{"id":20769,"date":"2020-03-05T17:02:45","date_gmt":"2020-03-05T15:02:45","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=20769"},"modified":"2020-03-05T17:02:45","modified_gmt":"2020-03-05T15:02:45","slug":"36c3-pdf-encryption","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/36c3-pdf-encryption\/20769\/","title":{"rendered":"Cifratura dei file PDF: una questione di sicurezza"},"content":{"rendered":"<p>A seconda delle specifiche del formato del file, i <strong>documenti PDF<\/strong> supportano la <strong>cifratura<\/strong>, impiegando l\u2019<strong>algoritmo AES <\/strong>con modalit\u00e0 <strong>Cipher Block Chaining<\/strong>. Per cui, almeno in teoria, chiunque cifri un file PDF dovrebbe essere sicuro che solo chi ha la <strong>password di decifrazione<\/strong> potr\u00e0 visualizzare cosa c\u2019\u00e8 nel file. Proseguendo il nostro studio sulla <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/36c3-pdf-digital-signature\/19665\/\" target=\"_blank\" rel=\"noopener\">sicurezza dei PDF<\/a><\/strong>, un team di ricercatori di diverse universit\u00e0 della Germania ha testato l\u2019<strong>affidabilit\u00e0 della cifratura del formato PDF<\/strong>. Fabian Ising, dell\u2019Universit\u00e0 di Scienze Applicate di M\u00fcnster, <a href=\"https:\/\/media.ccc.de\/v\/36c3-10832-how_to_break_pdfs\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">ha presentato i risultati<\/a> che, anticipiamo, sono piuttosto deludenti.<\/p>\n<p>In teoria, le <strong>aziende <\/strong>utilizzano PDF cifrati per trasferire i dati quando utilizzano un canale non sicuro o poco affidabile (ad esempio, quando si vuole caricare un file su un servizio su <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/vulnerabilities-in-public-clouds\/18112\/\" target=\"_blank\" rel=\"noopener\">cloud pubblico<\/a><\/strong>). I <strong>ricercatori di sicurezza<\/strong> hanno cercato una maniera per modificare il file originale di modo che, una volta inserita la password, le informazioni presenti nel PDF venissero inviate a <strong>terze parti <\/strong>ma senza che il destinatario percepisse cambiamenti evidenti.<\/p>\n<p>I ricercatori hanno sviluppato <strong>due linee di attacco<\/strong> che consentono loro l\u2019accesso al contenuto cifrato come terze parti. Il primo attacco (<strong>esfiltrazione diretta<\/strong>) non richiede particolari abilit\u00e0 nel campo della cifratura, solo una conoscenza delle specifiche del formato PDF. I ricercatori lo hanno descritto come un \u201chackeraggio della cifratura senza toccare la cifratura\u201d. Il secondo, detto <strong><em>attacco di malleabilit\u00e0<\/em><\/strong>, \u00e8 molto pi\u00f9 complicato e richiede conoscenza della modalit\u00e0 <strong>Cipher Block Chaining.<\/strong><\/p>\n<h2>Chi utilizza i PDF cifrati e perch\u00e9?<\/h2>\n<p>Le aziende si servono dei PDF cifrati per molti scopi:<\/p>\n<ul>\n<li>Le <strong>banche <\/strong>li utilizzano quando c\u2019\u00e8 uno scambio di <strong>documenti elettronici<\/strong> con i clienti per motivi di <strong>riservatezza<\/strong>;<\/li>\n<li>Le <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/hacked-printer-pewdiepie\/16684\/\" target=\"_blank\" rel=\"noopener\">stampanti multifunzione<\/a><\/strong> accettano documenti scannerizzati via e-mail e <strong>file PDF<\/strong> protetti da password se il mittente seleziona l\u2019opzione corrispondente;<\/li>\n<li>I <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/vulnerable-medical-equipment\/8404\/\" target=\"_blank\" rel=\"noopener\">dispositivi medicali di diagnostica<\/a><\/strong> utilizzano i PDF sicuri per inviare i risultati degli esami a pazienti e medici;<\/li>\n<li>Le <strong>agenzie governative<\/strong> (come il Dipartimento di Giustizia statunitense) accettano <strong>documenti in entrata in formato PDF cifrati<\/strong>.<\/li>\n<\/ul>\n<p>Gli utenti hanno a disposizione diversi plugin di <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/top4-dangerous-attachments-2019\/17381\/\" target=\"_blank\" rel=\"noopener\">applicazioni e-mail<\/a><\/strong> che consentono di inviare documenti come PDF cifrati, segnale che si tratta di un\u2019esigenza reale.