В программном обеспечении фотокамер Nikon найдена серьезная уязвимость

Discussion in 'Мировые новости. Обсуждения.' started by d3l3t3, 28 Apr 2011.

  1. d3l3t3

    d3l3t3 Banned

    Joined:
    3 Dec 2010
    Messages:
    1,771
    Likes Received:
    98
    Reputations:
    10
    Российский разработчик программного обеспечения «ЭлкомСофт» исследовал систему проверки подлинности фотоснимков, созданную компанией Nikon, которая устанавливает наличие или отсутствие изменений в изображении с момента создания снимка, и обнаружил серьезную уязвимость в способе обработки ключа шифрования защищенного снимка. Это в свою очередь позволило компании извлечь оригинальный ключ подписи из цифровых зеркальных фотоаппаратов фирмы Nikon.

    Пользуясь данной уязвимостью, можно создавать измененные цифровые фотоснимки с действительным ключом аутентификации. Компания «ЭлкомСофт» подготовила несколько фальшивых изображений, которые успешно проходят проверку программы Image Authentication Software компании Nikon.

    [​IMG]

    Компания «ЭлкомСофт» уведомила CERT и компанию Nikon о данной проблеме и подготовила ряд измененных цифровых фотоснимков, которые признаются как подлинные программой аутентификации изображений компании Nikon. Однако компания Nikon не предоставила никакого ответа и не проявила интереса к данной проблеме.

    По словам специалистов, с помощью модулей цифровой подписи, имеющихся в топовых цифровых зеркальных фотокамерах Nikon, программа Image Authentication должна была позволить пользователям проверить подлинность фотоснимка.

    "Согласно заявлению компании Nikon, данная система представляет доказательства аутентичности изображения для «правоохранительных органов, правительственных организаций, средств массовой информации, страховых компаний, а также при выполнении различных прикладных задач». Однако, компания «ЭлкомСофт» наглядно продемонстрировала, что заявления двух главных производителей цифровых фотокамер, Canon и Nikon, являются пустым «очковтирательством»", - говорят в российской компании.

    Эксперты говорят, что достоверность фотографических улик может иметь огромное значение в ряде ситуаций. Суды, новостные агентства и страховые организации могут принять фотоснимки с цифровой подписью в качестве настоящего доказательства. Однако если подобное доказательство сфальсифицировано, последствия могут быть крайне тяжелыми. Самые нашумевшие случаи связаны с фальсификациями, организованными фотографами-любителями, фотожурналистами, редакторами, политическими партиями и даже армией США.

    Чтобы справиться с этой проблемой, основные производители фотооборудования, а именно компании Canon и Nikon, разработали свои собственные корпоративные системы проверки подлинности фотоснимков. В 2010 году компания «ЭлкомСофт» уже произвела анализ защиты системы проверки подлинности цифровых изображений компании Canon, которая так же как и система компании Nikon, должна была доказывать подлинность изображений в глазах масс медиа, правоохранительных органов, правительственных организаций и бизнес структур.

    Однако «ЭлкомСофт» показала, что в программной проверке компании Canon существует серьезная уязвимость, которая так и не была решена до сегодняшнего дня. Через полгода была обнаружена похожая уязвимость в цифровых зеркальных фотокамерах Nikon. Найденная уязвимость показывает, что данные подтверждения подлинности снимков могут быть сфальсифицированы, поэтому всей системе проверки аутентичности снимков компании Nikon нельзя и не стоит доверять. Соответственно, успешно проведенная проверка подлинности с помощью программы Image Authentication не является настоящим доказательством.

    При разработке цифровой системы безопасности важно тщательно и аккуратно использовать все составляющие системы. Безопасность всей системы зависит от самого слабого звена. В случае с системой проверки аутентичности фотоснимков компании Nikon, компания не доработала, по меньшей мере, одно: суть уязвимости заключается в способе обработки криптографического ключа подписи, который неправильно обрабатывается и поэтому его можно легко извлечь из фотокамеры, как уже показали разработчики «ЭлкомСофт». После получения ключа подписи, его можно использовать для подписи любой фотографии, вне зависимости от того была она изменена, отредактирована или вообще создана на компьютере. Подписанное изображение успешно пройдет проверку подлинности с помощью программы Nikon Image Authentication.

    Настоящая уязвимость существует во всех современных фотокамерах Nikon, которые поддерживают программу Nikon Image Authentication, включая цифровые зеркальные фотоаппараты Nikon D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs, и D200.

    Производитель и координационный центр CERT были извещены о проблеме. Компания «ЭлкомСофт» связалась со многими отделениями Nikon, включая представительства Nikon в США, Европе и Японии, однако вразумительного ответа не последовало, и компания не выразила заинтересованности в данном вопросе.​

    (09:37) 28.04.2011
    http://cybersecurity.ru/crypto/121574.html
     
  2. Effesn

    Effesn New Member

    Joined:
    8 Nov 2009
    Messages:
    20
    Likes Received:
    1
    Reputations:
    0
    Никогда не думал,что кто-то ищет уязвимости в софте для фотиков :)
     
  3. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    срочно выбросьте Кэноны и Никоны!

    (заранее скажите, куда именно :) )
     
  4. Zeeman

    Zeeman New Member

    Joined:
    21 Apr 2011
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    А кому вообще нужна эта проверка подлинности?
    Они испокон веков снималась пересохранением в Paint
     
  5. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,707
    Likes Received:
    581
    Reputations:
    403