Komisia pre štandardy ISVS - PS2 - Bezpečnostné štandardy

Spolupráce so štátom a samosprávami
24

Pracovnej skupine bol zaslaný takýto mail:

Vážení členovia PS2 pre bezpečnostné štandardy,

*dovoľujeme si Vás upozorniť na zverejnený útok na elektronické podpisy zahrnuté v PDF súboroch, najmä PAdES, na ktorý nás upozornil Národný bezpečnostný úrad SR. Podrobnosti sú zverejnené na nasledovnej adrese: *

PDF Insecurity Website

Národný bezpečnostný úrad uvádza potrebu prijať opatrenia, aby jednotlivé orgány verejnej moci správnym spôsobom kontrolovali platnosť podpisov. Pri overovaní PAdES podpisov prípadne iných podpisov zahrnutých v PDF je potrebné na strane osoby overujúcej podpisy pracovať s príslušnou revíziou PDF a nie s PDF súborom ako celkom, nakoľko tento môže obsahovať úpravy vykonané po podpísaní dokumentu, čím môže prísť k prekrytiu podpísaných údajov.

Informácia s upozornením, ktorá nám bola zaslaná Národným bezpečnostným úradom SR sú v prílohe tohto mailu.

S pozdravom

Mgr. Simona Senková
odbor architektúry e-governmentu | sekcia informačných technológií verejnej správy

Informácia od NBÚ.docx (190.1 KB)
hideQF1.pdf (294.6 KB)

Na to som napísal takúto reakciu:

Dobrý deň,
uvedené typy útokov - manipulácia s PDF dokumentom po podpísaní - sú známe už dlhšiu dobu. Informovať všetky OVM je správne, avšak je absolútne neadekvátne iba ponechať to iba na vykonanie individuálnych opatrení každého OVM.

Žiadam o informáciu, ako budú gestori informatizácie verejnej správy a informačnej bezpečnosti, t.j. MIRRI SU a NBÚ SR koordinovať riešenie týchto zraniteľností na centrálnej úrovni (ako sa pýtal už aj p. Brza), a taktiež na individuálnej báze u jednotlivých OVM. Vykoná napr. aspoň niektorý z našich CERT tímov testovanie odolnosti na tieto zraniteľnosti u OVM? Je treba nejako kontrolovať už spracované dokumenty?

Zároveň postup, ktorý zaslalo NBÚ SR považujem za zásadne nedostatočný. Uvedená aplikácia totiž rozdelí PDF dokument na samostatné časti, pričom niektoré z nich ani nezobrazuje. Avšak obsahom podania je celý PDF dokument. Podľa môjho názoru nemá OVM oprávnenie “vybrať” nejakú jeho časť a spracovávať ju odlišne od ostatných, resp. nejakú časť dokumentu “ignorovať”. A to bez ohľadu na to, ktoré časti sú akým spôsobom validované (podpísané). V tejto oblasti taktiež očakávam jasné metodické usmernenie pre postup OVM.

Ľubor Illek
Slovensko.Digital

3 Likes