Diego Zanga

Firma digitale falsificata? E' falsa solo la notizia

di Diego Zanga - Una bufala la notizia che la firma digitale sia stata falsificata, girata nei giorni scorsi in rete e finita sui settimanali cartacei. Punto Informatico ne parla con gli esperti. Il ministero delle Finanze per ora tace

Roma - Un brivido ha scosso la Rete e forse il Ministero delle Finanze, per una notizia diffusa in questi giorni e forse pubblicata con un po di leggerezza dentro e fuori dal Web: "Falsificata la firma digitale". La fonte originale della notizia è il Prof. Francesco Buccafurri del Dipartimento DIMET, Facoltà di Ingegneria dell'Università Mediterranea di Reggio Calabria, che ha pubblicato un breve documento, con un esempio di attacco alla firma digitale

Dal suo sito, la notizia è girata per la rete tramutandosi da attacco alla firma in falsificazione della firma.
L'esempio di attacco del Prof. Buccafurri mostra come, cambiando l'estensione di un file, il contenuto del file che viene visualizzato sia differente.

Nel file dell'esempio preparato dal prof.re ovviamente non cambia il contenuto: il problema è nel visualizzatore per questi documenti, il quale identifica il contenuto in base all'estensione e mostra di volta in volta una parte diversa dello stesso documento firmato, in base all'estensione del file.
La firma dunque non viene falsificata, dato che è apposta su entrambi i contenuti, e questi non sono separabili se non annullando la validità della firma digitale: una verifica del file permette di identificare il raggiro in pochi minuti, dato che la traccia del misfatto è consultabile in ogni momento e non si puo' nascondere o eliminare.

La diffusione di notizie sulla falsificazione della firma digitale pare pero' aver scatenato il panico in alcuni forum e mailing list della rete, e forse anche presso il Ministero delle Finanze: non è stato ancora possibile ottenere conferma da parte del Ministero, per verificare se effettivamente il problema sia mai giunto al ministero stesso, né ad oggi il ministero ha pubblicato alcun commento in proposito. È quindi tanto più rilevante far chiarezza rapidamente sulla questione.

L'Ing. Giovanni Manca, esperto del CNIPA contattato telefonicamente da Punto Informatico, ha segnalato come questo trucco abbia un discreto valore scientifico, perché per quanto fosse un exploit noto, ad oggi sembra che nessuno si fosse preoccupato di realizzarne un esempio concreto: il trucco pero' non sta preoccupando il CNIPA che ha comunque provveduto alle verifiche del caso.

In ambito FESA (Forum of European Supervisory Authorities for Electronic Signatures), la questione è già stata giudicata come scientificamente interessante, ma senza alcuna validità pratica, per vari motivi tecnici connessi anche alle legislazioni locali dei paesi europei: il FESA infatti ha già affrontato il problema in passato, dato che questo trucco è noto, ed era già stato analizzato, come un problema indirizzato per lo più al settore delle firma digitale applicata al GIS (Sistema Informativo Geografico).

Volendo citare qualche esempio risolutivo, in Slovenia il trucco è stato evidenziato tempo fa, quindi risolto inserendo tra i dati della firma anche il nome del documento (nome ed estensione), così da evidenziare immediatamente discrepanze sul file firmato.

Dal punto di vista tecnico: nella firma digitale di un file è possibile inserire degli attributi firmati, tra questi è probabile verrà previsto anche in Italia di inserire il nome completo del file, per prevenire possibili problemi, in modo che le applicazioni per la firma digitale verifichino anche questo attributo.
Parte del problema è infatti causato dai programmi che verificano la firma: il generico programma "made in USA" non si occupa di considerare tutti i requisiti richiesti per la firma digitale dalle varie amministrazioni europee.
83 Commenti alla Notizia Firma digitale falsificata? E' falsa solo la notizia
Ordina
  • Allora:

    "Attraverso questo attacco, è possibile che Tizio firmi un contratto elettronico in formato ritenuto assolutamente sicuro (ad esempio un’immagine bitmap) di valore pari a 1.000 Euro, e che poi il documento firmato appaia al destinatario come un contratto di valore pari a 100.000 Euro, così come la stampa che del documento si potrà fare, semplicemente perché il nome del file firmato (di quello che tecnicamente prende il nome della busta crittografica) viene a posteriori modificato.

    E' possibile scaricare qui un file di esempio dell'attacco, chiamato "contratto.bmp", il cui contenuto cambia in funzione dell'estensione (provare salvando il file in locale e rinominandolo in "contratto.htm")."


    Se questo è lo stralcio dell'articolo, allora vista la vaghezza (dello stralcio) mi permetto di essere altrettanto vago.

    Ammettiamo ci sia una busta crittografica che contiene il documento firmato. Diciamo un p7m. Perfetto, sempre se intuisco la vostra ricerca, il programma di verifica e salvataggio del file firmato, deduce dal nome del file miofile.ext.p7m, l'estensione (ext) e salva il file firmato, dopo la verifica con il nome miofile.ext.

    Quindi modifico il nome del file da miofile.ext.p7m in miofile.ext1.p7m, apro il file miofile.ext1 che se è polimorfo visualizza una cosa diversa da quello che ha visto chi lo ha firmato. Visualizza infatti il formato ext1 invece che ext.Corretto?

    Per essere ancora più chiari:

    Firmo un bel file BMP polimorfo (non mi accorgo di firmare un file polimorfo), poi lo mando a Bill, ma a Bill non ariva miofile.bmp.p7m, ma miofile.html.p7m. A questo punto Bill apre il file e, sorpresa, legge il valore cambiato perché di fatto apre la parte HTML.

    Giusto?


    Allora il problema qui non è della firma digitale. La firma digitale esegue un hash di TUTTO il file e lo cifra con la chiave privata del firmatario a cui è associato un certificato pubblico.

