Данная заметка была опубликована на сайте L'Atelier - BNP Paribas Group 12 января 2012 года.
Как в рамках электронной коммерции, так и электронного правительства широко используется подписание PDF-файлов электронными цифровыми подписями для подтверждения целостности документа и личности подписавшего его лица. Однако, как теперь выясняется, этот метод, по-видимому, не является непогрешимым. Дан-Сабин Попеску (Dan-Sabin Popescu), научный сотрудник Военно-технической академии в Бухаресте, Румыния, нашел способ модификации информационного контента подписанного с помощью ЭЦП PDF-файла, при использовании которого подпись продолжает успешно проверяться (см. его статью: Дан-Сабин Попеску «Сокрытие вредоносного контента в PDF-документах» (Hiding Malicious Content in PDF Documents), http://www.atelier.net/sites/default/files/articles/fraude_pdf.pdf или http://www.jmeds.eu/index.php/jmeds/article/view/Hiding-Malicious-Content-in-PDF-Documents - особенно в части технических подробностей, которые журналисты пересказали довольно «вольно» - Н.Х.).
По сути, румынский исследователь, зная структуру кода PDF-документа, с самого начала вставлял в неё скрытые элементы, которые трудно обнаружить. Процедура основана на методике, известной как «атака Дали» (Dali Attack). Злоумышленник может создать «двойной» (полиморфный) файл, содержащий как первоначальный контент PDF-файла, так и графический образ в файле формата TIFF, в котором, например, могут быть изменены денежная сумма или процент. Используя шестнадцатеричный редактор, злоумышленник может скопировать все первичное содержимое PDF-файла, поместив его в виде кода в графический образ. Затем все, что ему остается сделать, это скорректировать разметку PDF-файла, с тем, чтобы получившийся новый файл был совместим с программой Acrobat Reader.
Динамический файл, представление которого зависит от программного обеспечения, используемого для его открытия
Благодаря манипуляциям со структурой документа, возможно, таким образом, сформировать динамический контент, который будет по-разному отображаться в зависимости от способа открытия файла. При использовании Acrobat Reader, будет показываться первоначальная сумма денег, указанная в PDF-файле. Если же для открытия файла использовать программное обеспечение для работы с графическими изображениями, то отобразится «подправленная» сумма из TIFF-файла.
Таким образом, изменив расширение созданного полиморфного документа с TIFF на PDF, злоумышленник обеспечивает беспроблемное прочтение PDF-документа в Acrobat Reader; никаких синтаксических ошибок обнаружено не будет. Когда файл получит подписывающая сторона, она увидит обычный PDF-документ, и подпишет его с помощью программного приложения или смарт-карты. Файл с электронной подписью будет иметь расширение PDF.PKCS7. Злоумышленнику нужно будет сменить расширение на TIFF.PKCS7 и открыть файл в программе просмотра графических образов, чтобы отобразилась фальшивая сумма. Это метод работает, поскольку в процессе проверки ЭЦП не контролируется расширение файла.
Средства обнаружения сравнительно просты
ЭЦП успешно проверится, поскольку поток образующих файл битов не был изменен, и все элементы кода уже присутствовали в файле с самого начала. К счастью, полиморфные файлы такого типа можно обнаружить. Программа Acrobat Reader X Pro систематически переписывает открываемые документы, удаляя все предыдущие модификации. В этом случае сохранится только сумма, указанная в первоначальном PDF-файле. Исследователь создал также пакетную программу с помощью пакета ImageMagick, которая детектирует ситуации, когда PDF-документ содержит параметры TIFF-изображения - такие, как размеры или разрешение изображения. В этом случае программа, копирует документ в файл с расширением TIFF и открывает его при помощи браузера, раскрывая таким образом, попытку мошенничества.
Мой комментарий: Об «атаке Дали» известно уже несколько лет, и этот метод постоянно совершенствуется. В принципе, от данного способа мошенничества не очень сложно защищаться – при условии, однако, что нет слепой веры в то, что подписание документа электронной цифровой подписью гарантирует его целостность и аутентичность. Кроме того, важно, чтобы и право содержало положения, защищающее потенциальную жертву – так, в законодательстве ряда стран уже есть положения, что подписанный электронной цифровой подписью документ может быть признан ничтожным, если выяснится, что он содержит встроенный код или иной контент, способный изменить его визуальное представление.
Источник6 сайт L'Atelier - BNP Paribas Group
http://www.atelier.net/en/trends/articles/digital-signature-pdf-really-secure
Подмена контента PDF-файла, при которой по-прежнему проверяется ЭЦП, возможна, если заранее провести определенные манипуляции с содержащимся в файле кодом.
