Hlavní navigace

Názor k článku Podvržené jméno a změna PDF po podepsání? Pro většinu PDF čteček žádný problém od Filip Jirsák - Určitě tak víme, co jsou revize a také...

  • 6. 5. 2019 15:29

    Filip Jirsák

    Určitě tak víme, co jsou revize a také víme, co jsou časová razítka.
    Já v to doufám – je ale škoda, že po přečtení článku o tom čtenář pochybuje.

    Software půjde na Github, informací tak bude dost. Jen na to ještě neuzrála ta správná doba, jde částečně o 0-day věc.
    Ty zranitelnosti přece s vaším softwarem nijak nesouvisí. To podstatné, co teď chybí, jsou úplně jiné informace. To nejdůležitější je, které PDF klienty jste testovali, které jsou zranitelné a které nejsou. Tajením téhle informace uživatelům určitě nepomůžete, maximálně tak útočníkům. Pokud by chtěl té chyby se zobrazením údajů o podepisující osobě někdo zneužít, už teď od vás má návod, jak takové PDF vyrobit. Pokud to bude zkoušet plošně, je mu úplně jedno, že tu chybu má jen některý PDF klient. A pokud bude útočit na někoho konkrétního, buď to zkusí, nebo si zjistí, jaký PDF prohlížeč dotyčný používá, a vyzkouší si to v něm. Takže tajení seznamu postižených programů rozhodně ničemu nepomáhá, spíš naopak. Alespoň v případě té první chyby.

    Teď opravdu není cílem dávat někomu návod.
    V případě té první chyby už jste ten návod ale dali.

    Článek neměl být detailním a vyčerpávajícím přehledem.
    Za mne je otázka, čemu měl článek vlastně sloužit. Pokud by měl sloužit jako varování uživatelů před tím, než dojde k nápravě, musel by obsahovat jasnou informaci, že některé prohlížeče (a seznam těch, u kterých jste to zjistili) nezobrazují u podpisu informaci z certifikátu, ale informaci, kterou může útočník zfalšovat. (Tahle nejpodstatnější informace se dá vyčíst mezi řádky a ze screenshotu, ale explicitně uvedená v článku vlastně není!) Pak seznam prohlížečů, o kterých víte, že touto chybou netrpí, a upozornění, že v těch postižených prohlížečích je potřeba se proklikat až ke konkrétnímu certifikátu.

    Zatím je ten článek nejužitečnější pro potenciální útočníky, kterým dává informací dost.

    Za mě je článek srozumitelný, nejde o vědecké pojednání.
    Kdyby nebyl článek srozumitelný ani pro autora, bylo by to na pováženou… Ne každý má na psaní talent – kdyby měl, tak vyjde na Rootu každý den desítky článků. Ale dá se tomu pomoci třeba tím, že přizvete k editaci někoho, kdo dané problematice nerozumí.

    Problém je v tom, že článek je nevyvážený co do zaměření na cílové publikum. Místy psaný úplně pro laiky, jde v zjednodušování tak daleko, že jsou v něm nepravdivá tvrzení – např. „Že nemůže být PDF elektronicky podepsáno Albertem Einsteinem, protože jmenovaný nežije?“ Tady musí zbystřit každý, kdo alespoň tuší něco o PKI a ví, že důvěryhodnost certifikátům dodává až certifikační autorita – ale nedůvěryhodný certifikát na jméno Albert Einstein si může vyrobit každý a když jím podepíše PDF, bude to PDF zcela správně podepsáno Albertem Einsteinem. Po přečtení citované věty čtenář zbystří a dumá nad tím, jestli autor opravdu chce řešit bezpečnost podpisů PDF a neví, co je certifikát – a dál už se to čte jako detektivka, kdy je účelem zjistit, co o problematice vlastně ví autor. A autor toho může vědět spoustu – ale nešťastné formulace v článku to shazují.

    Hned po té výše citované větě se článek překlápí do opačného extrému, kdy píše o tom, jakým certifikátem je PDF podepsané, na screenshotu přitom ukazuje informační panel z chybného PDF prohlížeče a nechává na čtenáři-expertovi, aby si uvědomil, že PDF prohlížeče zobrazují zvlášť informace o podpisu a zvlášť o certifikátu, že v těchto informacích může být rozpor, a že rozpor mezi screenshotem a textem článku je daný právě tou chybou v PDF prohlížeči. V dalším textu jsou indicie, které této interpretaci nasvědčují, ale explicitně to není napsáno nikde. Laik už se dávno ztratil, odborník se diví, proč podstatu sdělení článku musí rekonstruovat sám.

    Já na vás nechci nijak útočit, jenom mi připadá, že forma úplně neodpovídá obsahu – z čehož plyne riziko, že se tím skutečným problémem nikdo vážně zabývat nebude.