    Il problema qui è di come viene visualizzato un firmato binario complesso e dal firmatario, e dal verificatore della firma.

    Quindi la domanda è la seguente:

    Io che firmo, mi fido del viewer di Windows per i BMP?

    Spero proprio di no e che si utilizzi un viewer "certificato". Tipicamente le CA danno dei loro kit per la firma di file che potrebbero fare delle verifiche sul formato firmato (il fatto che non lo facciano non depone a suo favore).

    E anche chi visualizza il file si fida del suo visualizzatore sul suo PC?


    Siamo d'accordo che il problema è di come il file firmato venga "visualizzato" all'utente e non nell'algoritmo di firma?

    Mi pare che questo sia incontrovertibile.

    Certo potremmo obbligare il formato p7m a memorizzare anche i metadati di formato associati al file. Ma chi verifica che il metadato associato sia effettivamente valido?

    Il visualizzatore all'atto della verifica della firma, verificherebbe non solo che la firma sia valida ma anche che il formato del file è effettivamente quello dichiarato.

    Quindi a questo punto non basterebbe utilizzare dei visualizzatori accreditati che verifichino i formati non solo dalle estensioni?

    Se fosse possibile sarebbe meglio mettere a disposizione della collettività un TR che esplichi un pò meglio l'originalità della vostra ricerca.

    Oppure dobbiamo comprarci gli atti del congresso non appena l'articolo sarà pubblicato?

    Potreste sprecare meno tempo a polemizzare con Cammarata e Giustozzi (che non sono proprio gli utlimi infatto di firma digitale) e fare un sito che esplica più in dettaglio la vostra "scoperta".

    Saluti
    non+autenticato
  • - Scritto da: riphukio
    > Allora:
    >
    > "Attraverso questo attacco, è possibile che Tizio
    > firmi un contratto elettronico in formato
    > ritenuto assolutamente sicuro (ad esempio
    > un’immagine bitmap) di valore pari a 1.000 Euro,
    > e che poi il documento firmato appaia al
    > destinatario come un contratto di valore pari a
    > 100.000 Euro, così come la stampa che del
    > documento si potrà fare, semplicemente perché il
    > nome del file firmato (di quello che tecnicamente
    > prende il nome della busta crittografica) viene a
    > posteriori
    > modificato.


    ok (se le pare poco...)

    >
    > E' possibile scaricare qui un file di esempio
    > dell'attacco, chiamato "contratto.bmp", il cui
    > contenuto cambia in funzione dell'estensione
    > (provare salvando il file in locale e
    > rinominandolo in
    > "contratto.htm")."


    ok
    >
    >
    > Se questo è lo stralcio dell'articolo, allora
    > vista la vaghezza (dello stralcio) mi permetto di
    > essere altrettanto
    > vago.



    >
    > Ammettiamo ci sia una busta crittografica che
    > contiene il documento firmato. Diciamo un p7m.
    > Perfetto, sempre se intuisco la vostra ricerca,
    > il programma di verifica e salvataggio del file
    > firmato, deduce dal nome del file
    > miofile.ext.p7m, l'estensione (ext) e salva il
    > file firmato, dopo la verifica con il nome
    > miofile.ext.
    >
    >
    > Quindi modifico il nome del file da
    > miofile.ext.p7m in miofile.ext1.p7m, apro il file
    > miofile.ext1 che se è polimorfo visualizza una
    > cosa diversa da quello che ha visto chi lo ha
    > firmato. Visualizza infatti il formato ext1
    > invece che
    > ext.Corretto?


    ok

    e questo avviene almeno su Windows,
    Unix-like con KDE, Mac OS...

    >
    > Per essere ancora più chiari:
    >
    > Firmo un bel file BMP polimorfo (non mi accorgo
    > di firmare un file polimorfo), poi lo mando a
    > Bill, ma a Bill non ariva miofile.bmp.p7m, ma
    > miofile.html.p7m. A questo punto Bill apre il
    > file e, sorpresa, legge il valore cambiato perché
    > di fatto apre la parte
    > HTML.
    >
    > Giusto?

    ok
    >
    >
    > Allora il problema qui non è della firma
    > digitale. La firma digitale esegue un hash di
    > TUTTO il file e lo cifra con la chiave privata
    > del firmatario a cui è associato un certificato
    > pubblico.


    un sistema è sicuro se non è possibile sfruttare
    sue debolezze intrinseche o sfruttare caratteristiche
    dell'ambiente in cui è eseguito per determinarene
    un comportamento malicious.

    Non abbiamo mai affermato nella nostra ricerca
    che si tratta di una debolezza degli algoritmi
    di firma (inclusi gli hash).
    Tuttavia è una debolezza degli strumentoi di firma
    compliant alla normativa europea.
    E' un problema di rilevanza pratica perchè
    l'attacco riesce, e questo è indiscutibile.



    >
    > Il problema qui è di come viene visualizzato un
    > firmato binario complesso e dal firmatario, e dal
    > verificatore della
    > firma.
    >
    > Quindi la domanda è la seguente:
    >
    > Io che firmo, mi fido del viewer di Windows per i
    > BMP?
    >

    come si fida di quello linux/KDE.
    Cosi' funzional la firma.
    Il discorso della verifica del formato
    è troppo complesso, al momento
    NESSUNO lo fa.
    Ma la ricerca che abbiamo fatto
    ha appunto il merito
    di evidenziare il problema
    e adottare contromisure.



    > Spero proprio di no e che si utilizzi un viewer
    > "certificato". Tipicamente le CA danno dei loro
    > kit per la firma di file che potrebbero fare
    > delle verifiche sul formato firmato (il fatto che
    > non lo facciano non depone a suo
    > favore).
    >
    > E anche chi visualizza il file si fida del suo
    > visualizzatore sul suo
    > PC?
    >
    >
    > Siamo d'accordo che il problema è di come il file
    > firmato venga "visualizzato" all'utente e non
    > nell'algoritmo di
    > firma?
    >
    > Mi pare che questo sia incontrovertibile.