Как в рамках электронной коммерции, так и электронного правительства широко используется подписание PDF-файлов электронными цифровыми подписями для подтверждения целостности документа и личности подписавшего его лица. Однако, как теперь выясняется, этот метод, по-видимому, не является непогрешимым. Дан-Сабин Попеску (Dan-Sabin Popescu), научный сотрудник Военно-технической академии в Бухаресте, Румыния, нашел способ модификации информационного контента подписанного с помощью ЭЦП PDF-файла, при использовании которого подпись продолжает успешно проверяться (см. его статью: Дан-Сабин Попеску «Сокрытие вредоносного контента в PDF-документах» (Hiding Malicious Content in PDF Documents), http://www.atelier.net/sites/default/files/articles/fraude_pdf.pdf или http://www.jmeds.eu/index.php/jmeds/article/view/Hiding-Malicious-Content-in-PDF-Documents - особенно в части технических подробностей, которые журналисты пересказали довольно «вольно» - Н.Х.).
По сути, румынский исследователь, зная структуру кода PDF-документа, с самого начала вставлял в неё скрытые элементы, которые трудно обнаружить. Процедура основана на методике, известной как «атака Дали» (Dali Attack). Злоумышленник может создать «двойной» (полиморфный) файл, содержащий как первоначальный контент PDF-файла, так и графический образ в файле формата TIFF, в котором, например, могут быть изменены денежная сумма или процент. Используя шестнадцатеричный редактор, злоумышленник может скопировать все первичное содержимое PDF-файла, поместив его в виде кода в графический образ. Затем все, что ему остается сделать, это скорректировать разметку PDF-файла, с тем, чтобы получившийся новый файл был совместим с программой Acrobat Reader.
Динамический файл, представление которого зависит от программного обеспечения, используемого для его открытия
Благодаря манипуляциям со структурой документа, возможно, таким образом, сформировать динамический контент, который будет по-разному отображаться в зависимости от способа открытия файла. При использовании Acrobat Reader, будет показываться первоначальная сумма денег, указанная в PDF-файле. Если же для открытия файла использовать программное обеспечение для работы с графическими изображениями, то отобразится «подправленная» сумма из TIFF-файла.
Таким образом, изменив расширение созданного полиморфного документа с TIFF на PDF, злоумышленник обеспечивает беспроблемное прочтение PDF-документа в Acrobat Reader; никаких синтаксических ошибок обнаружено не будет. Когда файл получит подписывающая сторона, она увидит обычный PDF-документ, и подпишет его с помощью программного приложения или смарт-карты. Файл с электронной подписью будет иметь расширение PDF.PKCS7. Злоумышленнику нужно будет сменить расширение на TIFF.PKCS7 и открыть файл в программе просмотра графических образов, чтобы отобразилась фальшивая сумма. Это метод работает, поскольку в процессе проверки ЭЦП не контролируется расширение файла.
Средства обнаружения сравнительно просты
ЭЦП успешно проверится, поскольку поток образующих файл битов не был изменен, и все элементы кода уже присутствовали в файле с самого начала. К счастью, полиморфные файлы такого типа можно обнаружить. Программа Acrobat Reader X Pro систематически переписывает открываемые документы, удаляя все предыдущие модификации. В этом случае сохранится только сумма, указанная в первоначальном PDF-файле. Исследователь создал также пакетную программу с помощью пакета ImageMagick, которая детектирует ситуации, когда PDF-документ содержит параметры TIFF-изображения - такие, как размеры или разрешение изображения. В этом случае программа, копирует документ в файл с расширением TIFF и открывает его при помощи браузера, раскрывая таким образом, попытку мошенничества.
Мой комментарий: Об «атаке Дали» известно уже несколько лет, и этот метод постоянно совершенствуется. В принципе, от данного способа мошенничества не очень сложно защищаться – при условии, однако, что нет слепой веры в то, что подписание документа электронной цифровой подписью гарантирует его целостность и аутентичность. Кроме того, важно, чтобы и право содержало положения, защищающее потенциальную жертву – так, в законодательстве ряда стран уже есть положения, что подписанный электронной цифровой подписью документ может быть признан ничтожным, если выяснится, что он содержит встроенный код или иной контент, способный изменить его визуальное представление.
Источник6 сайт L'Atelier - BNP Paribas Group
http://www.atelier.net/en/trends/articles/digital-signature-pdf-really-secure
В 63-ФЗ уже и сейчас написано, что:
ОтветитьУдалитьСредство подписи должно:
2. При создании электронной подписи средства электронной подписи должны:
1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
3. При проверке электронной подписи средства электронной подписи должны:
1) показывать содержание электронного документа, подписанного электронной подписью;
-------------
Вывод: средства работы с PDF (поскольку показывают не то что подписано-подписывается) не являются средствами электронной подписи и соответственно ни каких правовых последствий ЭЦП внутри PDF иметь не может.
Конечно, и такая логика может сработать, - но можно ли быть уверенным, что суды примут именно такую трактовку?
ОтветитьУдалитьВарианта, ровно два, либо создатель PDF - есть средство подписи которые живёт в рамках и на условиях 63-ФЗ и тогда оно должно этому соответствовать, а оно этому не соответствует как минимум по функциональности, как максимум по отсутствию подтверждения от ФСБ (для квалифицированных подписей). Либо создатель PDF признаётся легитимным в рамках "соглашения сторон", т.е. обоюдно выражено доверие технологии и техническим средствам и в этом случае, тот кто это доверие высказал - тот и попал. Что касается уверенности, то у нас её не может быть ни в чём.
ОтветитьУдалить