Ads
Comments 60
Еще вариант: хакнуть саму программу (ACAD, WORD) (в части отображения электронной подписи, например), но опять-таки нужен админский доступ к телу.
Если у вас есть админский доступ (и вы можете подменять шрифты на компьютере бухгалтера), то что мешает вам поставить программу, которая будет говорить что подпись подтверждена на любой документ и вообще — при открытии документа A показывать документ B?

Есть способы атаки и без админского доступа, например вычисляемые поля или ссылки (как в первом сценарии с DWG). Но в случае применения ЭП предполагается, что защиту электронных подлинников обеспечивает технология, а не права доступа. Важно понимать где начинаются и где заканчиваются возможности технологии.

Дело не в устройстве. С ними будет работать абсолютно аналогично. С точки зрения подписи ни один бит документа не поменялся.
устройство покажет то, что вы подписываете на самом деле, а не искаженную информацию на экране компьютера. Другое дело, как конкретный бухгалтер должен догадаться, что у него на экране информация искажена? Но это вопрос грамотного построения системы документооборота. Гонять по системе бинарники с финансовой информацией, которые можно интерпретировать более чем одним способом — явно не лучшая идея.
Гонять по системе бинарники с финансовой информацией, которые можно интерпретировать более чем одним способом — явно не лучшая идея.
>
Проблема не только с передачей финансовой информацией. Например, с чертежами в инженерном документообороте её тоже нужно решать.
согласен. С другой стороны, какой-нибудь cad чертеж изучают гораздо внимательнее и несколько человек на разном оборудовании, в отличии от платежки, которую исполнил и забыл (до следующей проверки :) )
Я так переводил игру со шрифтом без поддержки кириллицы.э
Через hex и замену шрифтов…

Не, шрифт надо менять у директора на момент подписания. А потом обратно. Тогда концы в воду.

Зачем? Он то исполнит ровно то, что написано в подписанном документе.

Ну директор же не нажмёт кнопку "2" чтобы получить глиф "1" и увидеть желаемую сумму.
А если мы можем после создания документа и перед его подписью внедриться в систему и поменять его содержимое, при этом видимое содержимое оставить нетронутым, то о чём мы вообще говорим =)

Ну директор же не нажмёт кнопку «2» чтобы получить глиф «1» и увидеть желаемую сумму.
А шрифт специальный он при этом выберет, ага.

Все эти атаки, в общем, рассчитаны на те случаи, когда рабочее место либо директора, либо бухгалтера серьёзно скромпроментировано — а тут и говорить не о чем. За исключением, пожалуй, ссылок на внешний документ — вот это может реально сработать. Просто потому что люди «не в теме» о таком подвохе просто не думают…
Подпись в скомпрометированной среде? Ну даже не знаю… Если имеется такой доступ к машине директора и главбуха, то вообще в фоне можно подписывать что угодно, не ставя директора в известность вовсе.
Тут идея в том, что применяя ЭП+PDF/A или ЭП+XPS можно подписывать и в «скомпрометированной среде». т.к. такая связка значительно меньше зависит от среды.
Да с чего бы меньше? Вектора атаки просто другие будут и всё. Вплоть до подмены всего интерфейса.
Можно немного скорректировать сценарий — используя только предустановленные шрифты, и модифицировать глиф только для бухгалтера. Тогда доступ к машине директора не требуется. Среда в которой подписывается документ не скомпрометирована. Результат тот-же.

вообще в фоне можно подписывать что угодно, не ставя директора в известность вовсе.
>
Даже получив административный доступ к машине директора вы не сможете подписать документы вместо него, т.к. при подписании КриптоПро CSP запрашивает пароль, который знает только владелец сертификата ЭП. Можно дополнительно усилить хранением сертификата на внешнем носителе.
запрашивает пароль, который знает только владелец сертификата ЭП.

Имея полный доступ к машине кейлоггер туда не поставить? Или в чем трудность?

"Можно дополнительно усилить хранением сертификата на внешнем носителе." это когда для подписания в USB вставляется ключ. Но строго говоря админский доступ к машине директора и не нужен.