    Certo. Ma riguarda strettamente la firma,
    che è l'unico strumento
    che garantisce l'immodificabilità del contenuto
    (lo fa, certamente, ma quelo che conta
    è cio' che appare, cio' che stampo,
    cio' che viene presentato all'utente).
    Il documento, giuridicamente,
    è la rappresentazione di atti o fatti giuridicamente
    rilevanti.
    Purtroppo non è l'insieme dei bit
    di cui è composto, per cui
    se cambia la sua presentazione,
    cambiano gli atti o fatti da esso rappresentati.

    >
    > Certo potremmo obbligare il formato p7m a
    > memorizzare anche i metadati di formato associati
    > al file. Ma chi verifica che il metadato
    > associato sia effettivamente
    > valido?

    La soluzione "semplice" consigliata nel lavoro,
    è di firmare anche il nome del file (inclusa l'estensione).
    All'atto della verifica, viene
    anche verificata l'integrità del nome,
    cosi' nessuno lo puo' cambiare
    e l'attacco è disinnescato.

    Come vede il problema è nella firma,
    perchè è sufficiente irrobustire il protocollo
    di firma (cioe' il modo con cui si confeziona
    la busta e il modo con cui si verifica)
    per risolvere il problema.
    Tenga conto pero' che questa "piccola
    modifica" comporterebbe la
    modifica di tutti i sw dei certificatori,
    che non è banale...


    >
    > Il visualizzatore all'atto della verifica della
    > firma, verificherebbe non solo che la firma sia
    > valida ma anche che il formato del file è
    > effettivamente quello
    > dichiarato.
    >
    > Quindi a questo punto non basterebbe utilizzare
    > dei visualizzatori accreditati che verifichino i
    > formati non solo dalle
    > estensioni?

    irrealizzabile dal punto di vista pratico.

    >
    > Se fosse possibile sarebbe meglio mettere a
    > disposizione della collettività un TR che
    > esplichi un pò meglio l'originalità della vostra
    > ricerca.
    >

    adesso c'e' qualcosa in piu' sul sito
    www.unirc.it/firma

    > Oppure dobbiamo comprarci gli atti del congresso
    > non appena l'articolo sarà
    > pubblicato?
    >
    > Potreste sprecare meno tempo a polemizzare con
    > Cammarata e Giustozzi (che non sono proprio gli
    > utlimi infatto di firma digitale) e fare un sito
    > che esplica più in dettaglio la vostra
    > "scoperta".

    non conosco le classifiche di merito sulla
    firma digitale.
    Ma mi sembra un argomento poco rilevante.

    Le risposte a Cammarata e Giustozzi
    hanno lo scopo di chiarire gli equivoci
    che le loro interpretazioni potevano
    far insorgere.


    >
    > Saluti

    Saluti
    non+autenticato
  • > >
    > >
    > > Allora il problema qui non è della firma
    > > digitale. La firma digitale esegue un hash di
    > > TUTTO il file e lo cifra con la chiave privata
    > > del firmatario a cui è associato un certificato
    > > pubblico.
    >
    >
    > un sistema è sicuro se non è possibile sfruttare
    > sue debolezze intrinseche o sfruttare
    > caratteristiche
    > dell'ambiente in cui è eseguito per determinarene
    > un comportamento malicious.
    >
    > Non abbiamo mai affermato nella nostra ricerca
    > che si tratta di una debolezza degli algoritmi
    > di firma (inclusi gli hash).
    > Tuttavia è una debolezza degli strumentoi di firma
    > compliant alla normativa europea.
    > E' un problema di rilevanza pratica perchè
    > l'attacco riesce, e questo è indiscutibile.

    Sono d'accordo con lei. Il problema è che la vostra ricerca ancora non è nota al mondo semplicemente perché sul vostro sito non c'è abbastanza materiale per "definire" qual'è la vostra ricerca.

    >
    >
    >
    > >
    > > Il problema qui è di come viene visualizzato un
    > > firmato binario complesso e dal firmatario, e
    > dal
    > > verificatore della
    > > firma.
    > >
    > > Quindi la domanda è la seguente:
    > >
    > > Io che firmo, mi fido del viewer di Windows per
    > i
    > > BMP?
    > >
    >
    > come si fida di quello linux/KDE.
    > Cosi' funzional la firma.
    > Il discorso della verifica del formato
    > è troppo complesso, al momento
    > NESSUNO lo fa.
    > Ma la ricerca che abbiamo fatto
    > ha appunto il merito
    > di evidenziare il problema
    > e adottare contromisure.

    Mi perdoni ma, non avendo letto ancora il suo articolo, mi sembra che attualmente il merito sia stato quello di risollevare il problema.


    >
    >
    >
    > > Spero proprio di no e che si utilizzi un viewer
    > > "certificato". Tipicamente le CA danno dei loro
    > > kit per la firma di file che potrebbero fare
    > > delle verifiche sul formato firmato (il fatto
    > che
    > > non lo facciano non depone a suo
    > > favore).
    > >
    > > E anche chi visualizza il file si fida del suo
    > > visualizzatore sul suo
    > > PC?
    > >
    > >
    > > Siamo d'accordo che il problema è di come il
    > file
    > > firmato venga "visualizzato" all'utente e non
    > > nell'algoritmo di
    > > firma?
    > >
    > > Mi pare che questo sia incontrovertibile.
    >
    >
    > Certo. Ma riguarda strettamente la firma,
    > che è l'unico strumento
    > che garantisce l'immodificabilità del contenuto
    > (lo fa, certamente, ma quelo che conta
    > è cio' che appare, cio' che stampo,
    > cio' che viene presentato all'utente).
    > Il documento, giuridicamente,
    > è la rappresentazione di atti o fatti
    > giuridicamente
    > rilevanti.
    > Purtroppo non è l'insieme dei bit
    > di cui è composto, per cui
    > se cambia la sua presentazione,
    > cambiano gli atti o fatti da esso rappresentati.
    >
    > >
    > > Certo potremmo obbligare il formato p7m a
    > > memorizzare anche i metadati di formato
    > associati
    > > al file. Ma chi verifica che il metadato
    > > associato sia effettivamente
    > > valido?
    >
    > La soluzione "semplice" consigliata nel lavoro,
    > è di firmare anche il nome del file (inclusa
    > l'estensione).
    > All'atto della verifica, viene
    > anche verificata l'integrità del nome,
    > cosi' nessuno lo puo' cambiare
    > e l'attacco è disinnescato.

