Replica al commento di Gelpi (incluso in calce): L'attacco da noi documentato non ha nulla a che vedere con gli attacchi basati sull'esecuzione di istruzioni il cui effetto è condizionato da variabili esterne. HTML con Javascript è di questo tipo. Il nostro HTML è totalmente statico. Il tipo di attacco a cui si riferisce Gelpi, che opera per esempio sui file di Word attraverso le macro-istruzioni, comporta la modifica di ciò che viene presentato all?utente, in funzione della modifica di variabili esterne (per es., la data del sistema). Quell?attacco è ben noto e ampiamente documentato, vi è anche letteratura scientifica circa le strategie di contrasto. Tuttavia, sebbene gli *effetti* di questo attacco siano simili a quelli del nostro, quest?ultimo agisce attraverso una tecnica profondamente diversa, in quanto nel documento compromesso è presente solo html con comportamento totalmente statico, compliant anche con la normativa europea più stringente (che è quella Slovena). Infatti, nel documento sloveno "Specifying the content and formal specifications of document formats for QES" è richiesto per l?HTML: "A document in HTML and XHTML shall contain only static objects and all necessary document components shall be directly in HTML and XHTML document, i.e. it shall not contain references on external resources that might change visualization. HTML and XHTML shall not contain other document types than defined in [19] and pictures which visualization is not unambiguous, i.e. animations and pictures with used lossy (irreversible) compression.". Inoltre la normative tecnica Europea più stringente rispetto alle minacce basate sulla presenza di codice nei documenti è il documento CWA 14170:2004, che, prevede come ?Security Requirement? "An SDP capable to make the signer sign only a static document format?. Il nostro attacco agisce anche su formati totalmente statici. Quindi anche se formalmente l?HTML incluso nel BMP del nostro attacco può essere denotato come ?codice? presente nel documento, essendo esso STATICO, non riguarda le minacce fino ad oggi note. Che i due attacchi siano profondamente differenti dal punto di vista della modalità di funzionamento lo si comprende anche dal fatto che la nostra soluzione (inclusione di nome + estensione) negli ?authenticated attributes? della busta PKCS#7, che è risolutiva nel nostro caso, non è efficace per gli attacchi basati sulla presenza di codice. Viceversa, la disattivazione dai formati che lo consentono dei meccanismi che prevedono l'inclusione di istruzioni al fine di dare al documento un comportamento dinamico (es. disattivazione delle macro di Word, javascript in pdf o html, etc.), lascerebbe inalterata la possibilità di condurre a termine con successo il nostro attacco. Una implicazione pratica di quanto detto prima è che, rispetto al rischio derivante dalla presenza di codice nei documenti, fino ad oggi nessuno avrebbe reputato pericoloso un documento sottoposto a firma di tipo bitmap (che, di fatto, non può avere contenuti dinamici, non ha riferimenti a risorse esterne, animazioni e immagini con compressione lossy), visualizzabile correttamente con un viewer di immagini. D'altra parte i formati immagine e i formati txt sono stati considerati gli unici totalmente esenti dal rischio di comportamento dinamico fino ad oggi. Il formato bitmap è ritenuto STATICO e in linea anche con la normativa in tema di conservazione sostitutiva (ex DM 23 gennaio 2004, circolari dell'agenzia delle entrate di chiarimento e del CNIPA). L'attacco basato su macro di Word (insieme a altri attacchi simili) è stato documentato scientificamente da Kain e Smith nel lavoro: "DIGITAL SIGNATURES AND ELECTRONICDOCUMENTS: A CAUTIONARY TALE" presentato alla IFIP Conference onCommunications and Multimedia Security. Non mi risulta che ci siano lavori di Zanero a tal riguardo. Tuttavia l'attacco era ben noto da molto tempo prima che Interlex se ne accorgesse, tanto è vero che la deliberazione AIPA 51/2000 imponeva restrizioni nei formati, escludendo per esempio Word. Ai tecnici dell'AIPA, senza andare molto lontano, il problema era ampiamente noto. Saluti Francesco Buccafurri >Vedi differenze nel firmare un documento word con delle macro che >permettono di cambiare qualche campo o firmare un file in html con >nascosta un immagine in un commento o magari del codice javascript? >La risposta a questa domanda ti dice che ha ragione. >Per legge i file firmabili non possono contenere macroistruzioni o >codice >eseguibile. >La storia del word fu scoperta da Zanero nel 2002 e da me >pubblicizzata su Interlex, ora la storia si ripete. Sono i gironali >che sbagliano e Panorama è in testa. >Sempre cavoli amari sono ... riferimento al 2002. >-- >ing. Andrea Gelpi -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx