Sicherheit: Sicherheitsprobleme mit der JBIG2-Komprimierung

DSC_6290

Trau keinem Scan, den du nicht selbst gefälscht hast

Felix Hosner, Kirchdorf 30.12.2014

Kann ich einem Dokument, dass ich per Scanner auf meinem Kopierer digitalisiert habe, vertrauen, Ja/Nein? Klar doch – kein Problem, hätte ich bis vor ein paar Stunden gesagt! Seit gestern bin ich da nicht mehr sicher. Mit dem Vortrag von Herrn D. Kriesel an der 31C3 / „Trau keinem Scan, den du nicht selbst gefälscht hast“ hat mein Vertrauen in die digitale Technologie eine gehörige Delle bekommen.

Hier der Link zur Präsentation:
http://www.dkriesel.com/_media/blog/2014/xerox-ccc-davidkriesel.pdf

Hier der Vortrag als Youtube Film:
https://www.youtube.com/watch?v=0eRZi2u99SQ

Was bedeutet nun die Aussage „Trau keinem Scan, den du nicht selbst gefälscht hast“. Folgende Fragen sind nach dem „Genuss“ des Vortrages nicht beantwortet:
– Wie relevant ist dieser Fehler?
– Gibt es noch weitere Systeme, die von diesem Fehler betroffen sind?
– Gibt es schon weitergehende Informationen?

Auf der Web-Seite der Organisation KOST – CECO (KOST – Koordinationsstelle für die dauerhafte Archivierung elektronischer Unterlagen), die sich ausschliesslich mit dem Thema Archivierung und digitalisieren von Dokumenten beschäftigt, ist eine vertiefte Information vorhanden. Hier das entsprechende Dokument:
http://kost-ceco.ch/cms/index.php?jbig2-compression_de

Hier die Zusammenfassung aus der Studie von KOST:
„Im August 2013 wurde ein beunruhigender Fehler beim Scannen von PDF-Dokumenten mit Xerox-Geräten festgestellt. Der Fehler besteht hauptsächlich darin, dass einzelne Ziffern durch andere Ziffern ersetzt werden. Diese falschen Ziffern sind pixelidentisch mit anderen Ziffern im Dokument.

Die unter anderem von Xerox verwendete verlustbehaftete JBIG2-Komprimierung speichert gleichwertige Symbole nur einmal ab und verwendet diese mehrfach im ganzen Dokument. Dieses Verfahren nennt sich „Pattern matching and substitution“ (PMS). Mit dem PMS-Verfahren können signifikante Einsparungen in der Dateigrösse erreicht werden, ohne dass Kompressionsartefakte wie z.B. bei JPEG auftreten. Xerox hat sich bei der Implementierung zu stark auf die Dateigrösse fokussiert. Damit wurde zwar erreicht, dass die Dateigrösse sehr klein wurde, aber auch, dass verschiedene Zeichen als gleichwertig eingestuft und entsprechend ersetzt wurden.

Nicht nur Xerox verwendet diese Komprimierung, sondern auch andere Hersteller wie z.B. Fujitsu. Es handelt sich also um ein grundsätzliches Problem der JBIG2-Komprimierung.

In PDF/A-Dateien dürfen verlustbehaftete Komprimierungen, wie zum Beispiel JBIG2, eingesetzt werden. Bei einer Konvertierung von PDF zu PDF/A wird die JBIG2-Komprimierung und ggf. der Substitution-Fehler übernommen. Da der Fehler irreversibel ist und nicht festgestellt werden kann, ob das PMS-Verfahren eingesetzt wurde oder nicht, empfiehlt die KOST, beim Erstellen von PDF-Dateien vorerst auf die Kompressionsart JBIG2 zu verzichten und die verschiedenen Quellen, insbesondere die Informatikdienstleister der abliefernden Stellen, zu sensibilisieren. Durch die Vermeidung von JBIG2 oder durch die Verwendung des neuen Xerox-Patches können die Anzahl fehlerhaften Scan-Dateien in Zukunft auf ein Minimum reduziert werden.“
Quelle: http://kost-ceco.ch/cms/index.php?jbig2-compression_de

Wie relevant ist der Fehler?
Wer Dokumente digitalisiert, muss sich mit dem Thema beschäftigen! Hier muss geklärt werden, ob die verlustbehaftete Komprimierung JBIG2 im Einsatz ist. Dieses Komprimierungsverfahren wird nicht nur bei Kopierer eingesetzt, sondern auch beim Erstellen von PDF’s und beim FAXen.

Gibt es noch weitere Systeme, die von diesem Fehler betroffen sind?
Der Fehler ist auch bei anderen (XEROX) Kopiersystemen aufgetreten. Auch gibt es Probleme beim Erstellen von PDF’s mit den einschlägigen Tools. KOST empfiehlt auf das Verfahren JBIG2 zu verzichten.

