Vokietijos tyrėjai įrodo, kad gali būti pažeisti slaptažodžiu apsaugoti PDF failai

Jūs sukuriate PDF failą. Jūs įdėjote slaptažodį, kad užtikrintumėte, jog niekas negali pasiekti jame esančios informacijos. Pamiršote failą ir jo saugumą, manydami, kad esate šimtu procentų saugus. Deja, vokiečių mokslininkai iš Rūro universiteto Bochumo, FH Miunsterio taikomųjų mokslų universiteto ir „Hackmanit GmbH“ įrodė, kad slaptažodžiu apsaugoti PDF failai nėra nenugalimi. Anot tyrėjų, PDF šifravimo standartą galima išnaudoti naudojant PDF spragas ir naudojant atakos modelį, vadinamą PDFex, jiems pavyko įrodyti, kad galima pažeisti užšifruotus PDF failus ir slaptažodžiu apsaugotus PDF failus. Be jokios abejonės, tai neįtikėtinai netrukdo, turint omenyje, kad kai kuriais atvejais labai neskelbtiną informaciją galima rasti PDF rinkmenose.

Anot tyrėjų, atradusių būdą, kaip pažeisti slaptažodžiu apsaugotus PDF failus, visa tai nutinka šifruotu ir paprastu tekstu. Taigi, apie ką mes čia kalbame? Anot whatis.com , „Ciphertext“ yra šifruotas tekstas, o paprastas tekstas yra tekstas prieš šifravimą. Tyrėjai rado būdą, kaip maišyti šiuos du tekstus, taip pat panaudoti tam tikras PDF funkcijas, leidžiančias įkelti išorinius šaltinius per HTTP, ir tai suteikė galimybę atlikti eksfiltracijos išpuolius. Tai reiškia, kad jei įsilaužėlis išsiaiškins, kaip išnaudoti šifruotojo teksto, paprastojo teksto ir PDF funkcijas, jis gali turėti prieigą prie failuose saugomų duomenų. Tyrėjai taip pat nustatė, kad užšifruoti PDF failai nėra nepakenčiami dėl CBC („Cipher Block Chaining“) šifravimo režimo, kuris, jų teigimu, neatlieka patikimų „vientisumo patikrinimų“. Manoma, kad naudojamas šifravimo algoritmas yra kaltas, o tai gali pasiūlyti galimybę „šifruotą tekstą paversti kitu šifruotu tekstu, kuris iššifruojamas iki susijusio paprasto teksto“, kaip aprašė šis šaltinis.

Tyrėjai, kurie atrado PDF pažeidžiamumą, išanalizavo 27 unikalius PDF žiūrėtojus, ir 23 iš jų buvo įrodyta, kad yra pažeidžiami eksfiltracijos išpuolių. Nustatyta, kad pažeidžiami yra „PDF“ žiūrintieji, suderinami su „Windows“ ir „Linux“, ir tik „Mac“ suderinami „ Preview“ ir „ Skim“ skaitytojai atlaikė tiesiogines filtravimo atakas. Įrodyta, kad „Mozilla Firefox“ ir „Safari“ naršyklės yra patikimos, o „Google Chrome“ ir „Opera“ - ne. Deja, net jei PDF failo savininkas naudotųsi tik patikimais žiūrinčiaisiais, jie vis tiek gali būti rizikuojami. Taip pat nustatyta, kad pasirašyti dokumentai gali būti suklastoti, o tai gali kelti pavojų tokių dokumentų gavėjams. Tyrėjai išbandė „ PDFex“ atakas prieš pasirašytus dokumentus ir buvo nustatyta, kad dokumento turinį buvo galima pakeisti nepakeitus parašo. Buvo išbandytos 22 PDF peržiūros programos, ir tik viena atlaikė išpuolį. Iš 7 patvirtinimo internetu paslaugų 5 buvo nustatyta, kad jos yra pažeidžiamos. CVE-2018-16042, CVE-2018-18688 ir CVE-2018-18689 pataisos buvo išleistos siekiant užtikrinti, kad elektroniniai nusikaltėliai negalėtų išnaudoti aptikto PDF pažeidžiamumo, o dabar „Desktop PDF“ žiūrinčiųjų vartotojai turi įdiegti naujausias versijas ir atnaujinti pasenusias versijas.