это когда для подписания в USB вставляется ключ

… а пока ключ воткнут — подписывай что хочешь. Если только ввод кода не аппаратный или коды не одноразовые. Но в этом случае маловероятно что подобный директор даст полный доступ к своей машине непонятно кому.
А я не понял в примере про подмену шрифта.
Сотрудник-хакер (Тополёв) должен знать, что ему положена премия с единицей?
И второе — почему у Назарова не поменялся табельный номер на 0255?
Ну и, наконец, а что будет с датой — 2028 год?
Там же говорится, что весь текст набран шрифтом Arial, и только премия — похожим по начертанию Noto

По хорошему тогда надо, чтобы для каждой премии был собственный шрифт. Ну, либо только для «особенной» премии. И то, ещё и заменяемые цифры в ней скорее всего не должны повторяться, чтобы никто с первого взгляда подвоха не заметил.

А нельзя ли цифровой подписью подписать изображение документа?
Именно так делает Word. Изображение элемента видимой подписи добавляется в подпись.
Вопрос не совсем об этом, лучше переформулирую так:

можно ли «отрендерить» графическое представление документа в растровую/векторную графику и подписать уже полученный файл?
Взломанный ГУИ покажет вам что вы подписываете один растр, когда реально вы подпишите другой.
ВЕсь интерес теряется на словах «Нужен досутп администратора». Потому, что если у вас есть доступ администратора, вы можете сделать вообще всё что угодно.
можно ли «отрендерить» графическое представление документа в растровую/векторную графику и подписать уже полученный файл?
>
Да можно. Публикация в XPS и PDF/A это фактически и есть рендер в векторную графику. Такой рендер может быть получен через печать документа на виртуальный принтер. Документ получается полностью самодостаточным, со всеми шрифтами и другими ресурсами. И в отличии от растра не потеряет при этом преимуществ «векторности» —
субпиксельное сглаживание шрифтов, поиск по содержимому документа, высокая четкость при любых масштабах отображения.
Наверное, такая возможность – «встроить внешние документы и шрифты» (или даже перевести весь текст в кривые) – должна быть прямо в системе электронной подписи, чтобы обеспечить независимость документа от внешней среды.

Не понял, кто набирает документ с приказом? Почему или как его заставить набрать все Arial'ом, а сумму другим шрифтом? Или может быть в шаблоне документа это можно поменять?

Можно в Ворде использовать макросы и VBA, которые будут подменять шрифт на нужный, можно шаблон изменить. :)
Можно посадить вирус, можно ещё кучей способов изменить — в статье озвучены возможные векторы атаки.
Директор просит секретаршу набрать приказ о премировании, секретарша имея доступ к компу шефа и бухгалтера (я что-то нажала, дорогая секретарша_нейм, посмотри пожалуйста) проводит заранее необходимые действия, и, собственно все. Админские права в части атак не нужны. В средних и мелких компаниях без ит отдела или отстроенной политики безопасности может прокатить.
бухгалтер не глядя копипастит (Ctrl-C-Ctrl-V) вашу премию в 1-С-ку и улетает вам таки 150. ;)
Верно. Но согласитесь, что docx не становится от этого более защищенным.
Надо подменять шрифт у директора, в документе тогда будет 250
Приведенный пример в целом неудачный. Получая премию вы распишетесь за конкретную сумму.
В случае непоняток с вас ее просто вернут.
Сохранять PDF важных документов с растеризацией. Они будут большие, но просматриваться будут всегда и везде. И не зависеть ни от чего.
Все серьёзные программы это умеют.
И ни в коем разе не пользоваться сохранение в PDF от офисных процессоров.
Автор пытался повторить атаку на PDF-файле, который не через офис сохранён, а через какой-нибудь «Foxit PDF printer» напечатан? Сдаётся мне, что не сработает.

Можно поставить галочку — внедрить шрифты в документ. В Libre office точно можно. И тогда атака со шрифтами не пройдёт.

Конечно атакующий мог сделать документ защищенным. Но его задача реализовать атаку, а не провалить её. В статье есть рекомендация для того кто ставит подпись:
"… перед подписанием каждого PDF необходимо убедиться, что документ соответствует стандарту PDF/A или отсутствуют зависимости от шрифтов."
Заголовок для меня — clickbait. Хотя действует, потому что прочитал статью.
И не увидел где скомпрометирован подписанный файл. Вообще-то здесь подпись никакой роли не играет. Только как средство утверждения подлинности файла. То же самое можно и по телефону проделать. Директор проверяет распоряжение о премии, потом звонит по телефону бухгалтеру и говорит «я сейчас по электронной почте вышлю файл о выдаче премии, выплати их». Так бухгалтер знает, что файл настоящий и без подписи.

