Borstein. „In diesem Fall hat der Benutzer ein Dokument in Microsoft Word erstellt und die Symbolleiste „Tabellen und Rahmen“ von Word verwendet, um die Hintergrundfarbe auf Schwarz zu setzen. Somit schwarzer Text auf schwarzem Hintergrund, der visuell nicht lesbar war, aber die Daten nicht entfernt der Benutzer das Dokument in PDF konvertierte, eine einfache Suche im Dokument ergab den Text.“

Er berichtete auch von einem separaten Vorfall, bei dem ein Benutzer in einer Anwaltskanzlei mit Acrobat falsche Anmerkungen erstellt hatte – Anmerkungen, die als Kommentare gedacht waren –, sie jedoch über Text positioniert hatte, der nicht gelesen werden sollte. Das „Nicht-Schwärzen“ des Textes war daher so einfach wie das Deaktivieren der Anmerkungsansicht.

Borstein empfahl seinen Kunden, in das Redax-Tool von Appligent zu investieren. Doch dann bot er den Lesern eine Zwischenlösung an, die seiner Meinung nach für viele Nutzer zwischenzeitlich ausreichen würde. Er zeigte ihnen, wie man schwarze Rechtecke um Text zeichnet, damit er geschwärzt erscheint.

„Es gibt eine andere Alternative, die keine spezielle Software erfordert, aber ich empfehle sie nicht, es sei denn, Sie sind *) wirklich, sehr vorsichtig; *) müssen selten redigieren“, schrieb er, bevor er den Rechteckeffekt demonstrierte. Um sicherzustellen, dass der Effekt den Text tatsächlich dauerhaft verdeckt, schlug Borstein vor, die resultierende Datei „zu verflachen“ oder in ein Dokument mit eingebetteten TIFF-Bildern zu konvertieren – was heute viele Anwaltskanzleien, Gerichte und Regierungsbehörden tun .

In einer 2006 erschienenen Broschüre zum Thema Redaktion (PDF hier verfügbar) — erneut vor der Veröffentlichung von Acrobat 8 ​​– warnte Adobe seine Kunden klar und deutlich, dass Kunden dazu neigen, sensibles Material nicht richtig zu redigieren, nur weil sie die Natur elektronischer Dokumente nicht verstehen.

„Redakteure versuchen möglicherweise, sensible Informationen mit einem farbigen Rechteck abzudecken oder Text schwarz hervorzuheben“, heißt es in der Adobe-Broschüre von 2006. „Während diese Methoden für Papierdokumente funktionieren, sind sie für elektronische Dokumente nicht geeignet, da es Möglichkeiten gibt, die Informationen aus dem resultierenden PDF-Dokument zu extrahieren.“

Acrobat ist kein Textverarbeitungsprogramm und war es auch nie. Der Originaltext für Dokumente wird oft an anderer Stelle erstellt – in vielen Fällen in Microsoft Word. Dort fanden Benutzer oft ihre eigenen Wege, um Text in einem Dokument zu schwärzen, sodass er geschwärzt wirkte. Sie gingen dann fälschlicherweise davon aus, dass Acrobat lediglich den Text verarbeitete, den die Benutzer könnten sehen, wenn es tatsächlich den gesamten Text des Originals aufnimmt, einschließlich des verdeckt erscheinenden.

„Der Schlüssel zum Verständnis, wie sensible Daten in ein PDF-Dokument eingebettet werden können, besteht darin, dass Informationen, die in einem elektronischen Dokument versteckt oder verdeckt sind, leicht wiederhergestellt werden können“, heißt es in der Broschüre von Adobe. „Die Lösung besteht darin, sicherzustellen, dass sensible Informationen nicht nur optisch versteckt oder unleserlich gemacht, sondern tatsächlich aus der Quelldatei gelöscht werden.“

Auch hier empfahl Adobe das Redax-Tool von Appligent zum sicheren Schwärzen von Text über Acrobat, insbesondere wenn das Quellmaterial nicht verfügbar ist. Dennoch zeichnen die Warnungen von Adobe ein viel klareres Bild der Betriebsbedingungen für jedes Büro, das ältere Softwareversionen einschließlich der von Adobe verwendet oder weiterhin verwendet. Da Acrobat kein Textverarbeitungsprogramm ist und die Quelldokumente, die für die öffentliche Verteilung vorbereitet werden, nicht unbedingt an diese Dokumente angehängt werden müssen, verfügt ein Mitarbeiter möglicherweise nicht über die richtigen Werkzeuge zum Löschen des Materials, das er oder sie redigieren soll. Obwohl ein Dokument in Acrobat erstellt werden kann, verhält sich ein Dokument, dessen Quellmaterial von woanders stammt, wie eine schreibgeschützte Kopie. Mit modernen Versionen von Acrobat kann Text aus dieser Kopie geschwärzt und der zugrunde liegende Inhalt gelöscht werden. Aber das Ergebnis ist nicht wie das Drücken der Löschen-Taste in einem Textverarbeitungsprogramm; wirklich geschwärzte Abschnitte sind deutlich gekennzeichnet.

Bei älteren Versionen von Acrobat stehen einem Benutzer möglicherweise nicht viele Optionen zur Verfügung. Er hätte ein Rechteck um den geschwärzten Teil ziehen können, aber der nächste Schritt wäre gewesen, die Datei zu glätten – damit sie aussieht wie etwas, das vom Kopierer gescannt wurde. Es kann auch die Byte-Anzahl der endgültigen Ausgabe erhöht haben. Darüber hinaus könnte das Unbrauchbarmachen des öffentlichen Teils des Textes gegen die Richtlinien verstoßen haben.

All diese Faktoren sollten bei der Untersuchung der nicht redigierten Dokumentenfreigabe der TSA durch die Regierung berücksichtigt werden, insbesondere bevor über die Frage nach der Schuldfrage nachgedacht wird.



Vorheriger ArtikelBetanews Podcast: Verkehrssicherheit, Facebook-Sensibilität und du
Nächster ArtikelBetanews Podcast: Rupert Murdoch und das Online-Kaufproblem

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein