Le firme digitali sui file PDF sono uno standard piuttosto comune nella quotidianità del lavoro per moltissimi di noi. Questi, file corredati da firma digitale, vengono utilizzati per stringere accordi, chiudere contratti e hanno il compito di garantire l’autenticità e l’integrità dei contenuti con minori oneri burocratici rispetto alla firma classica.
Per esempio, il compito della firma digitale su un file PDF è quello di informare un utente, che sta aprendo il documento, della presenza di modifiche sullo stesso.
Adesso, però, un team di ricercatori della Ruhr-University di Bochum in Germania ha pubblicato un report che descrive attacchi in grado di aggirare la procedura di convalida delle firme digitali su file PDF. In questo studio sono stati mostrati attacchi in grado di modificare i documenti PDF senza invalidare la firma digitale.
Non si tratta di un veicolo per compiere un classico cyber attack dirompente (magari nascondendo malware), ma di un semplice attacco di social engineering in cui l’attaccante falsifica i documenti al fine di ottenere vantaggi economici.
Indice degli argomenti
Firma digitale sui file PDF: gli attacchi ombra
Stiamo parlando degli attacchi ombra (o shadow attack), in grado di evitare tutte le contromisure esistenti e infrangere il sigillo di integrità digitale dei file PDF firmati.
Uno shadow attack, detto semplicemente, avviene quando un threat actor prepara un documento con diversi strati (layer) e lo invia a una vittima. La vittima firma digitalmente il documento con uno strato “benigno” sopra, ma quando l’attaccante lo riceve, cambia lo strato visibile con un altro precedentemente nascosto.
Non si tratta di una tecnica nuova, ma messi a confronto con offensive precedenti, gli ultimi esempio di attacchi ombra non fanno leva su problemi nell’abuso di implementazione (CVE) presenti in programmi per visualizzare file PDF.
Anzi, questi attacchi sfruttano l’enorme flessibilità garantita dalle specifiche PDF in modo che i documenti malevoli (ombra) mantengano il rispetto degli standard di sicurezza. Dato che gli attacchi ombra possono sfruttare solo funzionalità legittime, sono molto complessi da evitare.
Un documento PDF ombra, infatti, presenta contenuti affidabili agli occhi del firmatario (documento matrice). A documento firmato, gli aggressori lo modificano e ne consentono la visualizzazione da parte della vittima senza invalidare la firma (documento secondario).
Tutte le tipologie di attacchi ombra
Nascondi (Hide)
Il primo obiettivo di un attacco ombra è celare i contenuti rilevanti alle vittime dietro a uno strato visibile. Ad esempio, gli aggressori possono nascondere la frase “Sei licenziato!” dietro a una immagine che mostra il messaggio “Iscriviti per ricevere il premio!”. Una volta che gli aggressori ricevono il documento firmato, lo manipolano in modo che l’applicazione di visualizzazione non mostri più l’immagine.
Gli attacchi di questo tipo presentano un grande vantaggio dalla prospettiva dei criminal hacker: anche se alcuni programmi di visualizzazione mostrano avvisi nel caso in cui siano stati aggiunti dei contenuti nuovi e visibili, aggiornando di fatto il documento, nella maggior parte dei casi non mostrano alcun tipo di avviso nel caso in cui vengano rimossi dei contenuti.
Rimpiazza (Replace)
Questo tipo di attacco ombra utilizza un Incremental Update (ovvero una modifica del testo del PDF con aggiunta) che cambia direttamente oggetti dichiarati in versioni precedenti.
Dato che la modifica non è consentita per tutti i tipi di oggetti, l’aggressore modifica solo gli oggetti che sono considerati non pericolosi ma che possono comunque modificare il contenuto visibile di un documento.
Ad esempio, la ridefinizione dei font non modifica direttamente il contenuto. Ma può influenzare la parte visibile dei contenuti mostrati e rende possibile la modifica di caratteri (o anche un cambiamento nel loro numero totale).
Questo consente di inserire o nascondere clausole o vincoli nei file PDF.
Nascondi e rimpiazza (Hide and Replace)
Gli aggressori creano un documento PDF ombra che viene poi inviato ai firmatari. Il documento PDF contiene una descrizione nascosta di un altro documento con contenuti diversi. Dato che i firmatari non possono rilevare la presenza di questo contenuto, firmeranno il documento.
Con questa tipologia di offensiva, gli aggressori possono manipolare un documento firmato e mostrare versioni diverse ai firmatari e alle vittime.
Come difendersi da questa minaccia
Alla luce di questa nuova problematica, nel caso in cui si sospetti che i contenuti dei file PDF soggetti a firma digitale siano stati modificati o si desideri comunque uno standard di sicurezza superiore, è possibile far leva su tool specifici per il rilevamento di attacchi ombra su documenti PDF.
Tali strumenti sono naturalmente utili, ma è bene essere a conoscenza di programmi simili ma rivolti all’attacco di file PDF firmati, in grado di creare e automatizzare gli attacchi ombra.
Questi PDF-Attacker possono prendere un file PDF, integrare oggetti ombra (nella prima fase), firmare il documento (fase 2) e finalizzare l’offensiva attivando il contenuto ombra (fase 3).
Si tratta quindi di una tecnica molto ingegnosa e difficile da rilevare. In questo caso l’antidoto migliore è quello di mantenere altissimo il livello di guardia e attenzione nel caso si stiano firmando documenti vincolanti con terze parti sconosciute e di discutibile affidabilità.
Come detto, la maggior parte di questi attacchi possono essere rilevati, ma ciò è possibile solo quando si è a conoscenza del pericolo insito in qualcosa di così mondano come un PDF con firma digitale.
Non abbassiamo la guardia.