В программном обеспечении фотокамер Nikon найдена серьезная уязвимость
В программном обеспечении фотокамер Nikon найдена серьезная уязвимость
В программном обеспечении фотокамер Nikon найдена серьезная уязвимость
28.04.2011
Пользуясь данной уязвимостью, можно создавать измененные цифровые фотоснимки с действительным ключом аутентификации. Компания "ЭлкомСофт" подготовила несколько фальшивых изображений, которые успешно проходят проверку программы Image Authentication Software компании Nikon.
Компания "ЭлкомСофт" уведомила CERT и компанию Nikon о данной проблеме и подготовила ряд измененных цифровых фотоснимков, которые признаются как подлинные программой аутентификации изображений компании Nikon. Однако компания Nikon не предоставила никакого ответа и не проявила интереса к данной проблеме.
По словам специалистов, с помощью модулей цифровой подписи, имеющихся в топовых цифровых зеркальных фотокамерах Nikon, программа Image Authentication должна была позволить пользователям проверить подлинность фотоснимка.
"Согласно заявлению компании Nikon, данная система представляет доказательства аутентичности изображения для "правоохранительных органов, правительственных организаций, средств массовой информации, страховых компаний, а также при выполнении различных прикладных задач". Однако, компания "ЭлкомСофт" наглядно продемонстрировала, что заявления двух главных производителей цифровых фотокамер, Canon и Nikon, являются пустым "очковтирательством"", - говорят в российской компании.
Эксперты говорят, что достоверность фотографических улик может иметь огромное значение в ряде ситуаций. Суды, новостные агентства и страховые организации могут принять фотоснимки с цифровой подписью в качестве настоящего доказательства. Однако если подобное доказательство сфальсифицировано, последствия могут быть крайне тяжелыми. Самые нашумевшие случаи связаны с фальсификациями, организованными фотографами-любителями, фотожурналистами, редакторами, политическими партиями и даже армией США.
Чтобы справиться с этой проблемой, основные производители фотооборудования, а именно компании Canon и Nikon, разработали свои собственные корпоративные системы проверки подлинности фотоснимков. В 2010 году компания "ЭлкомСофт" уже произвела анализ защиты системы проверки подлинности цифровых изображений компании Canon, которая так же как и система компании Nikon, должна была доказывать подлинность изображений в глазах масс медиа, правоохранительных органов, правительственных организаций и бизнес структур.
Однако "ЭлкомСофт" показала, что в программной проверке компании Canon существует серьезная уязвимость, которая так и не была решена до сегодняшнего дня. Через полгода была обнаружена похожая уязвимость в цифровых зеркальных фотокамерах Nikon. Найденная уязвимость показывает, что данные подтверждения подлинности снимков могут быть сфальсифицированы, поэтому всей системе проверки аутентичности снимков компании Nikon нельзя и не стоит доверять. Соответственно, успешно проведенная проверка подлинности с помощью программы Image Authentication не является настоящим доказательством.
При разработке цифровой системы безопасности важно тщательно и аккуратно использовать все составляющие системы. Безопасность всей системы зависит от самого слабого звена. В случае с системой проверки аутентичности фотоснимков компании Nikon, компания не доработала, по меньшей мере, одно: суть уязвимости заключается в способе обработки криптографического ключа подписи, который неправильно обрабатывается и поэтому его можно легко извлечь из фотокамеры, как уже показали разработчики "ЭлкомСофт". После получения ключа подписи, его можно использовать для подписи любой фотографии, вне зависимости от того была она изменена, отредактирована или вообще создана на компьютере. Подписанное изображение успешно пройдет проверку подлинности с помощью программы Nikon Image Authentication.
Настоящая уязвимость существует во всех современных фотокамерах Nikon, которые поддерживают программу Nikon Image Authentication, включая цифровые зеркальные фотоаппараты Nikon D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs, и D200.
Производитель и координационный центр CERT были извещены о проблеме. Компания "ЭлкомСофт" связалась со многими отделениями Nikon, включая представительства Nikon в США, Европе и Японии, однако вразумительного ответа не последовало, и компания не выразила заинтересованности в данном вопросе.
Copyright © 2018-2022, ООО "ГРОТЕК"