    Si ma nessuno mi garantisce che il metadato sia effettivamente valido se il sistema di apposizione della firma non verifica che il formato del file corrisponda effettivamente al metadato associato.


    >
    > Come vede il problema è nella firma,
    > perchè è sufficiente irrobustire il protocollo
    > di firma (cioe' il modo con cui si confeziona
    > la busta e il modo con cui si verifica)
    > per risolvere il problema.

    Bisogna intendersi sui termini. Se per lei la "Firma Digitale" è quella definita dal CNIPA allora sono d'accordo, altrimenti se consideriamo la definizione informatica, il protocollo non c'entra nulla.

    Probabilmente molte polemiche sono nate proprio grazie all'ambiguità di questa terminologia.

    > Tenga conto pero' che questa "piccola
    > modifica" comporterebbe la
    > modifica di tutti i sw dei certificatori,
    > che non è banale...

    Infatti propendo più per dei "visualizzatori" certificati.

    >
    >
    > >
    > > Il visualizzatore all'atto della verifica della
    > > firma, verificherebbe non solo che la firma sia
    > > valida ma anche che il formato del file è
    > > effettivamente quello
    > > dichiarato.
    > >
    > > Quindi a questo punto non basterebbe utilizzare
    > > dei visualizzatori accreditati che verifichino i
    > > formati non solo dalle
    > > estensioni?
    >
    > irrealizzabile dal punto di vista pratico.

    E per quale motivo?

    Metto sul sito del CNIPA un pacchetto MSI o un .DEB da scaricare che mi installa un "visualizzatore" di file BMP, PDF, etc. etc. che prima di aprire un file esegue dei controlli di consistenza.

    Quindi non va a vedere solo l'estensione del file o il magic number ma analizza la struttura del file. Se ha presente gli strumenti utilizzati per la computer forenisc...

    >
    > >
    > > Se fosse possibile sarebbe meglio mettere a
    > > disposizione della collettività un TR che
    > > esplichi un pò meglio l'originalità della vostra
    > > ricerca.
    > >
    >
    > adesso c'e' qualcosa in piu' sul sito
    > www.unirc.it/firma

    Mi scusi ma non riesco a trovarla...sarebbe così gentile da darci qualche riferimento più preciso?

    >
    > > Oppure dobbiamo comprarci gli atti del congresso
    > > non appena l'articolo sarà
    > > pubblicato?
    > >
    > > Potreste sprecare meno tempo a polemizzare con
    > > Cammarata e Giustozzi (che non sono proprio gli
    > > utlimi infatto di firma digitale) e fare un sito
    > > che esplica più in dettaglio la vostra
    > > "scoperta".
    >
    > non conosco le classifiche di merito sulla
    > firma digitale.
    > Ma mi sembra un argomento poco rilevante.

    In effeti mi interessava evidenziare che le polemiche sono di per sé poco rilevanti.

    >
    > Le risposte a Cammarata e Giustozzi
    > hanno lo scopo di chiarire gli equivoci
    > che le loro interpretazioni potevano
    > far insorgere.
    >
    >
    > >
    > > Saluti
    >
    > Saluti

    Saluti
    non+autenticato
  • > Mi perdoni ma, non avendo letto ancora il suo
    > articolo, mi sembra che attualmente il merito sia
    > stato quello di risollevare il problema.


    > > adesso c'e' qualcosa in piu' sul sito
    > > www.unirc.it/firma
    >
    > Mi scusi ma non riesco a trovarla...sarebbe così
    > gentile da darci qualche riferimento più
    > preciso?

    Se l'inglese non è un problema puoi trovare qualche dettaglio in più sull'attacco andando nella versione inglese del sito ( http://www.unirc.it/firma/en/attack_en.html )
    non+autenticato
  • Ahhhh...finalmente Sorride

    Thanks a lot

    Sono due giorni che chiedo al Prof qualche info più precisa....

    grazie mille Sorride
    non+autenticato
  • 1) Dov'è l'articolo in inglese pubblicato?

    2) L'articolo si baserebbe sul fatto che il visualizzatore utilizzato prima di apporre la firma è diverso dal visualizzatore utilizzato per la verifica DOPO la firma?
    E quindi se costruisco un file polimorfo che cambia la sua visualizzazione a seconda di quale programma viene utilizzato allora questa sarebbe una vulnerabilità della firma digitale?

    Sarebbe questa la scoperta?

    Se così fosse, questa sarebbe unicamente la scoperta dell'acqua calda. Il formato binario firmato digitalmente viene sempre interpretato per essere visualizzato in una forma intellegibile da un umano.

    Anche il visualizzatore quindi deve avere delle caratteristiche di sicurezza che almeno garantiscano l'eguale interpretazione del formato prima e dopo la firma. E i due peer devono essere concordi su questo.