Ar ši PDF pažeidžiamumas gali padėti elektroniniams nusikaltėliams pavogti duomenis?

Jei PDF peržiūros priemonės kūrėjai nesprendžia pažeidžiamumų ir patys vartotojai nespėja įdiegti reikiamų saugos naujinimų, visada įmanoma, kad aptiktas PDF pažeidžiamumas gali sukelti didelių rūpesčių. Juk kibernetiniai nusikaltėliai VISADA randa būdą išnaudoti net nereikšmingiausius pažeidžiamumus, o šis yra kur kas didesnis. Deja, slaptažodžiu apsaugoti PDF failai gali sukurti saugos iliuziją. Todėl žmonės gali pasirinkti įtraukti daug jautresnę informaciją. Tai ypač svarbu, jei užšifruoti failai siunčiami kitiems. Apskritai buvo įrodyta, kad PDF šifravimo standartas yra silpnas, todėl duomenys PDF failuose nėra saugūs. Nesvarbu, ar bendrinate jį (kartu su slaptažodžiu) su kuo nors kitu, ar jį laikote sau, turite dar kartą pagalvoti, prieš nusprendžiant saugoti slaptus duomenis PDF rinkmenose.

Pavyzdžiui, kai kurie žmonės slaptažodžiu apsaugotus PDF failus naudoja slaptažodžiams, kreditinių kortelių numeriams, socialinio draudimo numeriui, kontaktinei informacijai ir kitiems slaptiems duomenims saugoti. Jis jaučiasi saugus, taip pat gali atrodyti patogus, nes jei PDF failas išsaugomas virtualiame debesyje, jį galima pasiekti iš bet kurio įrenginio. Na, jei kibernetiniams nusikaltėliams pavyks išnaudoti PDF pažeidžiamumus arba jei jie sugebės apgaulingai atlikti silpną slaptažodį, skirtą išlaikyti informaciją nepažįstamiems žmonėms, jūs nebūsite saugūs. Laimei, yra ir kitų būdų, kaip apsaugoti jūsų asmeninius duomenis. Slaptažodžiams generuoti ir tvarkyti galima naudoti nemokamą įrankį, vadinamą „ Cyclonis Password Manager“. Jis taip pat gali būti naudojamas slaptai informacijai išlaikyti nuo tų, kurie neturėtų jos pasiekti. Visa informacija, kurią pasirinkote apsaugoti naudodami „Cyclonis“, yra užšifruota. Palaukite minutę, ar ne tik kalbėjome apie PDF pažeidžiamumą, kurį sukelia prasti šifravimo standartai? Laimei, „Cyclonis“ naudojami šifravimo standartai yra patikimi.

Be jokios abejonės, jūs turite būti labai atsargūs ir labai išrankūs, kai skaitmeninate bet kokius asmeninius duomenis. Iki šiol turite būti susipažinęs su posakiu, kad viskas, kas skelbiama internete, yra amžinai. Deja, informacija, kurią bandome nuslėpti naudodama slaptažodžiu apsaugotus failus, ir net ta informacija, kurią įvedame prisijungdami, taip pat gali tapti pažeidžiama. Todėl kiekviename žingsnyje turite būti atsargus. Turite būti atidūs naudodamiesi naudojamomis PDF žiūryklėmis, informacija, kurią pridedate prie PDF dokumentų, kaip dalijatės ir saugote šiuos dokumentus, taip pat turite greitai reaguoti į naujienas apie įsilaužimus ar įdiegti naujausius atnaujinimus. Be abejo, net jei didelę dalį jūsų virtualios saugos esate savo rankose, galite būti nekontroliuojami, jei paslaugų teikėjai negali pataisyti saugos spragų.

Apibendrinant, jei norite būti saugūs, turite toliau mokytis ir lavintis. Taip pat svarbu pasirinkti, kaip skaitmeniniame pasaulyje saugote informaciją ir savo tapatybę. Be to, atminkite, kad slaptažodžiai yra tarsi spynos, ir jei jie nemandagūs ir seni, jie nesulaikys prieš kibernetinių nusikaltėlių galią. VISADA nustatykite pačius stipriausius ir unikaliausius slaptažodžius, kuriuos galite naudoti, taip pat būkite atsargūs dėl jūsų naudojamų paslaugų ir programų, nes kai kuriais atvejais jie yra silpniausios nuorodos.