Gibt es schon weitergehende Informationen?
Die Studie von KOST kann hier mehr Information bieten und hilft die Problematik zu verstehen.

Und jetzt?
Vertraulichkeit, Verfügbarkeit und Integrität sind wichtige Grundpfeiler der IT-Sicherheit. Wenn die Integrität beim digitalisieren verloren geht, ist dies ein Problem. Das problematische Kompressionsverfahren JBIG2 ist in diesem Falle dafür verantwortlich. Die Kurzanalyse auf unseren Systemen zeigte, dass JBIG2 nicht verwendet wird. Die Versuche mit unserem Multifunktionsgerät haben keine Fehler ergeben. Sowohl das Kopieren und die Funktion Scan2Folder ergaben keine Fehler (Zahlendreher). Auch der entsprechende PDF-Creator hat ohne Fehler funktioniert.

Alles OK? Nein, eine kritische Prüfung der relevanten Systeme (Prozesse), die entsprechend sensible Dokumente erstellen, ist angebracht. Eine entsprechende Risikoabschätzung muss individuell erfolgen und kann nicht pauschal beantwortet werden.

 

Studie – Zertifizieren von Golden Images

Strategie für intakte, sicherheitsgeprüfte System-Installationen ohne Schwachstellen

Unbemerkt können bei SW-Deployment-Prozessen Malware-Infektionen auf die Clients implementiert werden. Wie können Systemverantwortliche ihre Unternehmens-IT gegen solche Schwachstellen und Advanced Persistent Threads (APT) schützen? Den entsprechenden Fragen geht die aktuelle Fallstudie nach und schlägt eine Zertifizierung von Golden Images vor.

PDF:
Fallstudie_Zertifizieren von Golden Images

Studie – Secure Collaboration für Schweizer Gemeinden

Lösungsansätze zur Einhaltung des Datenschutzgesetzes beim gemeindlichen Datenaustausch

Wie halten Gemeinden und Organisationen die Datenschutzgesetze und -richtlinien ein? Die Anforderungen sind bekannt und erscheinen auf den ersten Blick durchaus realisierbar. Bei näherer Betrachtung erweist sich aber die Durchsetzung im Zeitalter der neuen Technologien wie Cloud, WLAN, Smartphone & Co. als hoch komplexe Herausforderung. Eine topp aktuelle Fallstudie von Felix Hosner und Hanspeter Locher zeigt Problematiken und Lösungsansätze auf.

Publiziert auf:
Berner Fachhochschule

PDF:
Fallstudie Secure Collaboration

 

Computer Coach GmbH – in der Cloud!

Time to Market

Für Unternehmen und Organisationen überwiegen die Vorteile und Möglichkeiten der Cloud Technologien – Tiefere Kosten, Standardisierung, Flexibilität und die Konzentration aufs Kerngeschäft.

Daher freuen wir uns, Ihnen mitzuteilen, dass die Firma Stepping Stone GmbH und wir, Computer Coach GmbH, eine strategische Partnerschaft eingegangen sind.

Neu können wir massgeschneiderte Lösungen im Bereich der Cloud-Technologien anbieten. Sie profitieren von der grossen Erfahrung von Stepping Stone im Bereich „Software as a Service“, „Infrastructur as a Service“ und „Plattform as a Service“ aus der Cloud. Zusammen ist es uns möglich, vom einfachen Cloud Service (Backup to the Cloud / CloudShare) über komplette Infrastruktur Dienste, eine Cloud Lösung mit dem perfekten Computer Coach Service anzubieten.

Für weitere Informationen reservieren Sie sich Freitag, den 24. Mai 2013 von 16.00 – 19.00 Uhr in Liebefeld/Bern!

Die Zukunft bietet neue Möglichkeiten!

Time to Market

Computer Coach; bevor bei der Informatik die Luft raus ist.

Datum: 17.04.2013
Anmeldung: Anmeldeformular
Quelle: cloud-coach.ch

Felix Hosner

Powershell – Convert secure String to unsecure String

Hier ein Beispiel Script wie Passwörter verschlüsselt werden können:

$my_secure_password_string = read-host -assecurestring
$my_encrypted_string = convertfrom-securestring $my_secure_password_string -key (1..16)
$my_encrypted_string > c:\Temp\password.txt

Die Daten wieder in ein Script zurück lesen

$my_secure_password_string = convertto-securestring (get-content c:\Temp\password.txt) -key (1..16)

Passwort in klar Text

[System.Runtime.InteropServices.Marshal]::PtrToStringAuto(
 [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($my_secure_password_string)
 )

Datum: 05.04.2013
Quelle: cloud-coach.ch