Уязвимости PDF-файлов: Подделка электронных цифровых подписей

Данная заметка Дика Вейсингера (Dick Weisinger – на фото) была опубликована 8 мая 2019 года на блоге компании Formtek.

Ежегодно создаются миллиарды электронных цифровых подписей (ЭЦП, в нашей терминологии это усиленные электронные подписи, УЭП – Н.Х.) делаются каждый год. Компания Adobe сообщает ( https://theblog.adobe.com/dynamic-approach-signing-on-the-line/ ), что в одном только их облачном продукте в 2017 году было совершено 8 миллиардов транзакций формирования электронных подписей.

В недавнем выложенном на сайте «Исследования и рынки» (ResearchAndMarkets.com) отчёте (см. https://www.businesswire.com/news/home/20190215005149/en/Digital-Signature-Market-2023-5.5-Billion-Outlook ) сообщается, что  ожидается рост объёма рынка ЭЦП, с 1,2 млрд. долларов в 2018 году до 5,5 млрд. в 2023 году, т.е. на 36% в год.

Недавнее исследование, проведенное специалистами из Германии (см. https://web-in-security.blogspot.com/2019/02/how-to-spoof-pdf-signatures.html ) показало, что встроенные в  PDF электронные цифровые подписи могут быть подделаны (см. магистерскую диссертацию Карстен Мейер цу Селхаузен (Karsten Meyer zu Selhausen) «Защищённость PDF-подписей» (Security of PDF Signatures), https://www.nds.ruhr-uni-bochum.de/media/ei/arbeiten/2019/02/12/DIGITALVERSION_KMeyerZuSelhausen_SecurityOfPDFSignatures_2018-11-25.pdf - этот документ, между прочим, тоже подписан ЭЦП – Н.Х.).

В ходе исследований были выявлены три различных типа эксплойтов (уязвимостей). Из 22 различных программ просмотра PDF-файлов, только старенький Adobe Reader 9 защищен от всех трёх. В числе уязвимых оказались, в частности, Adobe Reader XI, Acrobat Reader DC, Nitro Reader, Foxit Reader, Perfect PDF Reader, и Soda PDF.

Помимо этого, только один из шести онлайн-сервисов проверки PDF оказался неуязвимым для этих эксплойтов. В число уязвимых сервисов попали, в том числе, DocuSign и eTR (сведения об уязвимости известных сервисов см. здесь: https://www.pdf-insecurity.org/signature/services.html ).

Поставщики решений и сервисов были уведомлены о проблемах и работают над созданием патчей, закрывающих уязвимости.

Дик Вейсингер (Dick Weisinger)

Мой комментарий: Подобные сообщения лишь подтверждают ту истину, которую даже специалисты в области безопасности не очень-то любят произносить вслух: неуязвимых систем и решений нет, и между специалистами по безопасности и киберпреступниками идёт, с переменным успехом, непрерывная война. В итоге пользоваться ЭЦП/усиленными электронными подписями в оперативной деятельности вполне можно, если проявлять разумную осмотрительность и осторожность.

А вот у архивистов в этой войне не самое завидное положение: обычно если текущий уровень безопасности всё время поддерживается на достаточном уровне, то вот подделывать и затем «вбрасывать» «исторические» документы, якобы созданные определенное время тому назад, становится со временем проще.

Источник: блог компании Formtek
https://formtek.com/blog/pdf-exploits-forging-electronic-signatures/