    Tutto questo se la mia considerazione al p.to 2 è corretta...
    non+autenticato
  • no, credo che non abbia compreso bene le cose.
    Provi a leggere quanto pubblicato sul sito
    www.unirc.it/firma (c'e' anche uno stralcio dell'articolo).
    Vedrà che il visualizzatore non c'entra nulla,
    è stato erroneamente considerato nell'articolo di Zanga,
    ma non ha ruolo. Funziona alla perfezione. E anche il sistema operativo funziona alla perfezione. E' il file che è corrotto. Il problema è li.
    Si accerti prima di cooscere gli elementi di base relativi al meccanismo della firma digitale.
    Buon lavoro.
    non+autenticato
  • - Scritto da: hukio
    > 1) Dov'è l'articolo in inglese pubblicato?

    Non c'e' un articolo in inglese, c'e' una ricerca pubblicata dall'Ing. Buccafurri, a cui si puo' accedere da questa pagina www.unirc.it/firma, come riportato dal link nell'articolo.

    La ricerca e' un lavoro frutto di Buccafurri ed altri due ingegneri. E' una ricerca scientifica, che e' stata tra l'altro segnalata al CNIPA, perche' evidenzia un problema sulla firma digitale: problema che il CNIPA non conosceva, ma che tramite un confronto con il FESA e' stato riconosciuto come noto, nello specifico un problema scoperto da Peter Rybar, un problema ahime non previsto dalla ns. regole tecniche sulla firma digitale(che ora verranno adeguate).

    Il problema in questione ha una valenza che e' stata riportata su qualche articolo come particolarmente grave perche' permette di falsificare la firma: le considerazioni su QUANTO e' pericoloso il problema, a parere CNIPA, esperti del settore, FESA etc, e' diverso Sorride
    E' anche diversa la considerazione sul TIPO di problema: non un mezzo per falsificare la firma, ma un <trucco>.



    > 2) L'articolo si baserebbe sul fatto che il
    > visualizzatore utilizzato prima di apporre la
    > firma è diverso dal visualizzatore utilizzato per
    > la verifica DOPO la firma?

    Quando apri un documento, in base all'estensione viene associato un programma con cui visualizzarlo(se possibile):

    se prendi un file a caso e gli cambi estensione, vedi un file HTML, e ci metti BMP, il file non viene mostrato dal visualizzatore.

    Se pero' il documento viene opportunamente scritto, sfruttando delle lacune nel formato html e bmp, perhce' il documento possa avere DUE possibili visualizzazioni, questo UNICO file puo'essere visualizzato una volta come file BMP senza che vengano "segnalati errori" per il contenuto aggiuntivo, ed una volta come file HTML senza che ne vengano

    La truffa che cosi' puoi organizzare e' semplice: fai firmare un DOCUMENTO con ESTNSIONE BMP che mostra un testo. Dato che nel FILE c'e' anche un documento HTML, la firma viene apposta su TUTTO il testo ed e' VALIDA su TUTTO IL TESTO. Se cambi l'estensione, in automatico il documento viene visualizzato come file HTML e non piu' BMP.
    Ovviamente dato che stai organizzando una truffa, nel file BMP magari ci scrivi <compro la casa per 100.000 mila euro>, e nell'altra versione, <compro casa per 2 euro>.

    In questo modo, un utente poco accorto, che verifichi la firma, sapra' che la firma e' VALIDA e che la casa e' stata comprata per 2 euro.

    Perche' e' un trucco poco pericoloso: perche' se ricambi l'estensione o verifichi il file, ti accorgi che il documento e' "taroccato", cioe' contiene due tipi di documenti che dicono due cose diverse.
    Quindi se fai una truffa di questo tipo, la prova della truffa rimane sempre li a portata di mano etc etc (la lista delle considerazioni e' mooolto lungaSorpresaP



    > E quindi se costruisco un file polimorfo che
    > cambia la sua visualizzazione a seconda di quale
    > programma viene utilizzato allora questa sarebbe
    > una vulnerabilità della firma
    > digitale?

    il contenuto e' FISSO non c'e' alcun CAMBIAMENTO, infatti e' per questo che per quanto la ricerca abbia un valore scientifico in termini pratici la truffa che ci puoi costruire sopra non ha un "gran valore"



    > Sarebbe questa la scoperta?
    > Se così fosse, questa sarebbe unicamente la
    > scoperta dell'acqua calda. Il formato binario
    > firmato digitalmente viene sempre interpretato
    > per essere visualizzato in una forma
    > intellegibile da un umano.


    beh, in un certo senso lo e': e' un "uovo" di colombo, ed e' interessante perche' da un lato FESA etc si sono "dimenticati" che simili problemi vanno documentati(cosi' da scoprirli una volta sola)

    Il tuo ragionamento in un certo senso e' ineccepibileSorpresaP


    > Anche il visualizzatore quindi deve avere delle
    > caratteristiche di sicurezza che almeno
    > garantiscano l'eguale interpretazione del formato
    > prima e dopo la firma. E i due peer devono essere
    > concordi su
    > questo.

    il visualizzatore tipico di windows si basa sul <voler mostrare i dati> in base all'estensione, quello tipico di *nix, in base ad un marker che identifica il tipo di file, posto all'inizio del file -> il file ha un solo inizio, quindi un solo marker valido. Il termine esatto credo sia magic number http://it.wikipedia.org/wiki/Magic_number

    In questo caso quindi la mancanza di sicurezza la puoi considerare implicita, nell'approccio a come identificare il contenuto di un file <e' implicitamente insicuro> usare l'estensione, e' implicitamente piu' sicuro usare i magic number.
    non+autenticato
  • Ti ringrazio per la spiegazione esaustiva. In effetti è quello a cui ero arrivato anche io. Mi permetto solo di dire che la validità scientifica di questo <trucco> mi sembra un pò debole...generalizzando il problema è attribuibile al fatto che quando si "verifica" una firma digitale non si "legge" il formato binario, ma una sua rappresentazione attraverso uno strumento che può essere sovvertito e che può avere malfunzionamenti.

    L'ambivalenza del file crea problemi unicamente perché i visualizzatori non effettuano gli adeguati controlli..

