Уязвимости PDF-файлов: Подделка электронных цифровых подписей
Об уязвимости формата PDF рассказывает Наталья Храмцовская, ведущий эксперт по управлению документацией в компании «Электронные Офисные Системы».
Данная заметка Дика Вейсингера (Dick Weisinger) была опубликована 8 мая 2019 года на блоге компании Formtek.
Ежегодно создаются миллиарды электронных цифровых подписей (ЭЦП, в нашей терминологии это усиленные электронные подписи, УЭП – Н.Х.) делаются каждый год. Компания Adobe сообщает ( https://theblog.adobe.com/dynamic-approach-signing-on-the-line/ ), что в одном только их облачном продукте в 2017 году было совершено 8 миллиардов транзакций формирования электронных подписей.
В недавнем выложенном на сайте «Исследования и рынки» (ResearchAndMarkets.com) отчёте (см. https://www.businesswire.com/news/home/20190215005149/en/Digital-Signature-Market-2023-5.5-Billion-Outlook ) сообщается, что ожидается рост объёма рынка ЭЦП, с 1,2 млрд. долларов в 2018 году до 5,5 млрд. в 2023 году, т.е. на 36% в год.
Недавнее исследование, проведенное специалистами из Германии (см. https://web-in-security.blogspot.com/2019/02/how-to-spoof-pdf-signatures.html ) показало, что встроенные в PDF электронные цифровые подписи могут быть подделаны (см. магистерскую диссертацию Карстен Мейер цу Селхаузен (Karsten Meyer zu Selhausen) «Защищённость PDF-подписей» (Security of PDF Signatures), https://www.nds.ruhr-uni-bochum.de/media/ei/arbeiten/2019/02/12/DIGITALVERSION_KMeyerZuSelhausen_SecurityOfPDFSignatures_2018-11-25.pdf - этот документ, между прочим, тоже подписан ЭЦП – Н.Х.).
В ходе исследований были выявлены три различных типа эксплойтов (уязвимостей). Из 22 различных программ просмотра PDF-файлов, только старенький Adobe Reader 9 защищен от всех трёх. В числе уязвимых оказались, в частности, Adobe Reader XI, Acrobat Reader DC, Nitro Reader, Foxit Reader, Perfect PDF Reader, и Soda PDF.
Помимо этого, только один из шести онлайн-сервисов проверки PDF оказался неуязвимым для этих эксплойтов. В число уязвимых сервисов попали, в том числе, DocuSign и eTR (сведения об уязвимости известных сервисов см. здесь: https://www.pdf-insecurity.org/signature/services.html ).
Поставщики решений и сервисов были уведомлены о проблемах и работают над созданием патчей, закрывающих уязвимости.
Комментарий Натальи Храмцовской: Подобные сообщения лишь подтверждают ту истину, которую даже специалисты в области безопасности не очень-то любят произносить вслух: неуязвимых систем и решений нет, и между специалистами по безопасности и киберпреступниками идёт, с переменным успехом, непрерывная война. В итоге пользоваться ЭЦП/усиленными электронными подписями в оперативной деятельности вполне можно, если проявлять разумную осмотрительность и осторожность.
А вот у архивистов в этой войне не самое завидное положение: обычно если текущий уровень безопасности всё время поддерживается на достаточном уровне, то вот подделывать и затем «вбрасывать» «исторические» документы, якобы созданные определенное время тому назад, становится со временем проще.
Источник: блог компании Formtek
https://formtek.com/blog/pdf-exploits-forging-electronic-signatures/
Источник: Блог Натальи Храмцовской