<\/p>\n<h2>Attacco di esfiltrazione diretta<\/h2>\n<p>Quando si cifra un file PDF, viene cifrato solo il<strong> contenuto<\/strong> (oggetti nel file, caratterizzati come string o stream di dati). Gli oggetti restanti, che determinano la struttura del documento, non vengono cifrati. In altre parole, potete ancora scoprire il numero e la dimensione delle pagine, gli oggetti e i link, <strong>informazioni riservate<\/strong> che non dovrebbero essere lasciate a potenziali <strong>cybercriminali<\/strong>, che possono sfruttarle per aggirare la cifratura.<\/p>\n<p>I ricercatori innanzitutto si sono chiesti se sarebbero riusciti a aggiungere informazioni proprie al file, il che permetterebbe di creare un <strong>canale di esfiltrazione<\/strong>. Dalla documentazione del formato hanno appreso che i PDF permettono il <strong>controllo granulare sulla cifratura<\/strong> in modo da cifrare, ad esempio, solo gli oggetti di tipo \u201c<strong>string<\/strong>\u201d od oggetti di tipo \u201c<strong>stream<\/strong>\u201c, lasciando il resto del contenuto senza cifratura.<\/p>\n<p>Inoltre, non sono state implementate <strong>revisioni di integrit\u00e0<\/strong>: se si aggiunge qualcosa a un documento cifrato, gli utenti non riceveranno alcun avviso. Quel \u201cqualcosa\u201d potrebbe essere una <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/digital-steganography\/17552\/\" target=\"_blank\" rel=\"noopener\">funzione per aggiungere un modulo<\/a><\/strong>, il che consentirebbe di accludere a un file PDF un modulo che invia dati a terze parti (ad esempio, l\u2019intero contenuto del documento). La funzione pu\u00f2 essere collegata anche a un\u2019azione come quella di aprire il documento.<\/p>\n<p>Abbiamo descritto solo un esempio di <strong>esfiltrazione<\/strong>, ma ci sono tante altre opzioni. I <strong>cybercriminali <\/strong>potrebbero aggiungere semplicemente un link al loro sito con l\u2019intero contenuto del file aggiunto all\u2019URL. Oppure potrebbero utilizzare <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/gandcrab-ransomware-is-back\/16991\/\" target=\"_blank\" rel=\"noopener\">JavaScript per inviare ovunque i contenuti decifrati<\/a><\/strong>. Alcuni lettori PDF chiedono la verifica dell\u2019utente prima di comunicare con il sito ma non tutti (e non tutti gli utenti prestano troppa attenzione prima di acconsentire), lasciando spazio a <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/kwts-enterprise-6-1\/19738\/\" target=\"_blank\" rel=\"noopener\">tecniche di ingegneria sociale<\/a><\/strong> da parte dei cybercriminali.<\/p>\n<h2>Attacco di malleabilit\u00e0<\/h2>\n<p>Il secondo attacco alla <strong>cifratura dei file PDF<\/strong> utilizza uno <strong>svantaggio<\/strong> <strong>della modalit\u00e0 Cipher Block Chaining (CBC)<\/strong>, ovvero la mancanza di controllo dell\u2019integrit\u00e0. Alla base di questo attacco conosciuto c\u2019\u00e8 il fatto che il cybercriminale che conosce parte dell\u2019informazione in plain-text cifrata <strong>pu\u00f2 cambiare il contenuto di un blocco<\/strong>.<\/p>\n<p>Tuttavia, a seconda delle specifiche del formato PDF, ogni volta che viene cifrato il contenuto di un file PDF, <strong>si cifrano anche diverse autorizzazioni<\/strong> (ad esempio, dare all\u2019autore la possibilit\u00e0 di modificare il documento e negare questa opzione a un semplice lettore). In teoria, serve per evitare che i <strong>cybercriminali<\/strong> manomettano le autorizzazioni, che sono cifrate con la stessa chiave AES del resto del documento.<\/p>\n<p>Allo stesso tempo, queste autorizzazioni sono immagazzinate anche in un file in formato non cifrato. Ci\u00f2 vuol dire di default che i <strong>cybercriminali <\/strong>sanno a cosa corrispondono quei 12 byte di file e, di conseguenza, possono <strong>manomettere il Cipher Block Chaining<\/strong> per colpire e manipolare i dati aggiungendo, ad esempio, il meccanismo di <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/data-breach-stress\/15906\/\" target=\"_blank\" rel=\"noopener\">esfiltrazione dei dati<\/a> <\/strong>per inviare i contenuti del file a un sito di terze parti.<\/p>\n<h2>Risultati<\/h2>\n<p>I ricercatori hanno testato le loro tecniche su <strong>23 lettori PDF e 4 browser<\/strong>, riscontrando che tutti erano <strong>potenzialmente vulnerabili<\/strong> almeno in parte a uno o pi\u00f9 di questi attacchi.