    Per dirla brevemente. Questa ricerca mi sa di specchietto per le allodole per farsi pubblicità. Mi meraviglio di come l'abbiano accettata ad una conference IEEE..

    Grazie ancora per la spiegazione.

    Ciao
    non+autenticato
  • - Scritto da: riphukio
    > Ti ringrazio per la spiegazione esaustiva. In
    > effetti è quello a cui ero arrivato anche io. Mi
    > permetto solo di dire che la validità scientifica
    > di questo <trucco> mi sembra un pò
    > debole...generalizzando il problema è

    Il problema e' applicato ai formati di file attuali: nulla toglie al fatto che ogni giorno ne inventano di nuovi, quindi l'applicabilita' del trucco potrebbe aumentare, cosi' come la diffusione per della firma in campi diversi e <utenti diversificati> potrebbe aumentarne la pericolosita'.

    E' anche vero che se il documento firmato fosse un piano regolatore(superando lo schema html/bmp), far passare la truffa sarebbe piu' semplice etc.



    > Per dirla brevemente. Questa ricerca mi sa di
    > specchietto per le allodole per farsi pubblicità.
    > Mi meraviglio di come l'abbiano accettata ad una
    > conference IEEE..

    E' una ricerca e dal punto di vista scientifico e' anche gia' stata valutata. Detto questo, il CNIPA correggera' il regolamento, ma la cosa viene considerata <un trucco>, non un mezzo per <falsificare la firma>.
    non+autenticato
  • - > Non c'e' un articolo in inglese, c'e' una ricerca
    > pubblicata dall'Ing. Buccafurri, a cui si puo'
    > accedere da questa pagina www.unirc.it/firma,
    > come riportato dal link
    > nell'articolo.


    ora c'e' piu' materiale sul sito

    >
    > La ricerca e' un lavoro frutto di Buccafurri ed
    > altri due ingegneri. E' una ricerca scientifica,
    > che e' stata tra l'altro segnalata al CNIPA,
    > perche' evidenzia un problema sulla firma
    > digitale: problema che il CNIPA non conosceva, ma
    > che tramite un confronto con il FESA e' stato
    > riconosciuto come noto, nello specifico un
    > problema scoperto da Peter Rybar, un problema
    > ahime non previsto dalla ns. regole tecniche
    > sulla firma digitale(che ora verranno
    > adeguate).
    >

    Non credo proprio che il problema
    sia stato scoperto da Peter Rybar,
    di cui conosco i lavori.
    Per verifiare quanto dico è
    sufficiente visitare il sito
    polacco di IT security
    (e leggere i commenti in inglese):

    http://ipsec.pl/podpis-elektroniczny/2008/atak-na-...



    > Il problema in questione ha una valenza che e'
    > stata riportata su qualche articolo come
    > particolarmente grave perche' permette di
    > falsificare la firma: le considerazioni su QUANTO
    > e' pericoloso il problema, a parere CNIPA,
    > esperti del settore, FESA etc, e' diverso
    > Sorride
    > E' anche diversa la considerazione sul TIPO di
    > problema: non un mezzo per falsificare la firma,
    > ma un
    > <trucco>.
    >

    la maggioranza degli attacchi nel campo della
    sicurezza informatica sono "trucchi".
    Sicurezza significa anche non farsi
    raggirare dai trucchi.

    >
    >
    > > 2) L'articolo si baserebbe sul fatto che il
    > > visualizzatore utilizzato prima di apporre la
    > > firma è diverso dal visualizzatore utilizzato
    > per
    > > la verifica DOPO la firma?
    >
    > Quando apri un documento, in base all'estensione
    > viene associato un programma con cui
    > visualizzarlo(se
    > possibile):
    >
    > se prendi un file a caso e gli cambi estensione,
    > vedi un file HTML, e ci metti BMP, il file non
    > viene mostrato dal
    > visualizzatore.
    >

    BMP è un esempio,
    l'attacco puo' essere fatto con molti altri formati,
    inlcluso PDF (senza Javascript!!).


    > Se pero' il documento viene opportunamente
    > scritto, sfruttando delle lacune nel formato html
    > e bmp, perhce' il documento possa avere DUE
    > possibili visualizzazioni, questo UNICO file
    > puo'essere visualizzato una volta come file BMP
    > senza che vengano "segnalati errori" per il
    > contenuto aggiuntivo, ed una volta come file HTML
    > senza che ne vengano
    >
    >
    > La truffa che cosi' puoi organizzare e' semplice:
    > fai firmare un DOCUMENTO con ESTNSIONE BMP che
    > mostra un testo. Dato che nel FILE c'e' anche un
    > documento HTML, la firma viene apposta su TUTTO
    > il testo ed e' VALIDA su TUTTO IL TESTO. Se cambi
    > l'estensione, in automatico il documento viene
    > visualizzato come file HTML e non piu'
    > BMP.
    > Ovviamente dato che stai organizzando una truffa,
    > nel file BMP magari ci scrivi <compro la casa per
    > 100.000 mila euro>, e nell'altra versione,
    > <compro casa per 2 euro>.
    >
    >
    > In questo modo, un utente poco accorto, che
    > verifichi la firma, sapra' che la firma e' VALIDA
    > e che la casa e' stata comprata per 2
    > euro.
    >
    > Perche' e' un trucco poco pericoloso: perche' se
    > ricambi l'estensione o verifichi il file, ti
    > accorgi che il documento e' "taroccato", cioe'
    > contiene due tipi di documenti che dicono due
    > cose
    > diverse.
    > Quindi se fai una truffa di questo tipo, la prova
    > della truffa rimane sempre li a portata di mano
    > etc etc (la lista delle considerazioni e' mooolto
    > lunga
    >SorpresaP


    E' vero. Si tratta di una falsificazione
    verificabile a posteriori.
    Anche se ci sono due obiezioni.

    1. nessuno puo' mai sapere quale delle due versioni
    sia stata firmata realmente.
    Quindi il trucco puo' essere sfruttato
    anche per precostituire un ripudio.

