Уязвимости PDF-файлов: Подделка электронных цифровых подписей

Уязвимости PDF-файлов: Подделка электронных цифровых подписей
Данная заметка Дика Вейсингера (Dick Weisinger – на фото) была опубликована 8 мая 2019 года на блоге компании Formtek.

Ежегодно создаются миллиарды электронных цифровых подписей (ЭЦП, в нашей терминологии это усиленные электронные подписи, УЭП – Н.Х.) делаются каждый год. Компания Adobe сообщает ( https://theblog.adobe.com/dynamic-approach-signing-on-the-line/ ), что в одном только их облачном продукте в 2017 году было совершено 8 миллиардов транзакций формирования электронных подписей.

В недавнем выложенном на сайте «Исследования и рынки» (ResearchAndMarkets.com) отчёте (см. https://www.businesswire.com/news/home/20190215005149/en/Digital-Signature-Market-2023-5.5-Billion-Outlook ) сообщается, что  ожидается рост объёма рынка ЭЦП, с 1,2 млрд. долларов в 2018 году до 5,5 млрд. в 2023 году, т.е. на 36% в год.

Недавнее исследование, проведенное специалистами из Германии (см. https://web-in-security.blogspot.com/2019/02/how-to-spoof-pdf-signatures.html ) показало, что встроенные в  PDF электронные цифровые подписи могут быть подделаны (см. магистерскую диссертацию Карстен Мейер цу Селхаузен (Karsten Meyer zu Selhausen) «Защищённость PDF-подписей» (Security of PDF Signatures), https://www.nds.ruhr-uni-bochum.de/media/ei/arbeiten/2019/02/12/DIGITALVERSION_KMeyerZuSelhausen_SecurityOfPDFSignatures_2018-11-25.pdf - этот документ, между прочим, тоже подписан ЭЦП – Н.Х.).

В ходе исследований были выявлены три различных типа эксплойтов (уязвимостей). Из 22 различных программ просмотра PDF-файлов, только старенький Adobe Reader 9 защищен от всех трёх. В числе уязвимых оказались, в частности, Adobe Reader XI, Acrobat Reader DC, Nitro Reader, Foxit Reader, Perfect PDF Reader, и Soda PDF.

Помимо этого, только один из шести онлайн-сервисов проверки PDF оказался неуязвимым для этих эксплойтов. В число уязвимых сервисов попали, в том числе, DocuSign и eTR (сведения об уязвимости известных сервисов см. здесь: https://www.pdf-insecurity.org/signature/services.html ).

Поставщики решений и сервисов были уведомлены о проблемах и работают над созданием патчей, закрывающих уязвимости.

Дик Вейсингер (Dick Weisinger)

Мой комментарий: Подобные сообщения лишь подтверждают ту истину, которую даже специалисты в области безопасности не очень-то любят произносить вслух: неуязвимых систем и решений нет, и между специалистами по безопасности и киберпреступниками идёт, с переменным успехом, непрерывная война. В итоге пользоваться ЭЦП/усиленными электронными подписями в оперативной деятельности вполне можно, если проявлять разумную осмотрительность и осторожность.

А вот у архивистов в этой войне не самое завидное положение: обычно если текущий уровень безопасности всё время поддерживается на достаточном уровне, то вот подделывать и затем «вбрасывать» «исторические» документы, якобы созданные определенное время тому назад, становится со временем проще.

Источник: блог компании Formtek
https://formtek.com/blog/pdf-exploits-forging-electronic-signatures/
аналитика информационная безопасность США электронные подписи ЭЦП PDF
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!