Wina po stronie aplikacji
Kilka tygodni temu G DATA poinformowała, że do aplikacji dostarczanych przez niektóre firmy certyfikacyjne można dopisać nakładkę, która spowoduje, iż podpisywany dokument może zostać podmieniony. W prasie codziennej pojawiły się tytuły typu: “bezpieczny podpis elektroniczny złamany”. Należy tu jednak zaznaczyć, że de facto nic takiego nie nastąpiło – znalezione zostały jedynie luki w oprogramowaniu do składania podpisu, sam algorytm natomiast nie został złamany.
Okazuje się, że istnieją co najmniej cztery sposoby oszukania aplikacji podpisujących. Trzy z nich to zaawansowane techniki ingerujące we wnętrze systemu operacyjnego. Za to czwarta jest stara jak komputerowy świat i polega na podmianie uchwytu do pliku. Podczas podpisywania nie jest bowiem sprawdzane, czy wybrany dokument jest faktycznie tym zbiorem, który chcemy podpisać. Sami producenci wadliwych aplikacji twierdzą, że taki atak może przeprowadzić przeciętnie zdolny student informatyki. Szkoda tylko, że nie zauważają, iż inny przeciętniak potrafiłby napisać aplikację w taki sposób, aby było to niemożliwe…
To się może źle skończyć
W całej sytuacji przerażające jest to, że jak twierdzi G DATA, firmy, które napisały “dziurawe” aplikacje, zostały o tym poinformowane około roku temu. Nie zrobiły jednak nic, aby usunąć luki, narażając tym samym swoich klientów na poważne konsekwencje zarówno finansowe, jak i prawne (składane podpisy są niezaprzeczalne – nie można się ich wyprzeć). Firmy te zasłaniają się ustawą, która mówi o bezpiecznym urządzeniu do składania podpisu, nie wspominając nic o aplikacji. Przedstawiciele firm certyfikujących zrozumieli to dość jednoznacznie: urządzenie to nie aplikacja, nasze ręce są więc czyste. Zapomnieli jednak o tym, że bez aplikacji samo urządzenie podpisu nie złoży i chociaż każdy program można oszukać, należy dołożyć wszelkich starań, aby było to jak najtrudniejsze.