<\/p>\n<div id=\"attachment_20771\" style=\"width: 1377px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-20771\" class=\"wp-image-20771 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2020\/03\/05170019\/36C3-PDF-encryption-table.jpg\" alt=\"Tavola riassuntiva delle vulnerabilit\u00e0 riscontrate nei lettori PDF. Fonte: https:\/\/media.ccc.de\/v\/36c3-10832-how_to_break_pdfs\" width=\"1367\" height=\"782\"><p id=\"caption-attachment-20771\" class=\"wp-caption-text\">Tavola riassuntiva delle <strong>vulnerabilit\u00e0 riscontrate nei lettori PDF<\/strong>. <a href=\"https:\/\/media.ccc.de\/v\/36c3-10832-how_to_break_pdfs\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Fonte<\/a>.<\/p><\/div>\n<p>Purtroppo, nessuna soluzione client pu\u00f2 mitigare completamente le debolezze del formato. Non \u00e8 possible bloccare l\u2019esfiltrazione dei canali senza inficiare l\u2019essenza stesso del formato. I ricercatori hanno contattato gli sviluppatori dei software e hanno informato delle problematiche; alcune compagnie, compresa Apple, hanno provato ad aiutare sottolineando nelle notifiche che il file sta accedendo a un sito di terze parti. Altri hanno detto di averci provano ma che \u201cnon possono risolvere un problema che non \u00e8 risolvibile\u201d.<\/p>\n<p>Se dovete <strong>inviare dati riservati<\/strong>, il nostro consiglio \u00e8 di utilizzare un <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/kaspersky-2020-security-solutions\/17904\/\" target=\"_blank\" rel=\"noopener\">sistema di sicurezza<\/a><\/strong> alternativo per proteggere le informazioni. Ad esempio, potete utilizzare le <a href=\"https:\/\/www.kaspersky.it\/small-business-security\/small-office-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_banner____ksos___\" target=\"_blank\" rel=\"noopener\">nostre soluzioni di sicurezza<\/a> per creare <strong>container cifrati<\/strong>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksos\">\n","protected":false},"excerpt":{"rendered":"<p>Il ricercatore Fabian Ising, durante il suo intervento al Chaos Communication Congress, ha evidenziato i limiti della cifratura dei file PDF.<\/p>\n","protected":false},"author":700,"featured_media":20770,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[3244,2695,2697,2521,486],"class_list":{"0":"post-20769","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-36c3","10":"tag-ccc","11":"tag-chaos-communication-congress","12":"tag-cifratura","13":"tag-pdf"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/36c3-pdf-encryption\/20769\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/36c3-pdf-encryption\/19448\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/36c3-pdf-encryption\/16068\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/36c3-pdf-encryption\/21082\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/36c3-pdf-encryption\/19357\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/36c3-pdf-encryption\/17840\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/36c3-pdf-encryption\/22010\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/36c3-pdf-encryption\/26391\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/36c3-pdf-encryption\/7856\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/36c3-pdf-encryption\/33827\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/36c3-pdf-encryption\/14420\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/36c3-pdf-encryption\/14513\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/36c3-pdf-encryption\/13128\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/36c3-pdf-encryption\/23177\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/36c3-pdf-encryption\/11179\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/36c3-pdf-encryption\/25075\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/36c3-pdf-encryption\/21019\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/36c3-pdf-encryption\/26979\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/36c3-pdf-encryption\/26818\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/36c3\/","name":"36c3"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/20769","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=20769"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/20769\/revisions"}],"predecessor-version":[{"id":20774,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/20769\/revisions\/20774"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/20770"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=20769"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=20769"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=20769"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}