Digitaal ondertekende pdf-documenten vervalsen is makkie

Adobe-logoOnderzoekers van de Ruhruniversiteit in Bochum (D) hebben zonder al te veel problemen de inhoud van digitaal ondertekende pdf-documenten veranderd. Vrijwel geen pdf-toepassing sloeg alarm. Getekende pdf-bestanden worden door veel bedrijven als factuur gebruikt. In sommige landen, zoals Oostenrijk en de VS, wordt die techniek gebruikt om overheidsdocumenten te beschermen. Inmiddels zouden de gaten gedicht zijn met hulp van de onderzoekers.
Toen bleek dat bijna alle toepassingen op dit terrein makkelijk waren te veranderen, stapten de onderzoekers in oktober vorig jaar naar de lokale autoriteiten, in dit geval CERT-Bund, om het mankement te melden. Met behulp van het bedrijf Hackmanit GmbH assisteerden ze de makers van die toepassingen de veiligheidslekken te dichten, aldus het persbericht.
“Net als het groene slotje bij het webadres in je webprogramma, moeten digitale handtekeningen borg staan voor de identiteit van de afzender (en de autenticiteit van het document; as)”, zegt onderzoeker Jörg Schwenk. “In Duitsland betalen veel mensen dergelijke getekende facturen per bank.”
Sedert in 2014 de Europese verordening elektronische identificatie en vertrouwensdiensten voor elektronische transacties is uitgevaardigd, zijn digitale handtekeningen gemeengoed geworden. Veel grote ondernemingen gebruiken ze voor facturen, overeenkomsten in EU-projecten worden vaak digitaal ondertekend en in Oostenrijk worden nieuwe wetten digitaal ondertekend. Schwenk: “Adobe heeft een digitale-handtekeningdienst die in 2017 al zo’n achtmiljard keer is gebruikt, volgens het bedrijf.”

22 toepassingen

Op dit terrein zijn allerlei diensten en programma’s ontstaan. De onderzoekers testten 22 computerprogramma’s (MacOS, WIndows en Linux) en zeven webdiensten. Die laatste controleren de echtheid van een ondertekend elektronisch document en worden, onder meer gebruikt, door overheden en bedrijven.
Ze probeerden drie verschillende strategieën uit: vervalsing van de handtekening (in Engelse afko USF), een strategie die incrementele bewaaraanval wordt genoemd (ISA) en een strategie om de handtekening ‘in te pakken’ (SWA). Wat die aanvallen precies in houden wordt er in het persbericht niet bij verteld, maar digitale ondetekening zou een waarborg moeten zijn voor de autenticiteit en de afkomst van een document. Dat houdt in dat je zo’n document niet kan wijzigen, anders dan door de ondertekenaar.
21 van de 22 computerprogramma’s en vijf van de zeven webdiensten bleken gevoelig voor tenminste een van de drie aanvalsstrategieën. De onderzoekers bleken willekeurige delen van een digitaal ondertekend document te kunnen veranderen. Zo konden ze zonder problemen een factuurbedrag verhogen naar 1 biljoen dollar.
Schwenk: “Gebruikers van pdf-programma’s kunnen op het web controleren of hun versie op onze lijst voorkomt.” De onderzoekers raden aan als ze gebruik maken van een ‘lekke versie’ om zo snel mogelijk een bijgewerkte versie binnen te halen.

Bron: Alpha Galileo

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.