    2. se non sospetto la possibile esistenza
    di questo attacco
    (e da qui la rilevanza della ricerca
    e della sua divulgazione)
    non provo certo a cambiare l'estensione
    di un file che mi arriva con la mia firma
    da parte di qualcuno che mi contesta un ordine
    di acquisto a cui non è corrisposto
    il pagamento.Fino ad oggi tutto si sarebbe
    pensato (uso del dispositivo
    di firma da parte di altri,
    presenza di macro-codice, et.)
    ma non certo cambiare l'estensione
    del file....


    >
    >
    >>
    > il contenuto e' FISSO non c'e' alcun CAMBIAMENTO,
    > infatti e' per questo che per quanto la ricerca
    > abbia un valore scientifico in termini pratici la
    > truffa che ci puoi costruire sopra non ha un
    > "gran
    > valore"


    il valore scientifico della ricerca
    è applicativo, pratico.
    Non è certo una ricerca teorica.

    >
    >
    >
    > >
    > beh, in un certo senso lo e': e' un "uovo" di
    > colombo, ed e' interessante perche' da un lato
    > FESA etc si sono "dimenticati" che simili
    > problemi vanno documentati(cosi' da scoprirli una
    > volta
    > sola)

    si, è un risultato semplice e chiaro.
    Ma questo non inficia la validità.



    > >
    >
    >
    > il visualizzatore tipico di windows si basa sul
    > <voler mostrare i dati> in base all'estensione,
    > quello tipico di *nix, in base ad un marker che
    > identifica il tipo di file, posto all'inizio del
    > file -> il file ha un solo inizio, quindi un solo
    > marker valido. Il termine esatto credo sia magic
    > number
    > http://it.wikipedia.org/wiki/Magic_number
    >
    > In questo caso quindi la mancanza di sicurezza la
    > puoi considerare implicita, nell'approccio a come
    > identificare il contenuto di un file <e'
    > implicitamente insicuro> usare l'estensione, e'
    > implicitamente piu' sicuro usare i magic
    > number.


    non potremo cambiare il mondo
    perche' sbagliamo a fare funzionare la firma digitale.
    Windows, Unix-like con KDE, Mac, funzionano cosi'.
    Forse è meglio pensare di cambiare
    il modo con cui facciamo funzionare la firma
    (includiamo per esempio il nome
    e l'estensione nella busta e verifichiamo
    quindi anche la sua integrità).


    Spero di avere contribuito a chiarire i dubbi.
    non+autenticato
  • Rispetto al punto 3:

    Si noti che l'attacco non solo funziona su Windows e linux/KDE, ma anche su free BSD/KDE e Mac OS X (testato
    su versione 10.4.8).
    Per quanto riguarda i SO Unix-like, si può affermare ragionevolmente che l'attacco funziona se si usa il window manager KDE.
    non+autenticato
  • Forse è opportuno fare un po' di chiarezza sulla questione.

    1. Parlare di attacco di firma, significa anche parlare di possibile falsificazione di documenti informatici con firma digitale.

    2. L'attacco non è stato MAI documentato prima (nessuno ha fornito prove contrarie). L'autore dell'articolo sà perfettamente che il discorso della Slovenia è ben diverso.

    3. Non si tratta di un problema del viewer di Windows. L'attacco funziona anche su KDE/linux, per esempio.


    4. La pericolosià dell'attacco non è elevatissima. La firma digitale continua a essere uno strumento sicuro. Ma la conoscenza di questo nuovo attacco consentirà di irrobustirlo ulteriormente attraverso opportune contromisure.

    5. Dal punto di vista normativo, a mio avviso, sarebbero necessarie alcune revisioni che tengano conto dell'attacco.
    non+autenticato
  • per tutti coloro che sono interessati, comunico che sul sito www.unirc.it/firma sono presenti nuovi commenti relativi all'attacco alla firma digitale.
    non+autenticato
  • Mancherebbe solo la risposta ufficiale del CNIPA:
    http://www.cnipa.gov.it/HTML/rs/Lettera%20FP_PANOR...

    Presa dalla sezione della sala stampa:
    http://www.cnipa.gov.it/site/it-IT/Altre_Rubriche/.../

    E le dichiarazioni di chi ha detto "lo sanno tutti i miei studenti che su *nux il problema non esiste"SorpresaP
    non+autenticato
  • - Scritto da: Diego
    > Mancherebbe solo la risposta ufficiale del CNIPA:
    > http://www.cnipa.gov.it/HTML/rs/Lettera%20FP_PANOR
    >
    > Presa dalla sezione della sala stampa:
    > http://www.cnipa.gov.it/site/it-IT/Altre_Rubriche/
    >
    > E le dichiarazioni di chi ha detto "lo sanno
    > tutti i miei studenti che su *nux il problema non
    > esiste"
    >SorpresaP

    no, è presente anche la lettera a Panorama del CNIPA.
    E' presente anche la mia risposta a Panorama.
    Comunque, la risposta ufficiale del CNIPA è quella
    che mi è stata data via mail quando ho presentato
    l'attacco:
    "Stiamo analizzando con estrema serietà quanto rappresentato",
    "Vorremmo inoltrare loro il Vostro studio
    al FESA, ci autorizza?". "La nostra intenzione sarebbe quella di evidenziare - al FESA - che esiste il problema",
    "La soluzione proposta è consigliata ai Certificatori ma indubbiamente va circostanziata normativamente."
    La lettera a Panorama aveva lo scopo di evitare
    eccessivi allarmismi, e per questo l'ho condivisa,
    come si vede dalla mia replica.