По поводу шрифтов — вообще-то PDF позволяет встраивать (? — embed) шрифты, которые использует оригинальный документ, если для них это разрешено. А если нет, в Word 2007 есть опция «Bitmap text when fonts may not be embedded». И хотя я не проверял, но почти уверен, что в программах MS Office по умолчанию при сохранении как PDF шрифты встраиваются. Так что вторая описанная атака не пройдет с PDF даже при настройках по умолчанию.

Ожидал прочитать что-то о взломе или подмене сертификатов. А было что-то вроде атаки man in the middle. И заключение «Эксперимент показал, что редактируемые форматы DWG, DOC, DOCX не подходят для создания электронных подлинников, так как могут быть легко скомпрометированы» никаким образом не следует из статьи, так как в ней не было описано скомпрометирование файлов.
По поводу шрифтов — вообще-то PDF позволяет встраивать (? — embed) шрифты, которые использует оригинальный документ, если для них это разрешено.
>
Конечно атакующий знает как сделать документ защищенным. Но его задача реализовать атаку, а не провалить её. А для подписывающего документ:
"… перед подписанием каждого PDF необходимо убедиться, что документ соответствует стандарту PDF/A или отсутствуют зависимости от шрифтов."
Эксперимент показал, что редактируемые форматы DWG, DOC, DOCX не подходят для создания электронных подлинников, так как могут быть легко скомпрометированы.


Простите, не увидел в статье вот этого. Вы показали что нельзя доверять рабочему месту, а не документу… Все равно что драйвер печати переписать, который в конце месяца при печати «Премия.doc» налету будет 150 на 250 заменять, кто там сразу разглядит в длинном списке… В теории ведь можно и прошивку принтера изменить…
Работники финансового сектора корпоративной ЛВС имеют администраторские права на своих компьютерах? «Это какой-то позор...»©

Есть способы атаки и без админского доступа, например вычисляемые поля или ссылки (как в первом сценарии с DWG). Но в случае применения ЭП предполагается, что защиту электронных подлинников обеспечивает технология, а не права доступа. Важно понимать где начинаются и где заканчиваются возможности технологии.

Есть способы атаки и без админского доступа, например вычисляемые поля или ссылки (как в первом сценарии с DWG). Но в случае применения ЭП предполагается, что защиту электронных подлинников обеспечивает технология, а не права доступа. Важно понимать где начинаются и где заканчиваются возможности технологии.

Не трудно повысить себе права, имея физический доступ к своему компьютеру.

Юридически значимые электронные документы это всё-таки наверное не файлы, а данные хранимые в информационных системах. Возьмём для примера Электронный бюджет. Данные в системе хранятся в таблицах БД. При подписании на основании схемы подписи формируется состав подписываемый данных типа "ключ-значение". После усиления подпись сохраняется в БД. Подписываются текстовые данные. В ЕИС- формируется XML файл, который подписывается. Для визуализации используется xsl преобразование xml файла в html.
Так что мне кажется, что проблема надумана.

У нас в конторе расчетчик однажды опечаталась и лишний ноль кому-то в премию вбила. Документ прошел все последующие стадии (главбуха, шефа) и деньги зачислили на счет сотруднику. Через несколько дней случайно обнаружила свою ошибку и с сотрудника деньги удержали. Вектор атаки — «всем фиолетово». )
А уж у админов возможностей намного больше, например, многим админам, приходится регулярно «помогать»(читай: делать работу самим) бухгалтерам, которые подменяют своего коллегу на время отпуска и не помнят всех деталей его работы. Там и горсть всевозможных «флешек» (токенов) с закрытыми ключами фирмы легко попадает в руки админа.
Наверное так не везде, но, думаю, много где.
При чём же тут "редактируемость формата" документа?
Тем более, что и «нередактируемый» PDF уязвим к такой атаке «не-на-подпись»?
Форматы фиксированной разметки или fixed-document format — более точное определение для «нередактируемых» форматов. Здесь важным является 100% самодостаточность документов, когда все необходимые для отображения ресурсы находятся внутри файла. И всё это подписывается ЭП, тогда документ не будет подвержен такого рода атакам. К таким форматам можно отнести XPS и PDF/A (но не PDF).
Для установки шрифта не нужны права администратора. Шрифт можно зарегистрировать на уровне пользовательской сессии — так работают менеджеры шрифтов.
Only those users with full accounts are able to leave comments. Log in, please.