Mit ihrer wissenschaftlichen Arbeit zu Sicherheitslücken von PDF-Signaturen „1 Trillion Dollar Refund – How To Spoof PDF Signatures“ haben CASA-Wissenschaftler bei der Cyber Security Konferenz CSAW 19 den ersten Platz für Europa gemacht.
In ihrer Forschungsarbeit zeigen die IT-Experten vom Lehrstuhl Netz- und Datensicherheit am Horst Görtz Institut für IT-Sicherheit auf, wie Angreifer PDFs trotz Signaturen manipulieren können, wenn sie per Mail verschickt werden.
Gängige PDF-Anwendungen haben Manipulation nicht registriert
Diese Sicherheitslücke ist hochproblematisch, weil kaum ein Dateiformat so intensiv für die Weitergabe von sensiblen Dokumenten genutzt wird wie PDF – die bisher durch den Einsatz von der digitalen Signatur als gut geschützt galt. Dem Team um Prof. Jörg Schwenk ist es allerdings gelungen, Inhalte von PDF-Dokumenten zu ändern, ohne dass die gängigen PDF-Anwendungen es registriert hätten. Auf diesem Wege könnten Angreifer beispielsweise Rechnungsdaten unbemerkt verändern, um sich selbst zu bereichern. Weitere Erklärungen und technische Details zum Paper haben die CASA-Wissenschaftler informativ unter diesem Link aufbereitet.
Die CSAW ist die weltweit größte studentisch organisierte Cyber Security Konferenz. Sie wird in jedem Jahr an der NYU Tandon School for Engineering ausgerichtet, an ihren kontinentalen ausgerichteten Wettbewerben nehmen hochkarätige Wissenschaftler*innen teil.
Große Resonanz nach Veröffentlichung im Februar
Neben dieser Auszeichnung wurde die Arbeit mit einer großen Resonanz nach der Online-Veröffentlichung im Februar belohnt: Nicht nur in Fachkreisen fand es Beachtung, auch in vielen deutschen Medien wurde darüber berichtet. Viele der betroffenen Hersteller der PDF-Anwendungen haben mit einem Update ihrer Software reagiert. Die Arbeit wurde zudem in diesen Tagen auf der renommierten IT-Security Konferenz ACM Conference on Computer and Communications Security (ACM CCS) vorgestellt.
Pressekontakt
Dr. Vladislav Mladenov
Lehrstuhl für Netz- und Datensicherheit
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 26742
E-Mail: vladislav.mladenov AT rub.de
Dr. Christian Mainka
Lehrstuhl für Netz- und Datensicherheit
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 26796
E-Mail: christian.mainka AT rub.de
Allgemeine Anfragen können auch über die E-Mail-Adresse hgi-presse AT rub.de gestellt werden.
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.