    Per quanto riguarda i sistemi Unix-like, quello che sanno tutti gli studenti è che di per sè tali sistemi riconoscono il tipo di file dal "magic number".
    Ma questo puo' non essere più vero quando mettiamo
    su un window manager, come KDE.
    Dovrebbe farsene una ragione che nel suo articolo
    ha detto una serie di gravi imprecisioni tecniche,
    attribuendo al visualizzatore di Windows il problema,
    quando invece è un bug del protocollo di firma,
    che ha successo sulla quasi totallità dei SO.
    Strano che nelle comunicazioni personali lo ha ammesso,
    dicendo che aveva fatto analisi troppo affrettate e che aveva attribuito il nostro attacco ad un problema
    del visualizzatore di Windows solo perchè se ne stava
    interessando in quei giorni per un'altra faccenda.
    Molto strano.

    Dovrebbe farsene una ragione che
    la vulnerabilità è:

    1. mai prima documentata
    2. sufficientemente seria
    3. riferita alla firma digitale
       e non ai SO (me che meno a Windows).

    E' la realtà dei fatti, mi spiace per lei.
    Lei può scrivere tutti gli articoli che vuole,
    su punto, punto e virgola e anche due
    punti informatici (mi voglio rovirare...,
    come diceva il grande Totò)!

    Buon lavoro!
    Però, con il dovuto rispetto, la prossima volta presti maggiore attenzione a quello che scrive.
    non+autenticato
  • In relazione al discorso dei formati e alla presunta "sicurezza" del formato TIFF, desideravo comunicare che abbiamo realizzato l'attacco anche sul formato TIFF, largamente utilizzato per i documenti acquisiti per scansione (come nel caso della conservazione sostitutiva).
    non+autenticato
  • testato e il trucchetto funziona.
    A questo punto perche si tende a sminuire il problema?
    Si risolve e basta.
    No perche' se la situazione rimanesse la medesima pregate che nessuna associazione di consumatori decida qualche bella campagna.
    non+autenticato
  • - Scritto da: cogito delrium suum
    > testato e il trucchetto funziona.
    > A questo punto perche si tende a sminuire il
    > problema?
    > Si risolve e basta.

    Non e' un problema di firma digitale. Posso comprendere che per un utonto Winaro sia difficile comprendere che il nome di un file non e' una proprieta' del file stesso, e che pertanto non si puo' dire che "il file e' cambiato" semplicemente perche' e' stato rinominato con un'estensione diversa, ma di fatto e' cosi'.
    non+autenticato
  • - Scritto da: rotfl
    > - Scritto da: cogito delrium suum
    > > testato e il trucchetto funziona.
    > > A questo punto perche si tende a sminuire il
    > > problema?
    > > Si risolve e basta.
    >
    > Non e' un problema di firma digitale. Posso
    > comprendere che per un utonto Winaro sia
    > difficile comprendere che il nome di un file non
    > e' una proprieta' del file stesso, e che pertanto
    > non si puo' dire che "il file e' cambiato"
    > semplicemente perche' e' stato rinominato con
    > un'estensione diversa, ma di fatto e'
    > cosi'.

    Ehi! Io uso win, ma ci arrivo che il problema non è nella firma digitale e che il nome di un file non è una sua proprietà...Con la lingua fuori
    non+autenticato
  • - Scritto da: Blackstorm
    > - Scritto da: rotfl
    > > - Scritto da: cogito delrium suum
    > > > testato e il trucchetto funziona.
    > > > A questo punto perche si tende a sminuire il
    > > > problema?
    > > > Si risolve e basta.
    > >
    > > Non e' un problema di firma digitale. Posso
    > > comprendere che per un utonto Winaro sia
    > > difficile comprendere che il nome di un file non
    > > e' una proprieta' del file stesso, e che
    > pertanto
    > > non si puo' dire che "il file e' cambiato"
    > > semplicemente perche' e' stato rinominato con
    > > un'estensione diversa, ma di fatto e'
    > > cosi'.
    >
    > Ehi! Io uso win, ma ci arrivo che il problema non
    > è nella firma digitale e che il nome di un file
    > non è una sua proprietà...
    >Con la lingua fuori

    Ma infatti non intendevo "tutti i Winari sono utonti", ovviamente non e' affatto cosi'. Ficoso

    Ma ci sono utonti Winari
    non+autenticato
  • il problema non lo si risolve e non lo si sminuisce perchè affrontandolo si potrebbe pensare che l'implementazione attuale della firma digitale (ed anche della PEC) ha il solo scopo di favorire azienduncole ben agganciate ed enti parassitari nello spillare soldi alle imprese ed ai professionisti, obbligandoli a costosi sistemi operativi proprietari, a soluzioni farraginose ed insicure (per esempio la piattaforma delle camere di commercio per l'aggiornamento delle firme che richiede internet explorer su windows settato su modalità insicura od il portale delle casse edili che usa certificati senza data di scadenza etc.) per adempimenti gestiti poi in modalità anacronistica ed esposta all'abuso (sempre in ambito camere di commercio il conservatore ha ancora la facoltà di scartare i bilanci secondo il suo capriccio ed è impossibile trovare una linea unica nei criteri su base regionale, figurarsi nazionale).
    Oltre al fatto che invece di diminuire i costi all'utente finale sono triplicati.

    Dov'è il vero problema? Andatevi a rivedere la legge (confusa e scritta male) e pensate che è molto facile far firmare digitalmente ai sindaci un bilancio (in attivo) che viene diversamente visualizzato da chi lo riceve (in perdita)... poi vi ci voglio a dimostrare il dolo...
    non+autenticato
  • - Scritto da: anonimo


    > Dov'è il vero problema? Andatevi a rivedere la
    > legge (confusa e scritta male) e pensate che è
    > molto facile far firmare digitalmente ai sindaci
    > un bilancio (in attivo) che viene diversamente
    > visualizzato da chi lo riceve (in perdita)... poi
    > vi ci voglio a dimostrare il
    > dolo...

    Dimostrami come si può fare senza essere sbugiardati in meno di 5 minuti di analisi del file.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)