Christian Mainka, Karsten Meyer zu Selhausen, Jörg Schwenk, Martin Grothe und Vladislav Mladenov (von links) vom Lehrstuhl für Netz- und Datensicherheit deckten die Sicherheitslücke auf. © RUB, Marquard

IT-Sicherheit Paper zu PDF-Sicherheitslücken ausgezeichnet

Aus einer Rechnung machten die Forscher eine Kostenrückerstattung von einer Billion US-Dollar, ohne die Signatur der PDF-Rechnung ungültig werden zu lassen – eine preiswürdige Arbeit.

Mit ihrer wissenschaftlichen Arbeit zu Sicherheitslücken in der PDF-Signatur hat ein Team des Horst-Görtz-Instituts für IT-Sicherheit den ersten Platz im europäischen Forschungswettbewerb der Cyber-Security-Konferenz CSAW 2019 belegt. In der Arbeit hatten die Forscher gezeigt, wie sie Inhalte von PDF-Dateien trotz Signatur manipulieren können.

Kaum ein Dateiformat wird so intensiv für die Weitergabe von sensiblen Dokumenten genutzt wie das PDF-Format – und das galt durch die Möglichkeit, es mit einer digitalen Signatur zu versehen, als gut geschützt. Das Team um Dr. Vladislav Mladenov und Dr. Christian Mainka vom Lehrstuhl für Netz- und Datensicherheit zeigte jedoch, dass sich Inhalte von signierten PDF-Dokumenten ändern lassen, ohne dass gängige PDF-Anwendungen es registrieren. Auf diesem Weg könnten Angreifer beispielsweise Rechnungsdaten unbemerkt verändern, um sich selbst zu bereichern.

Nach der Veröffentlichung der Forschungsergebnisse im Februar 2019 reagierten viele der betroffenen Hersteller mit einem Update ihrer PDF-Software.

Präsentation auf verschiedenen Konferenzen

Die CSAW ist die weltweit größte studentisch organisierte Cyber-Security-Konferenz; die Abkürzung steht für Cyber Security Awareness Week. Sie wird jährlich an der New York University Tandon School for Engineering ausgerichtet. An den begleitend stattfindenden internationalen Wettbewerben nehmen hochkarätige Wissenschaftlerinnen und Wissenschaftler teil.

Die Bochumer IT-Sicherheitsexperten stellten die ausgezeichnete Arbeit „1 trillion dollar refund – how to spoof PDF signatures“ zudem auf der renommierten IT-Security-Konferenz „ACM Conference on Computer and Communications Security“ (ACM CCS) 2019 vor. Ihre Forschung ist eingebettet in das Exzellenzcluster „Cyber-Security in the Age of Large Scale Adversaries“, kurz Casa, das die Deutsche Forschungsgemeinschaft seit 2019 fördert.

Veröffentlicht

Freitag
15. November 2019
09:51 Uhr

Von

Julia Weiler (jwe)
Christina Scholten

Teilen